Taiwán, los vientos en contra geopolíticos cobran gran importancia



BLACK HAT United states of america — Las Vegas — Una posible invasión de Taiwán debería ser una prioridad para cualquier entidad, ya que los factores geopolíticos seguirán afectando los perfiles de riesgo de ciberseguridad.

Esa es la palabra de Chris Krebs, ex director de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) que ahora dirige una consultoría con el ex CISO de Facebook, Alex Stamos (el apropiadamente llamado Grupo Krebs Stamos). Él subió al escenario en Black Hat Usa 2022 para hablar sobre lo que impulsará el panorama de riesgo en los próximos años.

Krebs fue despedido de CISA por insistir en que las elecciones de 2020 fueron seguras y sin fraude («Insistimos en que tuvimos éxito, fue un momento singularmente importante en la historia de Estados Unidos», dijo en Black Hat. «Y creo que lo hicimos bastante bien trabajo».) En los 18 meses transcurridos desde entonces, ha salido a la carretera, hablando con funcionarios del sector privado, gobiernos globales y entidades estatales y locales.

«Quería encontrar un consenso sobre cuáles son las líneas de tendencia, las presiones del mercado y los próximos puntos de inflexión que influyen en la tecnología, los gobiernos, los malos actores y las personas», dijo.

Además de los vientos en contra geopolíticos, Krebs señaló que la transformación digital, junto con las capacidades ciberofensivas cada vez mayores de los malos, deberían tener tanto al sector público como al privado sobre aviso, o corren el riesgo de quedarse atrás sin remedio.

Taiwán se avecina a medida que se aceleran las presiones geopolíticas

Solo en los últimos seis meses, ha habido una colisión sin precedentes entre los riesgos geopolíticos y los riesgos tecnológicos, y esto solo continuará, según Krebs. Además de la guerra en curso en Ucrania, Taiwán es un punto de acceso para observar.

«Los líderes deben planificar más allá de los próximos dos trimestres», señaló. «Hay que mirar dentro de tres o cuatro años, y todas las empresas deberían realizar escenarios de simulación, evaluaciones de impacto, ejercicios de simulación a nivel ejecutivo sobre lo que está sucediendo en el Estrecho de Taiwán».

Una invasión china de Taiwán tiene el potencial de impactar a las organizaciones en todos los ámbitos, afectando especialmente la cadena de suministro de tecnología, la competencia y los mercados, y las operaciones de TI.

«Los vientos en contra políticos tienen grandes efectos y hay que jugar con estas cosas», señaló Krebs. «No sé si sucederá mañana, el próximo año o dentro de tres o cuatro años, pero según las conversaciones que tengo con los funcionarios de seguridad nacional, están bastante seguros de que llegará a un punto crítico entre China y Taiwán».

Añadió: «Y si quiere estar en condiciones de eliminar el riesgo de sus operaciones, tiene que empezar eso ayer».

Si bien el estado-nación y las amenazas persistentes avanzadas (APT) tienden a discutirse en el contexto de China, Irán, Corea del Norte y Rusia, Krebs señaló que esto está a punto de convertirse en un espacio mucho más grande para preocuparse.

«Literalmente, todos los países sobre la faz de la tierra están desarrollando capacidades de espionaje para la vigilancia interna», advirtió. «Y sí, también están analizando las capacidades de destrucción y disrupción. Habrá eventos llamativos, nuevos y novedosos en el futuro cercano».

En este contexto, las empresas también deberán presentar sus respuestas a los eventos mundiales teniendo en cuenta la ética, instó.

«Hay que tener un conjunto de principios», dijo. «Tienes que establecer tus valores, quién eres, cuáles son tus líneas rojas. Cuando Rusia invadió Ucrania, estábamos trabajando con un par de compañías diferentes que dijeron, mira, no nos afectan las sanciones, así que estamos bien». , realmente no necesitamos preocuparnos por eso. Nuestra opinión fue, cuando las imágenes de crímenes de guerra comiencen a aparecer en la televisión, en Twitter y en otros lugares, tendrás un problema. Continuarás apoyando a los rusos. maquina de guerra.»

Inseguridad en la Nube, por Diseño

Krebs también señaló que a medida que la pandemia de COVID-19 impulsó una aceleración hacia la nube y la transformación electronic, quedó claro que los beneficios de los productos inseguros superan con creces las desventajas.

«Eso se debe a que operamos dentro de un ecosistema más grande, dentro de empresas que se centran en la productividad y la reducción de la fricción, y tienden a ver la seguridad como algo que ralentiza las cosas cuando quieres ser el primero en llegar al mercado», explicó. «Así que estamos construyendo más productos que son inseguros por diseño debido a las presiones del mercado».

Mientras tanto, a medida que se realiza la migración masiva en curso a la nube en un esfuerzo por aumentar la flexibilidad, la elasticidad, la productividad y la eficiencia, un resultado secundario fue una reducción en la capacidad de las empresas para ver lo que sucede en su infraestructura.

«Lo hicimos más complejo y también comenzamos a agregar productos adicionales, la infraestructura en las plataformas, y tenemos esta explosión de oportunidades y opciones de computer software como servicio (SaaS)», Krebs dijo. «Todas esas son oportunidades para que los malos entren y obtengan lo que quieren. ¿Realmente comprende cómo funciona la nube en los diversos proveedores de hiperescala y cómo interactúa con ella?»

Los ciberdelincuentes entienden estos cambios en la arquitectura empresarial, junto con las dependencias y las conexiones de confianza que se encuentran dentro de las relaciones entre los servicios de application y los proveedores de tecnología esto, advirtió, seguirá fomentando más ataques contra la cadena de suministro y los proveedores de servicios gestionados.

Para complicar aún más las cosas, está la proliferación continua de cosas conectadas, que vienen con aplicaciones en la nube potencialmente inseguras.

«Creo que todos estamos de acuerdo en que habrá más cosas conectadas, porque aparentemente tenemos una necesidad patológica de conectar cosas a World wide web», dijo. «Tres o cuatro años en el futuro, habrá más cosas a tu alrededor que recopilarán y generarán datos. Estas cosas están generando una cantidad increíble de escape de datos, escape electronic, y se está volviendo más complejo, no menos».

Señaló que William Gibson tenía esta realidad vinculada cuando lanzó el libro. neuromante en 1984.

«Él acuñó el término ‘ciberespacio'», dijo Krebs. «Pero es cómo describió el ciberespacio lo que fue tan cautivador: la impensable complejidad del ciberespacio. Estamos allí ahora mismo».

Preocupaciones del sector público: trabajo de seguridad por hacer

La próxima preocupación futura en la lista de Krebs es el hecho de que el gobierno de EE. UU. está luchando por equilibrar las intervenciones y la regulación del mercado con el deseo capitalista de permitir que crezca la innovación.

«Vemos una dependencia excesiva de las listas de verificación y el cumplimiento en lugar de los resultados basados ​​en el rendimiento, por lo que no estamos obteniendo los resultados relacionados con la seguridad que queremos», señaló, y agregó que, para empezar, la supervisión que existe no está bien implementada.

“El Congreso también debe resolverlo y debe establecer comités selectos en la Cámara y el Senado que consoliden la supervisión de los diversos departamentos y agencias, particularmente en la rama civil”, dijo Krebs. «Tenemos 101 agencias civiles, y cada una de ellas tiene su propio servicio de correo electrónico. Entonces, tenemos que arreglar eso».

Por el lado de la aplicación de la ley, el Departamento de Justicia y el FBI han estado abordando constantemente el problema del ransomware, que Krebs llamó «los movimientos correctos».

“Van de manera más agresiva al adversario en el nivel de comando y control”, explicó. “Pero debemos pasar de investigaciones a más largo plazo a acciones más disruptivas destinadas a imponer costos y eliminar la capacidad del ransomware para extraer valor de las empresas aquí en los EE. UU.

El ransomware se ha profesionalizado, señaló, y las capacidades de los atacantes cibernéticos siguen mejorando cada vez más.

«Las barreras de entrada han caído y ahora tienen acceso a hazañas que eran competencia de los estados-nación», dijo. «Se están beneficiando y no les está costando nada están obteniendo sus victorias. Y hasta que creamos consecuencias significativas y les imponemos costos, seguirán haciéndolo».

Los desafíos de la fuerza laboral continúan

Cuando se trata de la infame falta de personas calificadas para ocupar 3 millones de puestos abiertos en seguridad cibernética, la situación es confusa dado lo gratificante que puede ser una carrera, dijo Krebs.

«Lo primero es que es divertido. Lo segundo es que es lucrativo», señaló. «Nos pagan bastante bien en esta industria. Y tercero, relacionado, es duradero vamos a enfrentar estos desafíos por el resto de nuestras vidas, tal vez el resto de la historia humana. Y lo último es que estos son cuestiones de seguridad nacional. La misión que estamos haciendo es increíblemente importante».

Dicho esto, la fuerza laboral de EE. UU. en standard se está volviendo cada vez más nativa de la tecnología, sobre lo cual es optimista.

«Estamos obteniendo habilidades de pensamiento crítico junto con el conocimiento tecnológico que estamos buscando», dijo.

Si bien hay mucho en lo que pensar en el futuro y en lo que actuar hoy, Krebs dijo que hay razones para tener esperanzas sobre las posibilidades de que las empresas se mantengan al día con el panorama de riesgos.

«Como lo demuestra Black Hat United states a los 25 años, tenemos una industria madura», dijo. «Estamos produciendo y generando productos que resuelven problemas. Tenemos proveedores de tecnología que trabajan para resolver problemas en la infraestructura».



Enlace a la noticia initial