5G agrega más preocupaciones: los CISO deberían construir la ciberseguridad desde cero


Las redes públicas 5G, las redes privadas 5G, las superficies de ataque más amplias y los entornos más complejos añaden capas adicionales de vulnerabilidad, dice un experto.

Karen Roby de TechRepublic habló con Curtis Simpson, CISO de Armis, una empresa de seguridad de Web de las cosas (IoT), sobre las preocupaciones de seguridad con 5G. La siguiente es una transcripción editada de su conversación.

Karen Roby: Hablamos mucho sobre 5G, por supuesto, y todas las diferentes facetas de la tecnología. También hablamos mucho de seguridad, pero no tanto de los dos juntos. Cuando se trata de 5G y las implicaciones de seguridad, ¿qué es lo que más le preocupa?

VER: Calendario editorial de TechRepublic Premium: políticas de TI, listas de verificación, kits de herramientas e investigación para descargar (TechRepublic High quality)

Curtis Simpson: De hecho, hay muchas preocupaciones aquí. Solo para resaltar algunos de ellos, estamos pasando de un tipo de purple basada en components administrada centralmente que está construida y administrada por proveedores de telecomunicaciones a una pink basada en software package que es propiedad tanto de proveedores como de empresas.

De hecho, veremos redes 5G privadas interactuando con redes 5G públicas, pero aquí está el problema: no para casos de uso benignos. Con la velocidad que ofrecerá 5G, no es ningún secreto que en todo el mundo estamos desarrollando e iniciando rápidamente el despliegue de ciudades inteligentes a gran escala, y esto es solo el comienzo. Llegaremos a un punto en el que, en última instancia, una ciudad inteligente podría describirse como una tonelada de diferentes dispositivos inteligentes o dispositivos de IoT que brindan servicios críticos y servicios de calidad de vida, todos corriendo sobre redes 5G. Además de eso, vamos a tener redes 5G privadas que son construidas por empresas y utilizadas para mantener todo tipo de operaciones internas, funciones críticas en áreas remotas del mundo, and many others.

El desafío, cuando observa este último en distinct, es que los profesionales de la seguridad están luchando con la complejidad de sus entornos actuales. Ni siquiera han tenido en sus manos o cabezas la multitud de dispositivos de IoT, los riesgos en torno a esos dispositivos, los ataques que ocurren contra dispositivos críticos de IOT. Ahora esas empresas están instalando redes 5G privadas con dispositivos únicos que aún no habían visto antes, en redes que nunca han sido responsables de administrar, y estas redes interactuarán con otras redes públicas. Además de eso, muchas de las exposiciones que existían en las redes 3G y 4G todavía existen en las redes 5G. Al brindar la capacidad de rastrear a los usuarios, para activar alertas a nivel masivo en diferentes dispositivos, no hemos visto mucha explotación de estas cosas en el pasado. No había necesariamente una razón para hacerlo, pero cuando observa los casos de uso sobre lo que se ejecutará en las redes 5G, hay muchas preocupaciones.

Karen Roby: ¿Qué debe suceder, qué tipo de colaboración debe participar? Debido a que 5G está aquí, se está moviendo y las ciudades inteligentes están evolucionando rápidamente. Todo esto está sucediendo muy rápido.

VER: El futuro de 5G: proyecciones, implementaciones, casos de uso y más (PDF gratuito) (TechRepublic)

Curtis Simpson: Es. Y tenemos que ser inteligentes al respecto. Y realmente, si miramos lo que tenemos que hacer, el factor básico es que la seguridad debe ser la base de las redes 5G públicas y privadas. Y cuando pensamos en redes 5G privadas, debemos tener el talento, los conjuntos de habilidades, la experiencia para construir estas redes de manera responsable y segura, y debemos tomarnos el tiempo para hacerlo. Esto no es como cuando comenzamos a migrar a la nube donde simplemente lo hacemos, simplemente trasladamos cargas de trabajo clave, capacidades clave a la nube, y luego volvemos a proteger esas nubes para poder proteger esas cargas de trabajo clave, y servicios y soluciones de forma eficaz. No podemos hacer lo que hemos hecho históricamente. Siempre construimos el valor seguro o comercial primero y luego lo aseguramos más tarde.

La realidad no puede ser cierta aquí. Si es cierto aquí, ¿quién pagará el precio? Debido a que no tendremos los recursos necesarios para construir de forma segura estas redes, administrar de forma segura estas redes, monitorear estas redes, comprender cuándo las cosas se están volviendo potencialmente maliciosas en lugar de seguir actuando normalmente, y estas ejecutarán funciones críticas tanto dentro de nuestras empresas como pensamos en ciudades inteligentes, en realidad ahora estamos hablando de la posible alteración de vidas humanas. Tanto la calidad de vida como el impacto real en la vida de tal manera que las personas podrían morir si no estamos construyendo seguridad en la foundation, lo que también significa que no podemos inherentemente tomar dispositivos de IoT que podríamos introducir en casa hoy e introducir igualmente dentro de una empresa y luego, simplemente colóquelos en redes 5G que están impulsando ciudades inteligentes o capacidades comerciales clave.

El desafío es que esos dispositivos no se construyeron teniendo en cuenta la seguridad. Tenemos que construir las redes y los dispositivos teniendo en cuenta la seguridad, lo que significa que tenemos que colaborar con los fabricantes, tenemos que tener los talentos adecuados que están construyendo estas redes, habilitando esos dispositivos, configurando esos dispositivos con asociaciones , con esos fabricantes. La seguridad debe estar en todas partes, siempre y desde el principio.

Karen Roby: ¿Cuán extendido está el entendimiento de que así debe ser, Curtis? ¿Es esto algo en lo que hay gente como tú tratando de gritar desde la azotea: «Hola a todos. Tenemos que entender que esto tiene que ser la foundation o enfrentaremos repercusiones increíblemente trágicas». ¿O es esto algo que te apetece como comunidad, y los CISO como tú y otros, los fabricantes, están de acuerdo con eso? ¿Qué tan lejos está la aceptación?

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

Curtis Simpson: Hay un normal alrededor de lo que estoy diciendo. La preocupación que tengo es lo que históricamente hemos visto, es que si una empresa necesita tomar ciertas acciones desde su perspectiva para seguir siendo practical o para irrumpir en un determinado mercado dentro de un período de tiempo determinado, nuevamente, el pensamiento o la estrategia ha Siempre ha sido así, vayamos allí y luego preocupémonos por optimizarlo en el futuro. Me preocupa que volvamos a hacer eso. Y mientras hacemos eso, vamos a pagar el precio, y luego vamos a tener que aprender de aquellos que han pagado el precio, y luego regresar y hacer ese trabajo. Ésa es la preocupación general.

También me preocupa que los profesionales de seguridad estén cansados ​​en este momento. Esta es una conversación muy común en el espacio en este momento porque los entornos se han vuelto más complejos, los presupuestos son lo que eran, la gente cuenta lo que period. No nos hemos trasladado a la nube, hemos agregado la nube. No nos estamos moviendo a 5G, estamos agregando 5G. Tenemos que ser considerados aquí sobre el hecho de que estamos creando una superficie de ataque completamente nueva además de un nuevo plano de hacer negocios. Y vamos a tener que financiar eso, vamos a tener que darle el tiempo que necesita, vamos a tener que tomarnos eso realmente en serio. Y creo que podemos hacer más para asegurarnos de que los directores ejecutivos y otras personas que están tomando algunas de estas decisiones en apoyo de la estrategia empresarial comprendan realmente que la seguridad es la raíz de eso. Y debemos asegurarnos de que estamos empoderando y brindando a nuestros CISO la energía que necesitan para luchar esa lucha y llevar esos mensajes a la cima.

Karen Roby: ¿Qué más deben hacer los CISO? Estoy seguro de que muchos de ellos, la mayoría de ellos están abrumados en este momento.

Curtis Simpson: Absolutamente lo son. Y no pueden asumir esto en términos de comprender el riesgo, elaborar estrategias para gestionar el riesgo y crear operaciones y programas, e implementar herramientas en torno a todo esto, además de todo lo demás que están haciendo hoy. Esa es la realidad. Simplemente no pueden. Se van a volcar. Eso significa que, al considerar esto tanto dentro de las empresas como en las redes 5G privadas y consumiendo capacidades 5G, necesitamos un private dedicado. Tenemos que considerar esto mientras estamos construyendo una línea de negocio completamente nueva, o estamos construyendo un subgrupo o subcompañía completamente nuevo dentro de nuestra organización. Tenemos que tomarnos esto con la misma seriedad desde la perspectiva de dotar de particular con recursos dedicados para hacer esto correctamente y financiar nuevos recuentos de personas adicionales para poder gestionar este entorno de una manera muy madura y segura en el futuro. Porque si hacemos lo que siempre hemos hecho, simplemente incorporar esto a la infraestructura genuine y a los equipos de seguridad, esto será un problema.

Karen Roby: Es la parte elegante y divertida hablar de algo. Con 5G durante tanto tiempo ha sido, «Oh, menor latencia y velocidades más rápidas. Va a ser genial, genial, genial». Pero sin esa base, como ha mencionado, y las piezas que deben colocarse primero, podría ser desastroso.

Curtis Simpson: Si. Y estamos hablando de redes completamente nuevas. Además de eso, no solo vamos a una crimson impulsada por application, sino que vamos a una purple impulsada por software package que en realidad se basa en protocolos y métodos de comunicación que son más típicos, lo que hace que esto sea aún peor porque no proviene del perspectiva de tener los recursos para entender eso, pero los atacantes ahora tienen una ventaja que no necesariamente tenían en un entorno 4G. Por lo tanto, tienen una ventaja que nuestros profesionales y las personas que construyen y protegen estos entornos no tienen, están detrás, por eso digo que tenemos que enfocarnos en esto como un programa y defender esto y financiar esto como un programa, con la seguridad como el comienzo de esa foundation.

Ver también



Enlace a la noticia unique