Lo que NO PASARÁ en Ciberseguridad en 2020



Las predicciones son una moneda de diez centavos por docena. Aquí hay seis tendencias que no escuchará en el corto plazo.

En muchas culturas, un año nuevo es visto como un símbolo de esperanza, de nuevos comienzos. Una oportunidad para refrescarse, reiniciarse, aprender de los errores y avanzar con mucha energía y planes increíbles. Pero con más de 5 mil millones de registros de datos confidenciales robados en 2019, Pensé que sería más preciso predecir qué no lo hará ocurrirá en la ciberseguridad en 2020. Así que me senté con mi cofundador de Protected Code Warrior, Matias Madou, y se le ocurrieron las siguientes seis tendencias:

Inyecciones SQL erradicadas de todo el computer software
Lamentablemente, hemos estado esperando este día durante más de 20 años, y seguiremos esperando al menos uno más. Es la vulnerabilidad que, como una cucaracha, ha sobrevivido a todas las tácticas hasta el momento para erradicarla definitivamente. Irónicamente, el remedio ha sido conocido por casi el mismo período de tiempo. Sin embargo, la priorización de las mejores prácticas de seguridad en cada etapa del desarrollo de software package (especialmente desde el principio) sigue siendo demasiado baja, y ciertamente inadecuada a la luz del gran aumento de la producción de código desde el descubrimiento de la inyección SQL.

Los desarrolladores y AppSec se convierten en mejores amigos
Ah, los desarrolladores y el equipo de AppSec. ¿Se llevarán bien alguna vez, o están destinados a una vida de rivalidad como Rocky vs. Apollo? La respuesta corta es sí, pueden llevarse bien, pero en este momento sus prioridades son a menudo muy diferentes.

Cuando se encuentran en un entorno de proyecto, están en páginas opuestas y chocan justo en el obstáculo closing, cuando los especialistas de AppSec están estudiando detenidamente el código del desarrollador. El desarrollador ha creado características hermosas y funcionales (que es su máxima prioridad) que se desgarran si se descubren vulnerabilidades de seguridad. El especialista de AppSec, en efecto, calificó al bebé de feo y obligó al desarrollador a volver y corregir cualquier mistake, a menudo retrasando la implementación.

En nuestro estado real, esto no se solucionará hasta que ambos equipos trabajen hacia un objetivo común, que es la creación de software package seguro. Esto no va a suceder como un proceso predeterminado en 2020, pero con el advenimiento del movimiento DevSecOps, los desarrolladores están comenzando a reconocer la necesidad de mejorar la seguridad y trabajar con un estándar más alto que incluya objetivos de seguridad desde el principio.

Una sobreoferta de profesionales de seguridad
En 2020, 2025, 2030 … está casi garantizado que tendremos poco private a nivel mundial cuando se trata de experiencia en seguridad. Según un informe de (ISC)2, hay alrededor 2,93 millones de puestos de ciberseguridad Actualmente sin llenar. Es casi seguro que esto empeorará antes de mejorar, y no hay un ejército de seguridad oculto esperando marchar en nuestro rescate este año.

En el futuro inmediato, nuestra mejor oportunidad para abordar la escasez de habilidades es hacer de la seguridad una prioridad organizacional y mejorar nuestra fuerza laboral existente, lo que significa capacitar a los desarrolladores con la capacitación y las herramientas para codificar de manera segura y crear una cultura de seguridad en toda la empresa. La mayoría de los equipos actuales de AppSec probablemente luchan contra errores de seguridad antiguos y conocidos (consulte el primer punto anterior). Si nos aseguramos de que no tengan que gastar un tiempo y esfuerzo valiosos en solucionar estos problemas comunes, tendrán más ancho de banda para enfocarse en problemas de seguridad difíciles, como API y herramientas de construcción que se ajustan a las tuberías de desarrollo.

Producción de menos código
El mundo se está digitalizando a un ritmo asombroso, y la demanda social no va a flaquear. Cada año se escriben aproximadamente 111 mil millones de líneas de código, y este número solo aumentará y será más aterrador para los equipos de AppSec ya extendidos.

Una reducción en los registros de datos robados
Más código significa más vulnerabilidades, y esto presenta más oportunidades para que los atacantes encuentren una manera de robar datos. Al menos 5.300 millones de registros fueron robados en todo el mundo en 2019, y la defensa contra los atacantes sigue siendo una lucha desesperada y reactiva. Es posible que este número no se duplique en 2020, pero creo que se acercará.

Según la investigación de Statistica, ha habido una tendencia al alza en las infracciones y cantidad de registros robados en los EE. UU., con un gran pico en 2017. La cantidad de ataques disminuyó en 2018, tal vez debido a medidas de seguridad más estrictas, pero la cantidad de registros obtenidos fue la más alta que haya habido. En el futuro, los ataques cibernéticos se volverán cada vez más sofisticados y de gran volumen, y no desaparecerán pronto.

Los desarrolladores exigen capacitación de seguridad basada en video clip más larga y frecuente
Si hay algo que les encanta a los desarrolladores, es mirar horas y horas de videos de capacitación basados ​​en computadora. De hecho, tal es la demanda de este contenido cautivador, Netflix anunciará una nueva subcategoría dedicada a video clips genéricos de capacitación en seguridad.

Er, no. No ahora, no en 2020, nunca. Para los desarrolladores, la introducción a la seguridad suele ser a través de la capacitación en cumplimiento laboral. La codificación segura rara vez forma parte de su educación terciaria, y la capacitación en el trabajo puede ser el primer encuentro con la seguridad del software package. Y, como period de esperar, a menudo no les gusta.

Para que los desarrolladores tomen en serio la seguridad, y para que la capacitación sea útil, tiene que ser relevante, atractiva y contextual para sus trabajos. El entrenamiento de cumplimiento único, o una secuencia interminable de videos aburridos, no es el camino al corazón de un desarrollador, y no va a reducir las vulnerabilidades.

Si desea que los desarrolladores tengan alguna posibilidad de convertirse en una fuerza defensiva consciente de la seguridad contra vulnerabilidades comunes, pídales que trabajen con ejemplos de código real, del tipo con el que se encontrarían en sus tareas cotidianas. Haga que el aprendizaje sea del tamaño de un bocado, fácil de desarrollar e incentívelo con un sentido de diversión. Para que una cultura de seguridad prospere, debe ser positiva, atractiva y desarrollar habilidades y soluciones reales en toda la organización.

Cero muertes por un incidente relacionado con la seguridad cibernética
Esto claramente no es cosa de risa. He dicho muchas veces que al mundo simplemente no le importará la seguridad cibernética hasta que las personas comiencen a morir por un incidente relacionado con un ataque cibernético. El problema es que esto ya sucedió y pasó desapercibido.

Ciberataques contra hospitales de EE. UU. se han relacionado con un aumento en las muertes por ataques cardíacos en 2019. Por supuesto, los atacantes no causaron eventos cardíacos letales en los pacientes, pero sus ataques de ransomware en los sistemas y equipos hospitalarios disminuyeron los tiempos de tratamiento para la atención crítica. Esta estudiar de la Universidad de Florida Central analizó 3.000 hospitales, 311 de los cuales habían experimentado una violación de datos. En aquellos que se vieron afectados por un incidente de seguridad, los trabajadores de la salud tardaron un promedio de 2.7 minutos más en administrar un ECG a las presuntas víctimas de ataque cardíaco, probablemente debido a cambios de procedimiento, medidas de seguridad recientemente implementadas y problemas de soporte de TI que tomaron más tiempo del que lo hicieron previamente. Identificar y tratar un ataque cardíaco es una carrera contra el tiempo, y esos hospitales vieron 36 muertes adicionales por cada 10,000 ataques cardíacos por año en promedio.

Menos imágenes de archivo de «Hackers encapuchados»
Si escribe «hacker» en una búsqueda de imágenes, inevitablemente descubrirá miles de imágenes de una figura encapuchada y sin rostro escribiendo en una computadora portátil, o una figura very similar en una máscara de Man Fawkes. Esta imagen estereotipada de un hacker se está cansando mucho y hace que todos se vean como un mal tipo. Hay un montón de buenos chicos y chicas de seguridad, y las connotaciones negativas en torno a la imagen del pirata informático perjudican a todos.

¿Veo esto cambiando en 2020? Probablemente no, pero es agradable soñar. Por ahora, es importante recordar que la seguridad no tiene que ser aterradora.

Contenido relacionado:

Pieter Danhieux es un experto en seguridad reconocido a nivel mundial, con más de 12 años de experiencia como consultor de seguridad y 8 años como teacher principal para SANS que enseña técnicas ofensivas sobre cómo apuntar y evaluar organizaciones, sistemas e individuos para la seguridad … Ver biografía completa

Más thoughts





Enlace a la noticia original