Los exploits de día cero utilizan vulnerabilidades desconocidas para infiltrarse en PC, redes, teléfonos móviles y dispositivos IoT. Para los equipos de seguridad que no están preparados, estos exploits traen consecuencias financieras y riesgos a largo plazo.
Etiqueta: hazañas de día cero
Como director senior y jefe global de la oficina del director de seguridad de la información (CISO) de Google Cloud, Nick Godfrey supervisa la educación de los empleados sobre ciberseguridad, así como el manejo de la detección y mitigación de amenazas. Realizamos una entrevista con Godfrey a través de una videollamada sobre cómo los CISO y otros líderes empresariales centrados en la tecnología pueden asignar sus recursos finitos, conseguir la aceptación de la seguridad por parte de otras partes interesadas y los nuevos desafíos y oportunidades que introduce la IA generativa. Dado que Godfrey reside en el Reino Unido, también le preguntamos su perspectiva sobre consideraciones específicas del Reino Unido. Cómo pueden los CISO asignar recursos de acuerdo con las amenazas de ciberseguridad más probables Megan Crouse: ¿Cómo pueden los CISO evaluar las amenazas de ciberseguridad más probables que su organización pueda enfrentar, además de considerar el presupuesto y los recursos? Nick Godfrey: Una de las cosas más importantes en las que pensar al determinar cómo asignar mejor los recursos finitos que tiene cualquier CISO o cualquier organización es el equilibrio entre comprar productos y servicios de seguridad exclusivos versus pensar en el tipo de tecnología subyacente. riesgos que tiene la organización. En particular, en el caso de una organización que tiene tecnología heredada, la capacidad de hacer que la tecnología heredada sea defendible incluso con productos de seguridad encima se está volviendo cada vez más difícil. Entonces, el desafío y la compensación son: ¿compramos más productos de seguridad? ¿Invertimos en más gente de seguridad? ¿Compramos más servicios de seguridad? Versus: ¿Invertimos en infraestructura moderna, que es intrínsecamente más defendible? La respuesta y la recuperación son claves para responder a las ciberamenazas Megan Crouse: En términos de priorizar el gasto con un presupuesto de TI, a menudo se habla del ransomware y el robo de datos. ¿Diría que es bueno centrarse en ellos, o los CISO deberían centrarse en otra parte, o depende en gran medida de lo que ha visto en su propia organización? Nick Godfrey: El robo de datos y los ataques de ransomware son muy comunes; por lo tanto, como CISO, equipo de seguridad y CPO, debe concentrarse en ese tipo de cosas. El ransomware en particular es un riesgo interesante de intentar gestionar y, de hecho, puede ser muy útil en términos de enmarcar la forma de pensar sobre el programa de seguridad de un extremo a otro. Requiere que piense en un enfoque integral de los aspectos de respuesta y recuperación del programa de seguridad y, en particular, su capacidad para reconstruir la infraestructura crítica para restaurar datos y, en última instancia, restaurar servicios. Centrarse en esas cosas no sólo mejorará su capacidad para responder a esas cosas específicamente, sino que también mejorará su capacidad para administrar su TI y su infraestructura porque se mudará a un lugar donde, en lugar de no comprender su TI y cómo está vas a reconstruirlo, tienes la capacidad de reconstruirlo. Si tiene la capacidad de reconstruir su TI y restaurar sus datos de forma regular, eso en realidad crea una situación en la que le resultará mucho más fácil gestionar agresivamente las vulnerabilidades y parchear la infraestructura subyacente. ¿Por qué? Porque si lo parcheas y se rompe, no tienes que restaurarlo y hacerlo funcionar. Por lo tanto, centrarse en la naturaleza específica del ransomware y en lo que le hace pensar en realidad tiene un efecto positivo más allá de su capacidad para gestionar el ransomware. VER: Una amenaza de botnet en EE. UU. apuntó a infraestructura crítica. (TechRepublic) Los CISO necesitan la aceptación de otros tomadores de decisiones presupuestarias Megan Crouse: ¿Cómo deberían los profesionales y ejecutivos de tecnología educar a otros tomadores de decisiones presupuestarias sobre las prioridades de seguridad? Nick Godfrey: Lo primero es encontrar formas de hacerlo de manera integral. Si hay una conversación desconectada sobre un presupuesto de seguridad versus un presupuesto de tecnología, entonces se puede perder una enorme oportunidad de tener esa conversación conjunta. Se pueden crear condiciones en las que se hable de seguridad como un porcentaje del presupuesto de tecnología, lo cual no creo que sea necesariamente muy útil. Tener al CISO y al CPO trabajando juntos y presentando juntos a la junta directiva cómo la cartera combinada de proyectos de tecnología y seguridad está mejorando en última instancia el perfil de riesgo tecnológico, además de lograr otros objetivos comerciales y de negocios, es el enfoque correcto. No deberían pensar simplemente en el gasto en seguridad como gasto en seguridad; deberían pensar en una gran parte del gasto en tecnología como gasto en seguridad. Cuanto más podamos integrar la conversación sobre seguridad, ciberseguridad y riesgo tecnológico en las otras conversaciones que siempre tienen lugar en la junta directiva, más podremos convertirla en un riesgo y una consideración general de la misma manera que las juntas directivas piensan sobre temas financieros y financieros. riesgos operacionales. Sí, el director financiero hablará periódicamente sobre la situación financiera general de la organización y la gestión de riesgos, pero también verá al CIO en el contexto de TI y al CISO en el contexto de seguridad hablando sobre los aspectos financieros de su negocio. Cobertura de seguridad de lectura obligada Consideraciones de seguridad en torno a la IA generativa Megan Crouse: Uno de esos cambios tecnológicos globales más importantes es la IA generativa. ¿A qué consideraciones de seguridad en torno a la IA generativa deberían estar atentas las empresas hoy en día? Nick Godfrey: En un nivel alto, la forma en que pensamos sobre la intersección de la seguridad y la IA es dividirla en tres categorías. El primero es el uso de la IA para defender. ¿Cómo podemos incorporar la IA en herramientas y servicios de ciberseguridad que mejoren la fidelidad del análisis o la velocidad del análisis? El segundo grupo es el uso de la IA por parte de los atacantes para mejorar su capacidad de hacer cosas que antes necesitaban mucha participación humana o procesos manuales. El tercer grupo es: ¿Cómo piensan las organizaciones sobre el problema de proteger la IA? Cuando hablamos con nuestros clientes, el primer segmento es algo que perciben que los proveedores de productos de seguridad deberían resolver. Nosotros lo somos y otros también. El segundo segmento, en términos del uso de la IA por parte de los actores de amenazas, es algo que nuestros clientes están vigilando, pero no es exactamente un territorio nuevo. Siempre hemos tenido que evolucionar nuestros perfiles de amenazas para reaccionar ante lo que sucede en el ciberespacio. Esta es quizás una versión ligeramente diferente de ese requisito de evolución, pero sigue siendo fundamentalmente algo que hemos tenido que hacer. Debe ampliar y modificar sus capacidades de inteligencia de amenazas para comprender ese tipo de amenaza y, en particular, debe ajustar sus controles. Es el tercer segmento (cómo pensar en el uso de la IA generativa dentro de su empresa) el que está provocando muchas conversaciones en profundidad. Este grupo llega a varias áreas diferentes. Uno, de hecho, es la TI en la sombra. El uso de IA generativa de consumo es un problema de TI en la sombra, ya que crea una situación en la que la organización intenta hacer cosas con IA y utilizando tecnología de consumo. Abogamos firmemente por que los CISO no siempre deberían bloquear la IA del consumidor; Puede haber situaciones en las que sea necesario, pero es mejor intentar descubrir qué está tratando de lograr su organización e intentar habilitarlo de la manera correcta en lugar de tratar de bloquearlo todo. Pero la IA comercial entra en áreas interesantes en torno al linaje de datos y la procedencia de los datos en la organización, cómo se han utilizado para entrenar modelos y quién es responsable de la calidad de los datos, no de su seguridad… de su calidad. Las empresas también deberían plantearse preguntas sobre la gobernanza general de los proyectos de IA. ¿Qué partes de la empresa son, en última instancia, responsables de la IA? Como ejemplo, formar un equipo rojo en una plataforma de IA es bastante diferente a formar un equipo rojo en un sistema puramente técnico en el sentido de que, además de realizar el equipo rojo técnico, también es necesario pensar en el equipo rojo de las interacciones reales con el LLM (lenguaje grande). modelo) y la IA generativa y cómo romperla en ese nivel. En realidad, asegurar el uso de la IA parece ser lo que más nos desafía en la industria. Ciberamenazas y tendencias internacionales y del Reino Unido Megan Crouse: En términos del Reino Unido, ¿cuáles son las amenazas de seguridad más probables a las que se enfrentan las organizaciones del Reino Unido? ¿Y hay algún consejo particular que les daría con respecto al presupuesto y la planificación en torno a la seguridad? Nick Godfrey: Creo que probablemente sea bastante consistente con otros países similares. Obviamente, hubo cierto trasfondo político para ciertos tipos de ataques cibernéticos y ciertos actores de amenazas, pero creo que si se comparara el Reino Unido con los EE. UU. y los países de Europa occidental, creo que todos están viendo amenazas similares. Las amenazas se dirigen en parte a líneas políticas, pero también muchas de ellas son oportunistas y se basan en la infraestructura que gestiona una determinada organización o país. No creo que en muchas situaciones los actores de amenazas con motivaciones comerciales o económicas estén necesariamente demasiado preocupados por el país en particular que persiguen. Creo que están motivados principalmente por el tamaño de la recompensa potencial y la facilidad con la que podrían lograr ese resultado.