Lectura oscura | Seguridad | Proteja el negocio



Se escucha en todas las conferencias y en los pasillos de todos los programas universitarios de informática. Se menciona en todos los argumentos de venta para herramientas de ciberseguridad y servicios de subcontratación: simplemente no hay suficientes profesionales calificados en ciberseguridad.

El problema es que esta declaración asume que el proceso de asegurar sistemas y empresas está bien tal como está. Esa easy afirmación asume que necesitar todos y cada uno de los trabajos publicados, listados y pronosticados.

No tenemos un problema de escasez de mano de obra. Lo que tenemos es un problema de automatización en el lugar equivocado. No se trata de capacitar a las personas para que utilicen la seguridad de purple tradicional. Lo que necesitamos son modelos matemáticos que predigan de manera significativa el riesgo y brinden vías para reducirlo.

Esta lección se ve fácilmente en la gestión de vulnerabilidades, pero es aplicable a otros campos. Piénselo de esta manera: la purple empresarial típica tiene millones de vulnerabilidades. En la mediana, nuestra investigación descubrió que de aproximadamente 500 empresas, los equipos de TI corrigen el 10% de esas vulnerabilidades, aunque algunos de los que tienen un desempeño excepcional parchean el 25% mensualmente.

Si las empresas contrataran suficientes personas para eliminar todas las vulnerabilidades de sus sistemas, necesitarían al menos cuadriplicar su fuerza laboral dedicada a la tarea. Y eso, por supuesto, supone que la velocidad a la que se encuentran y divulgan las vulnerabilidades permanece constante, lo cual no es así, aumenta constantemente. ¿Eso parece razonable? No lo es.

Pero otra razón radica en la naturaleza de las propias vulnerabilidades. Para la gran mayoría de las vulnerabilidades y exposiciones comunes (CVE), el riesgo de explotación es completamente teórico. Es decir, nadie ha armado la vulnerabilidad con un exploit.

Tradicionalmente, las empresas han tratado la gestión de vulnerabilidades como un problema de individual y clasificación. Recopilaron listas de CVE que aparecieron en sus escaneos y discutieron sobre cuáles parchear. Cada día la lista crecía y cada trimestre los CISO intentaban defender la necesidad de contrataciones adicionales.

La aplicación de la ciencia de datos a este problema ha demostrado que las empresas pueden, y lo hacen, lograr reducciones de riesgo significativas con los recursos disponibles. Esto se debe a que es muy probable que el pequeño grupo de piratas informáticos capaces de desarrollar nuevas explotaciones siga patrones muy usados. Un análisis completo de décadas de datos sobre amenazas lo confirma.

Es más possible que los actores de amenazas desarrollen exploits para ciertas vulnerabilidades que para otras. Buscan CVE que se dirijan a activos de uso generalizado, lo que hace que los sistemas operativos de Microsoft sean más riesgosos que Apple, y se enfocan en vulnerabilidades que permiten la ejecución remota de código con más frecuencia que otros. Enumeraciones de debilidades comunes. Docenas de factores, todos los cuales están disponibles públicamente, generan riesgo o reducen el riesgo de explotación. La identificación de estos factores forma la foundation para la gestión de vulnerabilidades basada en riesgos.

Solo el 5% de las vulnerabilidades presentan un riesgo de explotación, lo que significa que incluso las organizaciones promedio, en teoría, tienen el doble de capacidad para parchear vulnerabilidades de una manera que decrease drásticamente el riesgo de intrusión. No sabríamos que la gestión de vulnerabilidades es un problema matemático, y no un problema de la fuerza laboral, sin ciencia de datos que lo demuestre.

Ese enfoque basado en riesgos e impulsado por datos es bastante adecuado para otras disciplinas de ciberseguridad. El comportamiento y la analítica del usuario tienden a generar una cantidad significativa de datos que pueden agruparse al servicio de la gestión de identidades. Ese es solo un ejemplo.

La clave es encontrar herramientas, conjuntos de datos y metodologías estadísticas que puedan ayudarlo a separar la señal del ruido. Las herramientas adecuadas lo ayudarán a cuantificar el riesgo y aplicar ese análisis para priorizar las acciones que obtienen los resultados más significativos. Es decir, encuentre herramientas que lo ayuden a aprovechar al máximo sus recursos disponibles.

Si no puede encontrar las herramientas, inventelas. La comunidad de la seguridad cibernética no puede salir de la escasez de mano de obra con contratos de alquiler, pero podría haber una nueva idea de inicio para resolverla: las buenas siempre provienen de los profesionales que se automatizan para dejar el trabajo.

Las máquinas se adaptan bien a la tarea de defender redes. Pueden automatizar el análisis de una manera que cubra el vacío de mano de obra. Para los CISO y otros ejecutivos que enfrentan una escasez de mano de obra, es imperativo que lo acepten para poder adoptar estrategias que se ocupen del mundo tal como es.



Enlace a la noticia unique