agosto 14, 2022

Ciberseguridad y el principio de Pareto: el futuro de la preparación zero day

Estamos emocionados de traer Transform 2022 en persona el 19 de julio y virtualmente del 20 al 28 de julio. Únase a los líderes de inteligencia artificial y datos para discusiones en profundidad y oportunidades emocionantes para establecer contactos. ¡Regístrese hoy!


Es una continuación de la reunión de 40 años de la película «Juegos de guerra». La escena comienza cuando todos se preparan para las vacaciones de Navidad, y una comunidad de traviesos jugadores de Minecraft hace un descubrimiento increíble: un exploit de software sistémico en la biblioteca de grabación Java de código abierto integrada como el componente principal de la mayoría de las cargas de trabajo de Internet. La vulnerabilidad es fácil de explotar y permite la ejecución remota de código, lo que deja en problemas a los equipos de TI y de seguridad de todo el mundo. En lugar de ciencia ficción, esta era la realidad, ya que miles de equipos de seguridad de todo el mundo trabajaron durante las vacaciones para determinar el alcance de su adicción a Log4j y rápidamente prepararon soluciones para la divulgación inicial y las permutaciones posteriores.

Log4Shell nos enseñó las prioridades de la seguridad empresarial y lo que significará la «preparación» en la industria de la seguridad para el futuro. Log4Shell brinda una lección sobre las mejores herramientas en las que los equipos de seguridad deben enfocarse, con equipos que luchan en las áreas centrales clave de preparación para la seguridad y administración de activos de software.

A medida que las superficies de ataque continúan creciendo, las organizaciones deben mejorar su priorización de herramientas para su capacidad de profundizar en toda su flota de activos. La prioridad de los equipos de seguridad no debe ser detectar los zero-days. Por el contrario, la prioridad de un equipo de seguridad debe ser establecer las herramientas y la gobernanza necesarias para comprender rápidamente su exposición a una nueva amenaza y organizar una respuesta.

El Principio de Pareto en Seguridad Cibernética

El Principio de Pareto establece que alrededor del 80% de las consecuencias derivan del 20% de las causas (notablemente diferente de la Eficiencia de Pareto que detalla la asignación eficiente de preferencias y recursos). Esto se aplica a la ciberseguridad corporativa: el 20 % desconocido de nuestras herramientas ofrece más del 80 % del valor. Esto es, por supuesto, la gestión de activos de software.

Log4Shell ha sido un problema generalizado durante años en una de las bibliotecas de código abierto más utilizadas y aún pasó desapercibido durante millones de horas dedicadas a examinar las verificaciones de código y las pruebas de seguridad de aplicaciones tradicionales. Es una buena apuesta que existen otras vulnerabilidades igualmente frecuentes. La prioridad para su equipo y sus recursos debe centrarse en estar lo más preparados posible para configurar y reaccionar ante estas amenazas no descubiertas.

Software Asset Management brinda a los equipos la base más sólida sobre la cual evaluar los riesgos de seguridad internos pasados, presentes y futuros. Las herramientas de administración de activos de software adecuadas brindan a su equipo una visibilidad profunda del ecosistema de TI, lo que permite a las organizaciones obtener información sobre los procesos y evaluar rápidamente la aplicabilidad de los nuevos riesgos a medida que surgen.

Encontrar el día cero tiende a quedar fuera de la descripción del trabajo del administrador de seguridad y por una buena razón. El enfoque debe estar en prepararse para nuevas vulnerabilidades críticas y sí, eso significa detección pero, lo que es más importante, corrección. A medida que evalúa los recursos y las habilidades de su equipo, desea optimizar la velocidad y la preparación para abordar estos CVE emergentes.

Usando Log4Shell como caso de estudio, analizamos aún más las brechas en la mentalidad de seguridad y volvemos a enfatizar la competencia central de un equipo de seguridad en una organización comercial.

El futuro de la preparación: gestión de activos de software

Log4Shell fue una llamada de atención. La vulnerabilidad ha pasado desapercibida en una herramienta de código abierto inmensamente popular durante la última década. Para la mayoría de los equipos, esta fue otra lección aprendida de que el futuro de la seguridad empresarial debe centrarse en maximizar la velocidad y la visibilidad dentro de su flota. Con una solución de gestión de activos de software a gran escala, una organización puede pasar de estar en desventaja a estar a la vanguardia cuando se enfrenta a amenazas emergentes como Log4Shell.

Es una frase clásica: no puedes proteger lo que no conoces. En el caso de Log4Shell, las primeras semanas destacaron aspectos críticos profundos relacionados con el simple acto de navegar por su ecosistema de TI. La herramienta adecuada le brinda a su equipo la escala del impacto en minutos u horas en lugar de los días o semanas que les tomó a los equipos inventariar las instancias de Log4j en las aplicaciones Java. Suena bastante simple: obtener una lista de todas las instancias de los procesos Log4j o Java que se ejecutan en computadoras portátiles, servidores y contenedores; sin embargo, todos conocemos colegas y organizaciones que han tenido problemas (y tal vez todavía están luchando) con ese simple acto de inventario.

Log4Shell destacó estas fallas en el enfoque actual de la seguridad corporativa y nos alentó a volver a lo básico. Una buena organización reconoce sus fortalezas y mejor aún sus limitaciones. A medida que las organizaciones crecen y los recursos aumentan, la mejor manera de proteger continuamente su entorno después de la implementación inicial es a través de la velocidad a la que puede implementar las correcciones y actualizaciones publicadas. Este es el principal beneficio de la gestión de activos de software a gran escala y por qué este 20% de nuestras herramientas ofrece tanto en el camino de la habilitación del equipo. Elimina la barrera a la acción y la barrera a la comprensión.

Mapeo de los terrenos del castillo.

Hay una buena razón por la que el inventario y la gestión de activos de software es el segundo control de seguridad más importante, según los Controles de seguridad críticos de los Centros para la seguridad de Internet (CIS). Es «esencial de higiene cibernética» saber qué software se está ejecutando y poder acceder instantáneamente a esa información actualizada. Es como si fueras un nuevo maestro de armas para un barón local en la Edad Media. Tu primera tarea sería mapear los terrenos del castillo que estás a cargo de proteger.

En pocas palabras, la expectativa no debe ser que su organización cree soluciones únicas y personalizadas para las amenazas de seguridad emergentes. No se espera encontrar días cero o gastar su presupuesto interno buscando errores para sus proveedores con licencia. Por el contrario, la buena preparación para la seguridad empresarial está comprobada, probada y es transparente (un beneficio importante de las soluciones de código abierto), lo que permite que los equipos de seguridad se muevan rápidamente para evaluar el riesgo e implementar soluciones.

La gestión de activos de software se convierte en el primer paso y, si se ignora, se convierte en el primer obstáculo para construir una organización ágil y preparada enfocada en la seguridad. En los primeros minutos y horas posteriores al lanzamiento de Log4Shell, piense en el tiempo que lleva mapear completamente el alcance del impacto en su infraestructura. Ampliando esto aún más, ¿está seguro de que no hubo casos de uso perdidos y de que realmente tenía una imagen clara de sus procesos? ¿Ha tenido problemas para encontrar archivos uber .jar o archivos .jar dudosos?

La economía de la buena seguridad

A medida que dejamos atrás Log4Shell, incorporamos estas lecciones aprendidas para un futuro más preparado. La asignación de recursos por parte de los equipos de seguridad corporativos debe ser más específica a medida que los atacantes se vuelven más sofisticados y continúan teniendo recursos que parecen ilimitados. El valor agregado a través de una visibilidad clara y conocimientos en tiempo real de todo el ecosistema se vuelve aún más importante. Recuerde, el objetivo principal del equipo de seguridad es crear un ecosistema de TI seguro, mitigar la explotación de vulnerabilidades conocidas y monitorear cualquier actividad sospechosa. Con la administración extendida de activos de software, los profesionales aumentan su capacidad para monitorear, parchear y fortalecer los activos.

Esta visibilidad ampliada se convierte en la base sobre la que los equipos construyen soluciones de seguridad completas. Se espera que el mercado de seguridad de aplicaciones crezca a $ 12,9 mil millones para 2025, según Forrester. Esto es holísticamente excelente para la industria de la seguridad, ya que continuamos invirtiendo recursos en la investigación de vulnerabilidades y mitigándolas antes de que sean explotadas. Sin embargo, desde el punto de vista de la organización individual, tiene sentido concentrar los recursos en las herramientas que moverán la aguja dentro de su organización.

Piense en la acumulación de parches que aún están esperando para implementarse en producción o considere la posibilidad de casos externos perdidos al mapear Log4j. A medida que los ataques y las superficies de ataque continúan creciendo, las organizaciones deben mejorar en la priorización de sus herramientas de seguridad para crear resultados medibles. No es el tema más ilustre, pero el increíble valor agregado de la gestión de activos de software empodera a los equipos de seguridad en cada función, especialmente cuando esperamos futuras amenazas emergentes.

Jeremy Colvin es analista de marketing de productos en Uptycs.

Tomadores de decisiones de datos

¡Bienvenido a la comunidad VentureBeat!

DataDecisionMakers es el lugar donde los expertos, incluidos los ingenieros de datos, pueden compartir ideas e innovaciones relacionadas con los datos.

Si desea leer ideas de vanguardia e información actualizada, las mejores prácticas y el futuro de los datos y la tecnología de datos, únase a nosotros en DataDecisionMakers.

¡Incluso podría considerar contribuir con su propio artículo!

Leer más de DataDecisionMakers

Deja una respuesta

Tu dirección de correo electrónico no será publicada.