Predicciones de Seguridad 2018 ¿Cómo vamos hasta ahora?

El objetivo de los pronósticos de seguridad es ayudar a entender mejor los riesgos que enfrentan las organizaciones y cómo pueden defenderse mejor contra ellos.
“En noviembre pasado dimos a conocer nuestras Predicciones de Seguridad para 2018. Hoy, seis meses después, podemos revisar cuántas de nuestras predicciones ya se han cumplido. Si bien estamos satisfechos con nuestra precisión, la realidad puede ser hasta cierto punto decepcionante, ya que muchas de estas predicciones plantean un riesgo adicional para las empresas”, comentó Carl Leonard, Analista Principal de Seguridad de Forcepoint
 
forcepoint
 
Las ocho predicciones para 2018 de Forcepoint giraron alrededor del tema de la privacidad con regulaciones como GDPR, que incitan a las organizaciones a pensar de manera crítica sobre cómo están protegiendo los datos personales y la propiedad intelectual. También abordamos la encripción ubicua, la agregación de datos, las criptomonedas y el ransomware.
 
La privacidad contraataca
La primera predicción anticipó “Las Guerras de la Privacidad”, un debate que polariza a tecnólogos y miembros del público, dividiendo la opinión en el gobierno, el trabajo y el hogar.
 
Este debate se ha generalizado en parte al sonado caso de Cambridge Analytica, en el que Facebook está involucrado. Las revelaciones se han dado a conocer por la prensa, destacando hasta qué punto se han recolectado y utilizado los datos privados de la gente durante muchos años por dicha red social y la firma de consultoría. Mark Zuckerberg se presentó ante el Congreso de Estados Unidos mientras los usuarios de Facebook y periodistas están siguiendo muy de cerca el caso. Uno podría haber anticipado esto como una “sorpresa predecible” con una tormenta perfecta de compartir, reunir y procesar que sólo se podría imaginar hace diez años. Como una historia destacada de 2018, el resultado despertará el debate en el dominio público de los próximos años.
 
Leonard apuntó que los sistemas activados por voz se están integrando en decenas de millones de hogares capturando y respondiendo a comandos. Si está interesado en lo que Apple, Google y Amazon han estado recabando, este artículo describe cómo eliminar el historial de comandos de voz de dispositivos como Alexa.
 
“No se trata sólo de lo que nos gusta, a quién seguimos o por qué nos agradan los videos de gatos, lo que es objeto del debate. Los datos biométricos ahora se utilizan en las calles de las ciudades para identificar a individuos que han despertado el interés de la policía como en este ejemplo de lectores portátiles de huellas digitales que se utilizan en el Reino Unido”, apuntó el analista.
 
GDPR hará mucho por salvaguardar la privacidad y los datos personales de los ciudadanos de Estados Unidos, en particular, asegurándose de que la información se utilice para el propósito previsto, estén protegidos y no terminen en manos de los criminales que puedan abusar de ellos. Esto nos lleva a nuestra segunda predicción.
 
GDPR: Postergar hoy, entrar en pánico mañana
Anticipamos que muchas organizaciones tardarían en prepararse para GDPR y al parecer muchas apenas están iniciando hoy programas con miras a estar “listos para GDPR”. ¿No es esto “demasiado tarde”? Espero que no.
 
Si bien la tecnología no es la respuesta total para el rompecabezas de Personas, Procesos y Tecnología, puede ser un indicador importante para descubrir problemas alrededor de la pérdida de datos y el comportamiento anómalo. Evidentemente, Forcepoint puede ayudar; revise nuestros Paquetes de Recursos para GDPR, así como mis 5 Mejores Consejos para iniciar el cambio en las organizaciones.
 
Disrupción de las cosas
Pronosticamos que los dispositivos de Internet de las Cosas (IoT) no serían objeto de secuestro tanto como son aprovechados para la destrucción en 2018. Eso no impidió que el Oxford English Dictionary añadiera “ransomware” a sus páginas en 2018.
 
“Las encuestas identificaron que casi una tercera parte de las compañías de electricidad no habían dedicado una consideración especial a la seguridad de las redes como parte de su implementación de IoT, una observación preocupante si esto es cierto. Los encargados de hacer pruebas de penetración se están dando cuenta de la falta de una configuración cuidadosa; en particular, una firma identificó que los sistemas de calefacción escolares son vulnerables a la manipulación”, agregó Carl.
 
MIT Technology Review incluyó en una lista a las ciudades inteligentes como una de las 10 Tecnologías Innovadoras para 2018, así que pareciera que la superficie que se ofrece a los criminales cibernéticos sigue aumentando. Cuando hablamos de dichas aplicaciones para IoT vale la pena mencionar que 2018 ha presentado el primer descubrimiento público de un minero de criptomonedas no autorizado en un entorno de ICS (Sistemas de Control Industrial) o SCADA (control de supervisión y adquisición de datos).
 
Agregadores de datos
Aunque todos los ojos están puestos en el caso de Facebook / Cambridge Analytica, aún está por conocerse su impacto real. En noviembre pronosticamos que el atractivo de grandes cantidades de datos y el complejo ingreso y egreso generará un desafío de seguridad para los agregadores de datos. Los criminales cibernéticos han conocido por mucho tiempo el valor extra de construir FULLS (series completas de información correspondientes a los individuos).
 
A medida que los modelos de negocio legítimos extraen y combinan el oro que son las fuentes de datos dispares, ha sido evidente que el resultado puede superar a menudo a la intención original. La creación de mapas de calor con los datos de la aplicación de entrenamiento Strava combinados con datos de GPS permitió ver la información, ubicación y patrones de recorridos de los usuarios.
 
Seguridad de la nube
No es un secreto que las organizaciones se están moviendo (o planean hacerlo pronto) a la nube. Están haciendo esto en masa, como lo muestra un reporte de Okta dado a conocer en enero de 2018. Microsoft Office 365 tiene más de 120 millones de usuarios mensuales activos, de acuerdo con información de Ars Technica.
Pronosticamos que el movimiento hacia el cómputo en la nube aumentaría el riesgo de sufrir una brecha por parte de un miembro interno confiable.
En el caso de Deloitte, una de las “cuatro grandes” firmas de contabilidad, las credenciales del administrador se utilizaron para tener acceso al servidor de correo corporativo. La autenticación de dos factores (2FA) no se había implementado junto con el acceso cerrado mediante sólo una contraseña. A medida que más empresas se mueven a la nube, cerrar sistemas críticos y asegurar los datos contenidos en ellos tendrán aún mayor relevancia.
 
Con la notificación obligatoria de brechas que dictan regulaciones como GDPR, será interesante analizar la causa de las brechas de datos y cómo se relacionan con la seguridad de la nube después de mayo.
 
Encriptado de manera predeterminada – Las implicaciones para todos
A partir de julio de 2018, Google Chrome etiquetará a todos los sitios HTTP como “No Seguros” en un intento por obligar a los webmasters a utilizar HTTPS. Como lo reportamos en noviembre de 2017, únicamente 70 de los 100 principales sitios web, que no son de Google, y que representan el 25% de todo el tráfico de sitios web, están usando HTTPS de forma predeterminada. ¿Está usted usando HTTPS en sus sitios web de forma predeterminada?
 
Nuestra predicción fue que una mayor cantidad de malware se volverá consciente de MITM; esto es, se dará cuenta cuando un producto de seguridad esté examinando el tráfico encriptado y responderá en consecuencia. Continuaremos dando seguimiento a la adopción de dichas técnicas.
 
Las principales propiedades web siguen batallando con HTTPS: Los gobiernos están olvidando renovar los certificados, los bancos aún no han migrado a HTTPS en sus páginas de inicio, e implementaciones de sitios web comunes están mostrando problemas.
 
Si se desea revisar el desempeño de la configuración de los servidores SSL, se puede utilizar el renombrado SSL Server Test que ofrece Qualys. Si el resultado no es muy bueno, se debe considerar pasar a HTTPS de forma predeterminada para ofrecer una experiencia más segura a los usuarios.
 
La noticia no es tan mala. Facebook ahora utiliza las listas de precarga HSTS y Chronium para cargar enlaces externos como HTTPS.
 
Consejos para mitigar los riesgos
• Muchas empresas reúnen datos personales para marketing, ventas o necesidades empresariales generales. Revise su política de privacidad y busque proteger esos datos.
• Trabaje para finalizar su plan de preparación para GDPR. Identifique sus datos críticos (personales y propiedad intelectual), busque protegerlos y prepare un plan de respuesta a incidentes.
• Si ha adquirido criptomonedas, busque proteger la billetera contra atacantes maliciosos.
• Considere la amenaza que representa usar aplicaciones de nube en su organización ¿Tiene las herramientas para descubrir un problema de Shadow IT, o proteger los datos dentro de las aplicaciones autorizadas?
• Si usted agrega datos, es importante entender el impacto de combinar esas fuentes y cómo eso afecta a sus usuarios y la declaración original del propósito de dicha recolección y procesamiento de datos. Revise sus políticas en consecuencia.
• Considere implementar la tecnología SSL Inspection para permitir la intercepción del tráfico de comando y control malicioso usando HTTPS.
• Migre su sitio web a HTTPS y dejar atrás HTTP. De lo contrario, a partir de junio Google Chrome lo marcará como “No Seguro”.
 
Nuestra calificación hasta hoy
Apenas seis meses después de que liberamos nuestras Predicciones de Seguridad para 2018, nos hemos calificado con B+. Una calificación alta para nosotros desafortunadamente significa que muchas de nuestras predicciones son acertadas. Seguiremos monitoreando su desarrollo durante el año.
 
Predicciones para 2019
Continuaremos haciendo un análisis de nuestras Predicciones de Seguridad para 2018, mientras trabajamos en una nueva serie de predicciones para 2019 que serán liberadas a finales del año.
Visto 929 veces Modificado por última vez en Jueves, 31 Mayo 2018 12:43
Inicia sesión para enviar comentarios