¿Cómo cambiará la ciberseguridad con un nuevo presidente de EE. UU.? Los profesionales identifican las mayores necesidades


Cada nueva administración presidencial trae cambios, de una forma u otra. Conozca a qué se enfrenta el presidente Joseph Biden en el frente de la seguridad cibernética, junto con algunos consejos para el gobierno y las empresas.

Bandera americana hecha de código binario

Imagen: iStock / remotevfx

El año pasado ha sido uno como ningún otro, y durante la pandemia las amenazas a la ciberseguridad han ido en aumento con la ubicuidad del trabajo remoto. El presidente de los Estados Unidos, Joseph Biden, tiene mucho en su plato, y las preocupaciones de seguridad cibernética deberían ocupar un lugar destacado en su lista de tareas pendientes.

Me comuniqué con Morgan Wright, asesor jefe de seguridad de SentinelOne, un proveedor de ciberseguridad; Chris Roberts, hacker residente en Semperis, un proveedor de ciberseguridad; y Alexander García-Tobar, CEO y cofundador de Valimail, un proveedor de correo electrónico seguro, para conocer sus conocimientos sobre cuáles deberían ser las prioridades de ciberseguridad de la nueva administración.

VER: Política de protección contra robo de identidad (TechRepublic Premium)

Scott Matteson: ¿Cuáles son las brechas de ciberseguridad que hemos visto desde la última administración?

Morgan Wright: La incapacidad de combinar eficazmente las amenazas de ciberseguridad con la inteligencia. Para ser justos, cada administración reciente ha sido desafiada por esto. La comunidad de inteligencia tiene desafíos para compartir información de manera efectiva entre todos los miembros. Agregar cibernético a esto aumenta exponencialmente los vectores de amenaza.

El ransomware ha causado importantes daños y pérdidas económicas. Si bien la OFAC y el Tesoro han descrito posibles sanciones contra los pagos de ransomware, todavía luchamos como gobierno para identificar y cerrar de manera efectiva las redes de bots y organizaciones de ransomware. (Entiendo Emotet, pero al igual que cuando mataron a Pablo Escobar, el cartel de Medellín no perdió el ritmo con la continuación del cargamento de cocaína. Saque a un capo y otro se levanta para ocupar su lugar).

VER: El malware Emotet eliminado por el esfuerzo policial global (TechRepublic)

Si bien no es una brecha de ciberseguridad, permitir que las criptomonedas continúen operando sin una regulación efectiva solo significa que delitos como el ransomware continuarán creciendo sin cesar.

Chris Roberts: Con la antigua administración, hubo muchos problemas de comunicación entre varias entidades gubernamentales, así como una falta de apoyo para la comunidad de inteligencia en general. La conciencia general y la comprensión general de los riesgos de seguridad parece estar mejorando a medida que se instala la nueva administración.

La financiación de los esfuerzos relacionados con la seguridad también fue un problema, pero ahora parece que también hay mayores esfuerzos allí.

Alexander García-Tobar: Ciertamente existen brechas de ciberseguridad. Como líder en soluciones anti-phishing basadas en identidad, Valimail se centra particularmente en las mejores prácticas de seguridad del correo electrónico, así como en la seguridad del correo electrónico dentro de la infraestructura electoral de EE. UU. Dado que la gran mayoría de los ataques comienzan con un phishing (específicamente, el 89% de todos los ataques de phishing son falsos), es fundamental que nos aseguremos de que el gobierno de los EE. UU. Autentique todo su correo electrónico, tanto civil como militar. Hoy en día, el correo electrónico se utiliza para notificar a los ciudadanos sobre políticas críticas, avisos legales y médicos, y más. El correo electrónico es la forma principal en que confirmamos las interacciones con el gobierno. El correo electrónico es la base de las comunicaciones. Debemos terminar lo que comenzó el BOD 18-01. Más allá de la autenticación de correo electrónico, también debemos insistir en el cifrado de datos, de modo que, incluso si ha sido pirateado, los datos no sirven para el atacante.

También es importante señalar que la seguridad electoral es multifacética: no se trata solo del proceso de votación física y las máquinas. La comunicación por correo electrónico en torno a los ciclos electorales también debe ser una preocupación primordial debido al riesgo de información errónea y manipulación. Esta amenaza fue más pronunciada durante la administración Trump, pero siempre existe debido a la naturaleza omnipresente del correo electrónico. Antes de las elecciones, la investigación que realizamos mostró una falta de cumplimiento de los estándares de autenticación de correo electrónico para los dominios de correo electrónico asociados con las campañas presidenciales de EE. UU., Los comités de acción política (PAC), los gobiernos estatales y de los condados de los EE.

Scott Matteson: ¿Qué debería haberse hecho mejor?

Morgan Wright: Más enfoque y gasto en modernización de TI y actualización de nuestras infraestructuras críticas. Hay demasiadas soluciones y enfoques heredados que todavía se utilizan en las operaciones diarias y los sistemas de misión crítica.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

Chris Roberts: Las cuatro C principales: comunicación, colaboración, cooperación y coordinación, entre departamentos y con la industria, es algo que se puede mejorar con la nueva administración.

Alexander García-Tobar: La Comisión de Asistencia Electoral de EE. UU. Acaba de aprobar las primeras pautas nuevas del sistema de votación voluntaria en 15 años. Afortunadamente, estas pautas hicieron un gran trabajo al cubrir la autenticación de múltiples factores. De lo contrario, las pautas dejaron mucho que desear en términos de seguridad del correo electrónico dentro de la infraestructura electoral de EE. UU.

Primero, y lo más importante, las pautas son voluntarias y no están financiadas. Las pautas dejan lagunas en torno al cifrado de datos y no hacen nada para abordar la autenticación de correo electrónico, una herramienta vital para limitar la propagación de la desinformación. Si Estados Unidos se toma en serio la mejora de la seguridad electoral, necesitamos un estándar nacional y debe ser financiado.

Scott Matteson: ¿Qué debería estar haciendo el presidente Biden para avanzar y proteger al país?

Morgan Wright: Crear una mejor coordinación interinstitucional de la inteligencia humana y las ciberamenazas. La reciente operación de la inteligencia rusa (SVR) que explotó SolarWinds y Microsoft fue una falla de inteligencia, seguida de una falla de detección. ¿Dónde estaba nuestro equivalente de Oleg Penkovsky (HÉROE con nombre en código) que detuvo una guerra nuclear al contarle a los Estados Unidos sobre los misiles rusos en Cuba? La inteligencia humana efectiva podría haber identificado esta última operación y detenerla en seco.

Convocar una nueva comisión no partidista para hacer una revisión de las fallas de seguridad cibernética en los últimos 5 años (similar a la Comisión del 11 de septiembre) y buscar nuevas formas y tecnologías para defender y proteger nuestros intereses nacionales vitales.

Abre una conversación sobre la regulación y gestión de las criptomonedas.

Chris Roberts: El presidente Biden está avanzando a pasos agigantados en este momento, pidiendo a los tecnólogos que ayuden a aumentar la seguridad de la Casa Blanca y con programas de financiación, y deben continuar enfocándose en estas áreas para aumentar la conciencia de seguridad a nivel estatal y federal.

VER: Los hackers norcoreanos encuentran otro nuevo objetivo: la industria de defensa (TechRepublic)

Alexander García-Tobar: La ciberseguridad es demasiado importante para dejarla agrupada con otras áreas de la seguridad nacional. Valimail aplaudió al presidente Biden al nombrar un zar de seguridad cibernética. La santidad de los sistemas de información y la infraestructura electoral de Estados Unidos es crucial para nuestra seguridad como nación, nuestras funciones gubernamentales y la preservación de nuestras elecciones libres y justas. La ciberseguridad ha sido reaccionaria o una ocurrencia tardía y debe ser estratégica y proactiva. Biden tiene algunos esfuerzos en los que puede basarse, incluido el excelente trabajo que hizo Chris Krebs en CISA. Necesitamos fortalecer este tipo de enfoque y promover, no descartar, a personas como Krebs.

Es muy fácil dar por sentada la seguridad del correo electrónico y centrarse en el riesgo cibernético del día. Sin embargo, el correo electrónico sigue siendo el vector de ataque más potente y debe tratarse como la puerta de entrada a las infracciones cibernéticas. Los malos actores (estados nacionales y delincuentes) implementan el fraude por correo electrónico en el 89% de todos los ataques. Esto es particularmente importante en las elecciones, ya que la información errónea se arremolina en estos períodos. Bloquear el correo electrónico como vector debería estar en la parte superior de la lista de prioridades federales. De igual importancia, los fondos deben estar disponibles para que los gobiernos estatales y locales puedan implementar protecciones sin fricciones ni demoras.

La administración de Biden también debe crear, difundir y hacer cumplir un conjunto de mejores prácticas de ciberseguridad para las empresas. Con demasiada frecuencia, las empresas recortan atajos de seguridad a favor de la rentabilidad a corto plazo. El riesgo cibernético es particularmente alto ahora, durante la pandemia, con tanta gente trabajando desde casa. COVID-19 y el cambio estructural del trabajo remoto ha hecho que las personas sean más susceptibles a los ataques. Los trabajadores no solo están fuera de la oficina y, por lo tanto, son más vulnerables, sino que también utilizan más correo electrónico y otros modos de comunicación electrónicos que pueden ser pirateados. Los equipos de TI son remotos y están al límite, por lo que es más difícil para ellos proteger y responder. El resultado: ataques más devastadores. La administración de Biden necesita implementar un estándar de seguridad mínimo para las empresas, de modo que la fuerza laboral mantenga la confianza en el sistema.

Scott Matteson: ¿Cómo se puede lograr esto de la mejor manera?

Morgan Wright: Más inversión en inteligencia artificial, aprendizaje automático, computación cuántica, tratados internacionales sobre regulación de criptomonedas y revisión de la inversión extranjera en tecnologías críticas.

Chris Roberts: Esto se puede lograr mediante una mejor comunicación y conciencia, transparencia sobre los sistemas de votación, una mejor integración con la industria en su conjunto y una mejor contratación en las agencias gubernamentales.

Alexander García-Tobar: Debemos priorizar la protección de la infraestructura electoral de EE. UU. Contra ataques basados ​​en correo electrónico. Ahora es un excelente momento para preparar nuestros sistemas antes de las próximas elecciones de mitad de período. El conjunto de reglas actual que se votó recientemente no está financiado, y los expertos ya dicen que esto condena el conjunto de cambios que se necesitan con urgencia para después de 2022, perdiendo por completo el próximo ciclo electoral. Esto es una farsa.

El noventa por ciento de todos los ataques comienzan con un correo electrónico fraudulento. Los conceptos básicos de seguridad del correo electrónico (autenticación de correo electrónico, cifrado y MFA) cubrirían la gran mayoría de estos trucos. Estos conceptos básicos también hacen que la piratería sea mucho más compleja y costosa, un gran desincentivo para la mayoría de los piratas informáticos y algunos estados nacionales.

VER: Surgen preocupaciones de seguridad sobre la popular aplicación Clubhouse después de que se revelaran los vínculos con una empresa con sede en China (TechRepublic)

La administración de Biden debería alentar el uso generalizado de DMARC (Autenticación, Informes y Conformidad de Mensajes basados ​​en Dominios) y MFA para mejorar la seguridad del correo electrónico. DMARC protege los dominios de correo electrónico contra abusos y MFA protege contra el uso de credenciales robadas. DMARC ya tiene un mandato para todas las agencias federales civiles y el Departamento de Defensa, pero debe ser un mandato de todo el gobierno, sin lagunas. La administración de Biden debería exigir DMARC para cualquier persona que haga negocios con el gobierno de los EE. UU. Y debería ayudar a los gobiernos estatales y locales a implementar DMARC en los próximos tres años.

Para impulsar un cambio significativo, la administración de Biden debe hacer cumplir estas directivas de seguridad con plazos y financiarlas en consecuencia.

Scott Matteson: ¿Qué deberían hacer las empresas para reflejar las soluciones de Biden?

Morgan Wright: A medida que COVID hace que cada vez se realicen más transacciones comerciales en línea, se deben asignar más gastos para actualizar y modernizar las redes actuales. Si existe un ISAC (Centro de análisis de intercambio de información) para su industria (que a estas alturas debería haber un ISAC para casi todo), las empresas deberían unirse y compartir información sobre amenazas.

Chris Roberts: Volviendo a las cuatro C ', estas son las características fundamentales para aumentar el éxito de la seguridad en los gobiernos y las empresas.

Alexander García-Tobar: Una versión de BOD 18-01 con las mejores prácticas mínimas sería un gran primer comienzo. Además, las empresas deben mirar más allá de sus cuatro paredes hacia sus cadenas de suministro. El truco ruso demostró que este es un punto débil enorme y flagrante.

Scott Matteson: ¿Qué deben saber los profesionales de TI?

Morgan Wright: Se va a empeorar antes de mejorar. Esta tormenta actual de operaciones sofisticadas e impulsadas por inteligencia seguirá creciendo en alcance y en evolución. Tomar decisiones sobre cuáles son los activos más vitales para defender será clave para sobrevivir al próximo ataque. También deben ser conscientes de que si un actor estatal sofisticado y persistente los ataca, el mal actor encontrará una manera de entrar. Siempre debe asumir que ha sido violado en lugar de esperar a que suceda.

VER: Cómo combatir las últimas amenazas a la seguridad en 2021 (TechRepublic)

Chris Roberts: Todas las empresas e individuos deben ser conscientes del panorama de amenazas cibernéticas en constante cambio y cómo ayudar y proteger de manera más efectiva las redes y los sistemas a medida que los ataques se vuelven cada vez más sofisticados.

Alexander García-Tobar: Se trata de lo básico (MFA, cifrado y autenticación). Cubrirlos protege contra la gran mayoría de los ataques. El costo de los ataques también se ha elevado, por lo que solo los más competentes tienen la posibilidad de un ataque exitoso. Los profesionales de TI deben recordar que el 90% de todos los hackeos comienzan con un correo electrónico fraudulento y el 89% de todos los correos electrónicos fraudulentos comienzan con el remitente haciéndose pasar por una parte de confianza. La autenticación de correo electrónico, cuando se implementa correctamente, reduce el fraude por correo electrónico a casi un 0%.

Scott Matteson: ¿Qué deben tener en cuenta los usuarios finales?

Morgan Wright: Siguen siendo la principal forma en que los actores del estado-nación se comprometen y atacan a empresas y organizaciones gubernamentales. El spear phishing sigue siendo la táctica más eficaz. Los usuarios finales también deberán adoptar la adaptación y el cambio. Todas las cerraduras sofisticadas del mundo hacen poco para evitar que un usuario final entregue la llave a alguien, ya sea consciente o inconscientemente.

Chris Roberts: ¡Todo! Debemos asumir que los atacantes ya se han introducido en nuestras redes. Es importante verificar siempre, e incluso entonces, cuestionar todo. Hacer más preguntas y tomar más posesión de la vida digital individual ayudará a los usuarios a proteger mejor sus datos y los de su empresa.

Alexander García-Tobar: No confíe en el correo electrónico que no ha sido autenticado porque el remitente podría ser cualquiera. La desinformación es una forma de vida. Verifique con fuentes confiables y verifique. Es importante comprender de dónde proviene la información (otra forma de autenticación).

Scott Matteson: ¿Hay situaciones internacionales enredadas con esto que requieran el uso de sanciones o diplomacia?

Morgan Wright: Las continuas campañas de espionaje de Rusia y China constituyen una amenaza significativa para nuestras tecnologías avanzadas, secretos militares y salud económica.

El tema de las criptomonedas requiere la cooperación internacional de la comunidad financiera y de TI. Hasta que se elimine la capacidad de obtener recompensas financieras por el ransomware, este malware seguirá evolucionando en eficacia.

Alexander García-Tobar: Absolutamente. Nuestro trabajo con el gobierno federal y agencias como USAID muestra que los funcionarios gubernamentales que trabajan arduamente con las mejores intenciones pueden ser marginados por jugadores sin escrúpulos y que los fondos no lleguen, como se esperaba. Se necesitan desesperadamente sanciones contra los piratas informáticos y un "código de conducta" internacional.

Scott Matteson: ¿Cómo debería participar la comunidad mundial en esto?

Morgan Wright: Elimine las protecciones de no extradición para ciertos delitos como ransomware. Estados Unidos tiene MLAT (tratados de asistencia legal mutua) con muchos países. Pero un MLAT no asegura la extradición.

La creación e implementación de nuevos estándares de la cadena de suministro de software será tan eficaz como los países que los adopten y hagan cumplir. Una vez que se adopte ampliamente un estándar (como la IP), creo que comenzaremos a ver un impacto en las amenazas de los estados nacionales y de malware.

Scott Matteson: ¿Qué viene en 2022?

Morgan Wright: Más inversión y enfoque en la seguridad de la cadena de suministro de software. Reconstruir los pilares de la confianza debe ser el objetivo principal. También se esperan más operaciones de inteligencia a largo plazo dirigidas a la cadena de suministro de software, además del ciberespionaje tradicional y en aumento. Espero que el ransomware tenga un punto de inflexión a medida que la cantidad de jugadores importantes se consolide debido al aumento de las ejecuciones y las eliminaciones.

Chris Roberts: En 2022, continuaremos viendo avances en las siguientes áreas de seguridad:

  • Ataques a la cadena de suministro
  • Transporte (envío)
  • Ataques de nanotecnología / biotecnología e investigación contradictoria
  • Big data volviéndose contra sí mismo
  • Uso continuo de contraseñas inseguras y falta de comprensión para proteger vulnerabilidades.

Alexander García-Tobar: Los tres conceptos básicos: MFA, cifrado y autenticación deben ser mínimos obligatorios. Estos conceptos básicos deben estar codificados para el gobierno y para cualquier empresa que haga negocios con el gobierno. Simplemente no hay elección ni excusa: debemos hacer esto.

Con respecto a la seguridad del correo electrónico y las elecciones, debería haber un llamado explícito en la financiación para tener un estándar nacional en vigor para 2022, o tendremos un ciclo electoral completamente nuevo abierto a la manipulación.

Ver también



Enlace a la noticia original