El futuro de la ciberseguridad: Lo que no ocurrirá en el próximo año
Una versión de este artículo apareció originalmente en Lectura oscura. Se ha actualizado para su sindicación aquí.
En nuestra industria, muchos expertos en seguridad han tomado la costumbre de predecir los temas candentes para el próximo año (y yo no soy una excepción), pero con más de cinco mil millones de registros de datos sensibles robados en 2019, me imaginé que sería más preciso predecir lo que no sucederá en ciberseguridad en 2020, o de hecho en el futuro previsible.
Me senté con mi cofundador, Matías Madou, y nos reímos un poco al elaborar esta lista. Pretende ser una perspectiva algo desenfadada, pero te hace reflexionar sobre el largo camino que queda por recorrer para fortificar cada organización contra los ciberataques maliciosos.
Ahora, miremos en nuestra bola de cristal y revelemos nuestras predicciones. No vamos a ver:
Inyecciones SQL erradicadas de todo el software
Creo que todos los profesionales de la seguridad del planeta han estado esperando el día en el que ya no se descarrilen para identificar los fallos de inyección SQL, hasta la saciedad.
Lamentablemente, llevamos más de veinte años esperando este día, y seguiremos esperando al menos uno más. Es la vulnerabilidad que, como una cucaracha, ha sobrevivido a todas las tácticas hasta ahora para erradicarla definitivamente.
Es frustrante, como mínimo, ya que el remedio se conoce desde hace casi el mismo tiempo. Sin embargo, la prioridad de las mejores prácticas de seguridad en cada etapa del desarrollo de software (especialmente desde el principio) sigue siendo demasiado baja, y ciertamente inadecuada a la luz del gran aumento de la producción de código desde el descubrimiento de la inyección SQL.
(¿Quieres saber más sobre los patrones de codificación que pueden llevar a una inyección SQL? Acepte el reto aquí).
Los desarrolladores y AppSec se convierten en los mejores amigos
Ah, los desarrolladores y el equipo de AppSec. ¿Se llevarán bien alguna vez, o están destinados a una vida de rivalidad como la de Rocky contra Apolo? La respuesta corta es que sí, pueden llevarse bien, pero ahora mismo sus prioridades suelen ser muy diferentes.
Cuando se encuentran en el entorno de un proyecto, están en las antípodas y chocan justo en el último obstáculo: cuando los especialistas en seguridad de las aplicaciones examinan el código de un desarrollador. El desarrollador ha construido características hermosas y funcionales (que es su máxima prioridad) que se destrozan si se descubren vulnerabilidades de seguridad. El gurú de la seguridad del software, en efecto, ha llamado a su bebé feo y ha obligado al desarrollador a volver a arreglar cualquier error, a menudo retrasando el despliegue.
En nuestro estado actual, esto no se arreglará hasta que los desarrolladores y los equipos de AppSec trabajen hacia un objetivo común, que es la creación de software seguro. No va a ocurrir como un proceso por defecto en 2020 (y con muchas empresas, bastantes años después de eso), pero con la llegada del movimiento DevSecOps y más allá, los desarrolladores están reconociendo la necesidad de actualizar sus conocimientos en materia de seguridad y trabajar con un estándar más alto; uno que incluya objetivos de seguridad desde el principio.
Un exceso de profesionales de la seguridad
En 2020, 2025, 2030... está casi garantizado que nos faltará personal a nivel mundial en lo que respecta a la experiencia en seguridad.
Según un informe del ISC(2), hay alrededor de 2,93 millones de puestos de ciberseguridad sin cubrir. Es casi seguro que esta situación va a empeorar antes de mejorar, y no hay ningún ejército de seguridad oculto esperando a marchar a nuestro rescate en los próximos años.
En el futuro inmediato, nuestra mejor oportunidad para hacer frente a esta escasez de habilidades es hacer de la seguridad una prioridad organizativa y mejorar la capacitación de nuestra fuerza de trabajo actual, y eso significa capacitar a los desarrolladores con la formación y las herramientas para codificar de forma segura, así como crear una cultura de seguridad en toda la empresa. La mayoría de los equipos actuales de AppSec probablemente están luchando contra errores de seguridad conocidos y antiguos (véase el punto 1 anterior). Si nos aseguramos de que no tengan que dedicar un tiempo y un esfuerzo preciosos a arreglar estos problemas comunes, tendrán más ancho de banda para centrarse en los problemas de seguridad más difíciles (por el momento, es probable que estos abarquen problemas con las API, así como la creación de herramientas que puedan adaptarse a los conductos de desarrollo).
Se produce menos código
El mundo se está digitalizando a un ritmo asombroso, y la demanda de la sociedad no va a disminuir. Cada año se escriben aproximadamente 111.000 millones de líneas de código, y esta cifra no hará más que aumentar y ser más aterradora (para los equipos de AppSec, que ya están agotados).
El aumento del volumen de código incrementa inevitablemente las posibles vulnerabilidades de seguridad, por lo que cualquier idea de que 2020 será un año más lento para la producción de software y las infracciones es tan realista como que se celebren carreras de unicornios en el Grand National.
Reducción de los robos de registros de datos
Como he dicho, más código significa más vulnerabilidades, y esto presenta más oportunidades para que los atacantes encuentren una manera de robar datos.
En 2019 se robaron al menos 5.300 millones de registros en todo el mundo, y la defensa contra los atacantes sigue siendo un poco desesperada y reactiva. Puede que esta cifra no se duplique en los próximos doce meses, pero creo que se acercará.
Como ejemplo, veamos las tendencias históricas de los datos robados denunciados en Estados Unidos año tras año:
Si se examina el período comprendido entre 2005 y 2010, se observa un aumento constante con un pequeño flujo y reflujo entre años. Esto es interesante, pero un factor importante que hay que destacar es que en 2009 se produjo un fuerte descenso en el número de infracciones notificadas en comparación con 2008. Sin embargo, hubo un claro aumento en el número de registros robados a pesar de que hubo menos infracciones.
Los registros de datos son el nuevo oro; tienen valor para un atacante. El gráfico refleja una tendencia general al alza de las violaciones y el número de registros robados, con un enorme pico en 2017. El número de ataques tuvo una tendencia a la baja en 2018, quizá debido al endurecimiento de las medidas de seguridad, pero el número de registros obtenidos fue el más alto de la historia. Los ciberataques serán cada vez más sofisticados, de gran volumen y no van a desaparecer pronto. Y a nivel mundial, es poco probable que veamos un descenso en 2020, ya que las empresas producen rápidamente más software que nunca. Son los guardianes de nuestros datos y deben trabajar de forma más inteligente para proteger nuestra privacidad.
Los promotores exigen una formación de seguridad más larga y frecuente basada en vídeos
Si hay algo que les gusta a los desarrolladores es ver horas y horas de vídeos de formación por ordenador (CBT). De hecho, es tal la demanda de este cautivador contenido, que Netflix anunciará toda una nueva subcategoría dedicada a los vídeos genéricos de formación en seguridad.
Eh, no. Ni ahora, ni en 2020, ni nunca.
Para los desarrolladores, su introducción a la seguridad es a menudo a través de la formación en el lugar de trabajo. La codificación segura rara vez forma parte de su educación terciaria, y la formación en el puesto de trabajo puede ser su primer encuentro con la seguridad del software. Y, como es lógico, a menudo no les gusta.
Para que los desarrolladores se tomen en serio la seguridad -y para que la formación sea útil- tiene que ser relevante, atractiva y contextual a sus trabajos. Una formación puntual sobre el cumplimiento de la normativa, o un flujo interminable de vídeos aburridos, no es el camino hacia el corazón de un desarrollador, y no va a reducir las vulnerabilidades.
Si quieres que la cohorte de desarrolladores tenga alguna posibilidad de convertirse en una fuerza defensiva consciente de la seguridad contra las vulnerabilidades comunes, haz que trabajen con ejemplos de código reales, del tipo que se encontrarían en sus tareas diarias. Haz que el aprendizaje sea del tamaño de un bocado, que sea fácil de construir, e incentívalo con un sentido de diversión. Para que una cultura de seguridad prospere, debe ser positiva, atractiva y desarrollar habilidades y soluciones reales en toda la organización.
¿Quién sabe? Con la formación adecuada, un desarrollador podría reconocer el campeón de seguridad que lleva dentro y difundir los beneficios de la codificación segura a lo largo y ancho.
Cero muertes por un incidente relacionado con la ciberseguridad
Está claro que esto no es un asunto de risa. He dicho muchas veces que el mundo simplemente no se preocupará por la ciberseguridad hasta que la gente empiece a morir por un incidente relacionado con un ciberataque.
El problema es que esto ya ha sucedido, y ha pasado bastante desapercibido.
Los ciberataques contra hospitales estadounidenses se han relacionado con un aumento de las muertes por infarto en 2019. Por supuesto, los atacantes no provocaron eventos cardíacos letales en los pacientes, pero sus ataques de ransomware a los sistemas y equipos de los hospitales ralentizaron los tiempos de tratamiento de los cuidados críticos.
Este estudio de la Universidad de Florida Central analizó 3.000 hospitales, 311 de los cuales habían sufrido una violación de datos. En los que se vieron afectados por un incidente de seguridad, tardaron una media de 2,7 minutos más en realizar un ECG a las víctimas sospechosas de sufrir un infarto; probablemente debido a los cambios en los procedimientos, las medidas de seguridad recién implementadas y los problemas de soporte informático que ocuparon más tiempo que antes. Identificar y tratar un ataque al corazón es una carrera contra el tiempo, y en esos hospitales se produjeron de media 36 muertes más por cada 10.000 ataques al corazón al año.
Esto es impactante y, por desgracia, creo que empeorará antes de mejorar. Esto debería servir como un duro recordatorio de que todos tenemos que hacer más para elevar la seguridad del software y hacer que sea una prioridad en todas las empresas.
Menos imágenes de stock de "hackers encapuchados"
Si se escribe "hacker" en una búsqueda de imágenes, inevitablemente aparecerán miles de imágenes de una figura encapuchada y sin rostro tecleando en un ordenador portátil, o una figura similar con una máscara de Guy Fawkes.
Esta imagen estereotipada de un hacker está cansando mucho y, bueno, hace que todos parezcan malos. Hay muchos chicos y chicas buenos en materia de seguridad, y las connotaciones negativas en torno a la imagen de "hacker" hacen un flaco favor a todo el mundo.
¿Creo que esto cambiará pronto? Probablemente no, pero es bueno soñar. Por ahora, es importante recordar que la seguridad no tiene por qué dar miedo.
En nuestra industria, muchos expertos en seguridad han comenzado a predecir los temas candentes del año, pero con más de cinco mil millones de registros de datos sensibles robados en 2019, pensamos que sería más preciso predecir lo que no sucederá en la ciberseguridad en el futuro inmediato.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció originalmente en Lectura oscura. Se ha actualizado para su sindicación aquí.
En nuestra industria, muchos expertos en seguridad han tomado la costumbre de predecir los temas candentes para el próximo año (y yo no soy una excepción), pero con más de cinco mil millones de registros de datos sensibles robados en 2019, me imaginé que sería más preciso predecir lo que no sucederá en ciberseguridad en 2020, o de hecho en el futuro previsible.
Me senté con mi cofundador, Matías Madou, y nos reímos un poco al elaborar esta lista. Pretende ser una perspectiva algo desenfadada, pero te hace reflexionar sobre el largo camino que queda por recorrer para fortificar cada organización contra los ciberataques maliciosos.
Ahora, miremos en nuestra bola de cristal y revelemos nuestras predicciones. No vamos a ver:
Inyecciones SQL erradicadas de todo el software
Creo que todos los profesionales de la seguridad del planeta han estado esperando el día en el que ya no se descarrilen para identificar los fallos de inyección SQL, hasta la saciedad.
Lamentablemente, llevamos más de veinte años esperando este día, y seguiremos esperando al menos uno más. Es la vulnerabilidad que, como una cucaracha, ha sobrevivido a todas las tácticas hasta ahora para erradicarla definitivamente.
Es frustrante, como mínimo, ya que el remedio se conoce desde hace casi el mismo tiempo. Sin embargo, la prioridad de las mejores prácticas de seguridad en cada etapa del desarrollo de software (especialmente desde el principio) sigue siendo demasiado baja, y ciertamente inadecuada a la luz del gran aumento de la producción de código desde el descubrimiento de la inyección SQL.
(¿Quieres saber más sobre los patrones de codificación que pueden llevar a una inyección SQL? Acepte el reto aquí).
Los desarrolladores y AppSec se convierten en los mejores amigos
Ah, los desarrolladores y el equipo de AppSec. ¿Se llevarán bien alguna vez, o están destinados a una vida de rivalidad como la de Rocky contra Apolo? La respuesta corta es que sí, pueden llevarse bien, pero ahora mismo sus prioridades suelen ser muy diferentes.
Cuando se encuentran en el entorno de un proyecto, están en las antípodas y chocan justo en el último obstáculo: cuando los especialistas en seguridad de las aplicaciones examinan el código de un desarrollador. El desarrollador ha construido características hermosas y funcionales (que es su máxima prioridad) que se destrozan si se descubren vulnerabilidades de seguridad. El gurú de la seguridad del software, en efecto, ha llamado a su bebé feo y ha obligado al desarrollador a volver a arreglar cualquier error, a menudo retrasando el despliegue.
En nuestro estado actual, esto no se arreglará hasta que los desarrolladores y los equipos de AppSec trabajen hacia un objetivo común, que es la creación de software seguro. No va a ocurrir como un proceso por defecto en 2020 (y con muchas empresas, bastantes años después de eso), pero con la llegada del movimiento DevSecOps y más allá, los desarrolladores están reconociendo la necesidad de actualizar sus conocimientos en materia de seguridad y trabajar con un estándar más alto; uno que incluya objetivos de seguridad desde el principio.
Un exceso de profesionales de la seguridad
En 2020, 2025, 2030... está casi garantizado que nos faltará personal a nivel mundial en lo que respecta a la experiencia en seguridad.
Según un informe del ISC(2), hay alrededor de 2,93 millones de puestos de ciberseguridad sin cubrir. Es casi seguro que esta situación va a empeorar antes de mejorar, y no hay ningún ejército de seguridad oculto esperando a marchar a nuestro rescate en los próximos años.
En el futuro inmediato, nuestra mejor oportunidad para hacer frente a esta escasez de habilidades es hacer de la seguridad una prioridad organizativa y mejorar la capacitación de nuestra fuerza de trabajo actual, y eso significa capacitar a los desarrolladores con la formación y las herramientas para codificar de forma segura, así como crear una cultura de seguridad en toda la empresa. La mayoría de los equipos actuales de AppSec probablemente están luchando contra errores de seguridad conocidos y antiguos (véase el punto 1 anterior). Si nos aseguramos de que no tengan que dedicar un tiempo y un esfuerzo preciosos a arreglar estos problemas comunes, tendrán más ancho de banda para centrarse en los problemas de seguridad más difíciles (por el momento, es probable que estos abarquen problemas con las API, así como la creación de herramientas que puedan adaptarse a los conductos de desarrollo).
Se produce menos código
El mundo se está digitalizando a un ritmo asombroso, y la demanda de la sociedad no va a disminuir. Cada año se escriben aproximadamente 111.000 millones de líneas de código, y esta cifra no hará más que aumentar y ser más aterradora (para los equipos de AppSec, que ya están agotados).
El aumento del volumen de código incrementa inevitablemente las posibles vulnerabilidades de seguridad, por lo que cualquier idea de que 2020 será un año más lento para la producción de software y las infracciones es tan realista como que se celebren carreras de unicornios en el Grand National.
Reducción de los robos de registros de datos
Como he dicho, más código significa más vulnerabilidades, y esto presenta más oportunidades para que los atacantes encuentren una manera de robar datos.
En 2019 se robaron al menos 5.300 millones de registros en todo el mundo, y la defensa contra los atacantes sigue siendo un poco desesperada y reactiva. Puede que esta cifra no se duplique en los próximos doce meses, pero creo que se acercará.
Como ejemplo, veamos las tendencias históricas de los datos robados denunciados en Estados Unidos año tras año:
Si se examina el período comprendido entre 2005 y 2010, se observa un aumento constante con un pequeño flujo y reflujo entre años. Esto es interesante, pero un factor importante que hay que destacar es que en 2009 se produjo un fuerte descenso en el número de infracciones notificadas en comparación con 2008. Sin embargo, hubo un claro aumento en el número de registros robados a pesar de que hubo menos infracciones.
Los registros de datos son el nuevo oro; tienen valor para un atacante. El gráfico refleja una tendencia general al alza de las violaciones y el número de registros robados, con un enorme pico en 2017. El número de ataques tuvo una tendencia a la baja en 2018, quizá debido al endurecimiento de las medidas de seguridad, pero el número de registros obtenidos fue el más alto de la historia. Los ciberataques serán cada vez más sofisticados, de gran volumen y no van a desaparecer pronto. Y a nivel mundial, es poco probable que veamos un descenso en 2020, ya que las empresas producen rápidamente más software que nunca. Son los guardianes de nuestros datos y deben trabajar de forma más inteligente para proteger nuestra privacidad.
Los promotores exigen una formación de seguridad más larga y frecuente basada en vídeos
Si hay algo que les gusta a los desarrolladores es ver horas y horas de vídeos de formación por ordenador (CBT). De hecho, es tal la demanda de este cautivador contenido, que Netflix anunciará toda una nueva subcategoría dedicada a los vídeos genéricos de formación en seguridad.
Eh, no. Ni ahora, ni en 2020, ni nunca.
Para los desarrolladores, su introducción a la seguridad es a menudo a través de la formación en el lugar de trabajo. La codificación segura rara vez forma parte de su educación terciaria, y la formación en el puesto de trabajo puede ser su primer encuentro con la seguridad del software. Y, como es lógico, a menudo no les gusta.
Para que los desarrolladores se tomen en serio la seguridad -y para que la formación sea útil- tiene que ser relevante, atractiva y contextual a sus trabajos. Una formación puntual sobre el cumplimiento de la normativa, o un flujo interminable de vídeos aburridos, no es el camino hacia el corazón de un desarrollador, y no va a reducir las vulnerabilidades.
Si quieres que la cohorte de desarrolladores tenga alguna posibilidad de convertirse en una fuerza defensiva consciente de la seguridad contra las vulnerabilidades comunes, haz que trabajen con ejemplos de código reales, del tipo que se encontrarían en sus tareas diarias. Haz que el aprendizaje sea del tamaño de un bocado, que sea fácil de construir, e incentívalo con un sentido de diversión. Para que una cultura de seguridad prospere, debe ser positiva, atractiva y desarrollar habilidades y soluciones reales en toda la organización.
¿Quién sabe? Con la formación adecuada, un desarrollador podría reconocer el campeón de seguridad que lleva dentro y difundir los beneficios de la codificación segura a lo largo y ancho.
Cero muertes por un incidente relacionado con la ciberseguridad
Está claro que esto no es un asunto de risa. He dicho muchas veces que el mundo simplemente no se preocupará por la ciberseguridad hasta que la gente empiece a morir por un incidente relacionado con un ciberataque.
El problema es que esto ya ha sucedido, y ha pasado bastante desapercibido.
Los ciberataques contra hospitales estadounidenses se han relacionado con un aumento de las muertes por infarto en 2019. Por supuesto, los atacantes no provocaron eventos cardíacos letales en los pacientes, pero sus ataques de ransomware a los sistemas y equipos de los hospitales ralentizaron los tiempos de tratamiento de los cuidados críticos.
Este estudio de la Universidad de Florida Central analizó 3.000 hospitales, 311 de los cuales habían sufrido una violación de datos. En los que se vieron afectados por un incidente de seguridad, tardaron una media de 2,7 minutos más en realizar un ECG a las víctimas sospechosas de sufrir un infarto; probablemente debido a los cambios en los procedimientos, las medidas de seguridad recién implementadas y los problemas de soporte informático que ocuparon más tiempo que antes. Identificar y tratar un ataque al corazón es una carrera contra el tiempo, y en esos hospitales se produjeron de media 36 muertes más por cada 10.000 ataques al corazón al año.
Esto es impactante y, por desgracia, creo que empeorará antes de mejorar. Esto debería servir como un duro recordatorio de que todos tenemos que hacer más para elevar la seguridad del software y hacer que sea una prioridad en todas las empresas.
Menos imágenes de stock de "hackers encapuchados"
Si se escribe "hacker" en una búsqueda de imágenes, inevitablemente aparecerán miles de imágenes de una figura encapuchada y sin rostro tecleando en un ordenador portátil, o una figura similar con una máscara de Guy Fawkes.
Esta imagen estereotipada de un hacker está cansando mucho y, bueno, hace que todos parezcan malos. Hay muchos chicos y chicas buenos en materia de seguridad, y las connotaciones negativas en torno a la imagen de "hacker" hacen un flaco favor a todo el mundo.
¿Creo que esto cambiará pronto? Probablemente no, pero es bueno soñar. Por ahora, es importante recordar que la seguridad no tiene por qué dar miedo.
Una versión de este artículo apareció originalmente en Lectura oscura. Se ha actualizado para su sindicación aquí.
En nuestra industria, muchos expertos en seguridad han tomado la costumbre de predecir los temas candentes para el próximo año (y yo no soy una excepción), pero con más de cinco mil millones de registros de datos sensibles robados en 2019, me imaginé que sería más preciso predecir lo que no sucederá en ciberseguridad en 2020, o de hecho en el futuro previsible.
Me senté con mi cofundador, Matías Madou, y nos reímos un poco al elaborar esta lista. Pretende ser una perspectiva algo desenfadada, pero te hace reflexionar sobre el largo camino que queda por recorrer para fortificar cada organización contra los ciberataques maliciosos.
Ahora, miremos en nuestra bola de cristal y revelemos nuestras predicciones. No vamos a ver:
Inyecciones SQL erradicadas de todo el software
Creo que todos los profesionales de la seguridad del planeta han estado esperando el día en el que ya no se descarrilen para identificar los fallos de inyección SQL, hasta la saciedad.
Lamentablemente, llevamos más de veinte años esperando este día, y seguiremos esperando al menos uno más. Es la vulnerabilidad que, como una cucaracha, ha sobrevivido a todas las tácticas hasta ahora para erradicarla definitivamente.
Es frustrante, como mínimo, ya que el remedio se conoce desde hace casi el mismo tiempo. Sin embargo, la prioridad de las mejores prácticas de seguridad en cada etapa del desarrollo de software (especialmente desde el principio) sigue siendo demasiado baja, y ciertamente inadecuada a la luz del gran aumento de la producción de código desde el descubrimiento de la inyección SQL.
(¿Quieres saber más sobre los patrones de codificación que pueden llevar a una inyección SQL? Acepte el reto aquí).
Los desarrolladores y AppSec se convierten en los mejores amigos
Ah, los desarrolladores y el equipo de AppSec. ¿Se llevarán bien alguna vez, o están destinados a una vida de rivalidad como la de Rocky contra Apolo? La respuesta corta es que sí, pueden llevarse bien, pero ahora mismo sus prioridades suelen ser muy diferentes.
Cuando se encuentran en el entorno de un proyecto, están en las antípodas y chocan justo en el último obstáculo: cuando los especialistas en seguridad de las aplicaciones examinan el código de un desarrollador. El desarrollador ha construido características hermosas y funcionales (que es su máxima prioridad) que se destrozan si se descubren vulnerabilidades de seguridad. El gurú de la seguridad del software, en efecto, ha llamado a su bebé feo y ha obligado al desarrollador a volver a arreglar cualquier error, a menudo retrasando el despliegue.
En nuestro estado actual, esto no se arreglará hasta que los desarrolladores y los equipos de AppSec trabajen hacia un objetivo común, que es la creación de software seguro. No va a ocurrir como un proceso por defecto en 2020 (y con muchas empresas, bastantes años después de eso), pero con la llegada del movimiento DevSecOps y más allá, los desarrolladores están reconociendo la necesidad de actualizar sus conocimientos en materia de seguridad y trabajar con un estándar más alto; uno que incluya objetivos de seguridad desde el principio.
Un exceso de profesionales de la seguridad
En 2020, 2025, 2030... está casi garantizado que nos faltará personal a nivel mundial en lo que respecta a la experiencia en seguridad.
Según un informe del ISC(2), hay alrededor de 2,93 millones de puestos de ciberseguridad sin cubrir. Es casi seguro que esta situación va a empeorar antes de mejorar, y no hay ningún ejército de seguridad oculto esperando a marchar a nuestro rescate en los próximos años.
En el futuro inmediato, nuestra mejor oportunidad para hacer frente a esta escasez de habilidades es hacer de la seguridad una prioridad organizativa y mejorar la capacitación de nuestra fuerza de trabajo actual, y eso significa capacitar a los desarrolladores con la formación y las herramientas para codificar de forma segura, así como crear una cultura de seguridad en toda la empresa. La mayoría de los equipos actuales de AppSec probablemente están luchando contra errores de seguridad conocidos y antiguos (véase el punto 1 anterior). Si nos aseguramos de que no tengan que dedicar un tiempo y un esfuerzo preciosos a arreglar estos problemas comunes, tendrán más ancho de banda para centrarse en los problemas de seguridad más difíciles (por el momento, es probable que estos abarquen problemas con las API, así como la creación de herramientas que puedan adaptarse a los conductos de desarrollo).
Se produce menos código
El mundo se está digitalizando a un ritmo asombroso, y la demanda de la sociedad no va a disminuir. Cada año se escriben aproximadamente 111.000 millones de líneas de código, y esta cifra no hará más que aumentar y ser más aterradora (para los equipos de AppSec, que ya están agotados).
El aumento del volumen de código incrementa inevitablemente las posibles vulnerabilidades de seguridad, por lo que cualquier idea de que 2020 será un año más lento para la producción de software y las infracciones es tan realista como que se celebren carreras de unicornios en el Grand National.
Reducción de los robos de registros de datos
Como he dicho, más código significa más vulnerabilidades, y esto presenta más oportunidades para que los atacantes encuentren una manera de robar datos.
En 2019 se robaron al menos 5.300 millones de registros en todo el mundo, y la defensa contra los atacantes sigue siendo un poco desesperada y reactiva. Puede que esta cifra no se duplique en los próximos doce meses, pero creo que se acercará.
Como ejemplo, veamos las tendencias históricas de los datos robados denunciados en Estados Unidos año tras año:
Si se examina el período comprendido entre 2005 y 2010, se observa un aumento constante con un pequeño flujo y reflujo entre años. Esto es interesante, pero un factor importante que hay que destacar es que en 2009 se produjo un fuerte descenso en el número de infracciones notificadas en comparación con 2008. Sin embargo, hubo un claro aumento en el número de registros robados a pesar de que hubo menos infracciones.
Los registros de datos son el nuevo oro; tienen valor para un atacante. El gráfico refleja una tendencia general al alza de las violaciones y el número de registros robados, con un enorme pico en 2017. El número de ataques tuvo una tendencia a la baja en 2018, quizá debido al endurecimiento de las medidas de seguridad, pero el número de registros obtenidos fue el más alto de la historia. Los ciberataques serán cada vez más sofisticados, de gran volumen y no van a desaparecer pronto. Y a nivel mundial, es poco probable que veamos un descenso en 2020, ya que las empresas producen rápidamente más software que nunca. Son los guardianes de nuestros datos y deben trabajar de forma más inteligente para proteger nuestra privacidad.
Los promotores exigen una formación de seguridad más larga y frecuente basada en vídeos
Si hay algo que les gusta a los desarrolladores es ver horas y horas de vídeos de formación por ordenador (CBT). De hecho, es tal la demanda de este cautivador contenido, que Netflix anunciará toda una nueva subcategoría dedicada a los vídeos genéricos de formación en seguridad.
Eh, no. Ni ahora, ni en 2020, ni nunca.
Para los desarrolladores, su introducción a la seguridad es a menudo a través de la formación en el lugar de trabajo. La codificación segura rara vez forma parte de su educación terciaria, y la formación en el puesto de trabajo puede ser su primer encuentro con la seguridad del software. Y, como es lógico, a menudo no les gusta.
Para que los desarrolladores se tomen en serio la seguridad -y para que la formación sea útil- tiene que ser relevante, atractiva y contextual a sus trabajos. Una formación puntual sobre el cumplimiento de la normativa, o un flujo interminable de vídeos aburridos, no es el camino hacia el corazón de un desarrollador, y no va a reducir las vulnerabilidades.
Si quieres que la cohorte de desarrolladores tenga alguna posibilidad de convertirse en una fuerza defensiva consciente de la seguridad contra las vulnerabilidades comunes, haz que trabajen con ejemplos de código reales, del tipo que se encontrarían en sus tareas diarias. Haz que el aprendizaje sea del tamaño de un bocado, que sea fácil de construir, e incentívalo con un sentido de diversión. Para que una cultura de seguridad prospere, debe ser positiva, atractiva y desarrollar habilidades y soluciones reales en toda la organización.
¿Quién sabe? Con la formación adecuada, un desarrollador podría reconocer el campeón de seguridad que lleva dentro y difundir los beneficios de la codificación segura a lo largo y ancho.
Cero muertes por un incidente relacionado con la ciberseguridad
Está claro que esto no es un asunto de risa. He dicho muchas veces que el mundo simplemente no se preocupará por la ciberseguridad hasta que la gente empiece a morir por un incidente relacionado con un ciberataque.
El problema es que esto ya ha sucedido, y ha pasado bastante desapercibido.
Los ciberataques contra hospitales estadounidenses se han relacionado con un aumento de las muertes por infarto en 2019. Por supuesto, los atacantes no provocaron eventos cardíacos letales en los pacientes, pero sus ataques de ransomware a los sistemas y equipos de los hospitales ralentizaron los tiempos de tratamiento de los cuidados críticos.
Este estudio de la Universidad de Florida Central analizó 3.000 hospitales, 311 de los cuales habían sufrido una violación de datos. En los que se vieron afectados por un incidente de seguridad, tardaron una media de 2,7 minutos más en realizar un ECG a las víctimas sospechosas de sufrir un infarto; probablemente debido a los cambios en los procedimientos, las medidas de seguridad recién implementadas y los problemas de soporte informático que ocuparon más tiempo que antes. Identificar y tratar un ataque al corazón es una carrera contra el tiempo, y en esos hospitales se produjeron de media 36 muertes más por cada 10.000 ataques al corazón al año.
Esto es impactante y, por desgracia, creo que empeorará antes de mejorar. Esto debería servir como un duro recordatorio de que todos tenemos que hacer más para elevar la seguridad del software y hacer que sea una prioridad en todas las empresas.
Menos imágenes de stock de "hackers encapuchados"
Si se escribe "hacker" en una búsqueda de imágenes, inevitablemente aparecerán miles de imágenes de una figura encapuchada y sin rostro tecleando en un ordenador portátil, o una figura similar con una máscara de Guy Fawkes.
Esta imagen estereotipada de un hacker está cansando mucho y, bueno, hace que todos parezcan malos. Hay muchos chicos y chicas buenos en materia de seguridad, y las connotaciones negativas en torno a la imagen de "hacker" hacen un flaco favor a todo el mundo.
¿Creo que esto cambiará pronto? Probablemente no, pero es bueno soñar. Por ahora, es importante recordar que la seguridad no tiene por qué dar miedo.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció originalmente en Lectura oscura. Se ha actualizado para su sindicación aquí.
En nuestra industria, muchos expertos en seguridad han tomado la costumbre de predecir los temas candentes para el próximo año (y yo no soy una excepción), pero con más de cinco mil millones de registros de datos sensibles robados en 2019, me imaginé que sería más preciso predecir lo que no sucederá en ciberseguridad en 2020, o de hecho en el futuro previsible.
Me senté con mi cofundador, Matías Madou, y nos reímos un poco al elaborar esta lista. Pretende ser una perspectiva algo desenfadada, pero te hace reflexionar sobre el largo camino que queda por recorrer para fortificar cada organización contra los ciberataques maliciosos.
Ahora, miremos en nuestra bola de cristal y revelemos nuestras predicciones. No vamos a ver:
Inyecciones SQL erradicadas de todo el software
Creo que todos los profesionales de la seguridad del planeta han estado esperando el día en el que ya no se descarrilen para identificar los fallos de inyección SQL, hasta la saciedad.
Lamentablemente, llevamos más de veinte años esperando este día, y seguiremos esperando al menos uno más. Es la vulnerabilidad que, como una cucaracha, ha sobrevivido a todas las tácticas hasta ahora para erradicarla definitivamente.
Es frustrante, como mínimo, ya que el remedio se conoce desde hace casi el mismo tiempo. Sin embargo, la prioridad de las mejores prácticas de seguridad en cada etapa del desarrollo de software (especialmente desde el principio) sigue siendo demasiado baja, y ciertamente inadecuada a la luz del gran aumento de la producción de código desde el descubrimiento de la inyección SQL.
(¿Quieres saber más sobre los patrones de codificación que pueden llevar a una inyección SQL? Acepte el reto aquí).
Los desarrolladores y AppSec se convierten en los mejores amigos
Ah, los desarrolladores y el equipo de AppSec. ¿Se llevarán bien alguna vez, o están destinados a una vida de rivalidad como la de Rocky contra Apolo? La respuesta corta es que sí, pueden llevarse bien, pero ahora mismo sus prioridades suelen ser muy diferentes.
Cuando se encuentran en el entorno de un proyecto, están en las antípodas y chocan justo en el último obstáculo: cuando los especialistas en seguridad de las aplicaciones examinan el código de un desarrollador. El desarrollador ha construido características hermosas y funcionales (que es su máxima prioridad) que se destrozan si se descubren vulnerabilidades de seguridad. El gurú de la seguridad del software, en efecto, ha llamado a su bebé feo y ha obligado al desarrollador a volver a arreglar cualquier error, a menudo retrasando el despliegue.
En nuestro estado actual, esto no se arreglará hasta que los desarrolladores y los equipos de AppSec trabajen hacia un objetivo común, que es la creación de software seguro. No va a ocurrir como un proceso por defecto en 2020 (y con muchas empresas, bastantes años después de eso), pero con la llegada del movimiento DevSecOps y más allá, los desarrolladores están reconociendo la necesidad de actualizar sus conocimientos en materia de seguridad y trabajar con un estándar más alto; uno que incluya objetivos de seguridad desde el principio.
Un exceso de profesionales de la seguridad
En 2020, 2025, 2030... está casi garantizado que nos faltará personal a nivel mundial en lo que respecta a la experiencia en seguridad.
Según un informe del ISC(2), hay alrededor de 2,93 millones de puestos de ciberseguridad sin cubrir. Es casi seguro que esta situación va a empeorar antes de mejorar, y no hay ningún ejército de seguridad oculto esperando a marchar a nuestro rescate en los próximos años.
En el futuro inmediato, nuestra mejor oportunidad para hacer frente a esta escasez de habilidades es hacer de la seguridad una prioridad organizativa y mejorar la capacitación de nuestra fuerza de trabajo actual, y eso significa capacitar a los desarrolladores con la formación y las herramientas para codificar de forma segura, así como crear una cultura de seguridad en toda la empresa. La mayoría de los equipos actuales de AppSec probablemente están luchando contra errores de seguridad conocidos y antiguos (véase el punto 1 anterior). Si nos aseguramos de que no tengan que dedicar un tiempo y un esfuerzo preciosos a arreglar estos problemas comunes, tendrán más ancho de banda para centrarse en los problemas de seguridad más difíciles (por el momento, es probable que estos abarquen problemas con las API, así como la creación de herramientas que puedan adaptarse a los conductos de desarrollo).
Se produce menos código
El mundo se está digitalizando a un ritmo asombroso, y la demanda de la sociedad no va a disminuir. Cada año se escriben aproximadamente 111.000 millones de líneas de código, y esta cifra no hará más que aumentar y ser más aterradora (para los equipos de AppSec, que ya están agotados).
El aumento del volumen de código incrementa inevitablemente las posibles vulnerabilidades de seguridad, por lo que cualquier idea de que 2020 será un año más lento para la producción de software y las infracciones es tan realista como que se celebren carreras de unicornios en el Grand National.
Reducción de los robos de registros de datos
Como he dicho, más código significa más vulnerabilidades, y esto presenta más oportunidades para que los atacantes encuentren una manera de robar datos.
En 2019 se robaron al menos 5.300 millones de registros en todo el mundo, y la defensa contra los atacantes sigue siendo un poco desesperada y reactiva. Puede que esta cifra no se duplique en los próximos doce meses, pero creo que se acercará.
Como ejemplo, veamos las tendencias históricas de los datos robados denunciados en Estados Unidos año tras año:
Si se examina el período comprendido entre 2005 y 2010, se observa un aumento constante con un pequeño flujo y reflujo entre años. Esto es interesante, pero un factor importante que hay que destacar es que en 2009 se produjo un fuerte descenso en el número de infracciones notificadas en comparación con 2008. Sin embargo, hubo un claro aumento en el número de registros robados a pesar de que hubo menos infracciones.
Los registros de datos son el nuevo oro; tienen valor para un atacante. El gráfico refleja una tendencia general al alza de las violaciones y el número de registros robados, con un enorme pico en 2017. El número de ataques tuvo una tendencia a la baja en 2018, quizá debido al endurecimiento de las medidas de seguridad, pero el número de registros obtenidos fue el más alto de la historia. Los ciberataques serán cada vez más sofisticados, de gran volumen y no van a desaparecer pronto. Y a nivel mundial, es poco probable que veamos un descenso en 2020, ya que las empresas producen rápidamente más software que nunca. Son los guardianes de nuestros datos y deben trabajar de forma más inteligente para proteger nuestra privacidad.
Los promotores exigen una formación de seguridad más larga y frecuente basada en vídeos
Si hay algo que les gusta a los desarrolladores es ver horas y horas de vídeos de formación por ordenador (CBT). De hecho, es tal la demanda de este cautivador contenido, que Netflix anunciará toda una nueva subcategoría dedicada a los vídeos genéricos de formación en seguridad.
Eh, no. Ni ahora, ni en 2020, ni nunca.
Para los desarrolladores, su introducción a la seguridad es a menudo a través de la formación en el lugar de trabajo. La codificación segura rara vez forma parte de su educación terciaria, y la formación en el puesto de trabajo puede ser su primer encuentro con la seguridad del software. Y, como es lógico, a menudo no les gusta.
Para que los desarrolladores se tomen en serio la seguridad -y para que la formación sea útil- tiene que ser relevante, atractiva y contextual a sus trabajos. Una formación puntual sobre el cumplimiento de la normativa, o un flujo interminable de vídeos aburridos, no es el camino hacia el corazón de un desarrollador, y no va a reducir las vulnerabilidades.
Si quieres que la cohorte de desarrolladores tenga alguna posibilidad de convertirse en una fuerza defensiva consciente de la seguridad contra las vulnerabilidades comunes, haz que trabajen con ejemplos de código reales, del tipo que se encontrarían en sus tareas diarias. Haz que el aprendizaje sea del tamaño de un bocado, que sea fácil de construir, e incentívalo con un sentido de diversión. Para que una cultura de seguridad prospere, debe ser positiva, atractiva y desarrollar habilidades y soluciones reales en toda la organización.
¿Quién sabe? Con la formación adecuada, un desarrollador podría reconocer el campeón de seguridad que lleva dentro y difundir los beneficios de la codificación segura a lo largo y ancho.
Cero muertes por un incidente relacionado con la ciberseguridad
Está claro que esto no es un asunto de risa. He dicho muchas veces que el mundo simplemente no se preocupará por la ciberseguridad hasta que la gente empiece a morir por un incidente relacionado con un ciberataque.
El problema es que esto ya ha sucedido, y ha pasado bastante desapercibido.
Los ciberataques contra hospitales estadounidenses se han relacionado con un aumento de las muertes por infarto en 2019. Por supuesto, los atacantes no provocaron eventos cardíacos letales en los pacientes, pero sus ataques de ransomware a los sistemas y equipos de los hospitales ralentizaron los tiempos de tratamiento de los cuidados críticos.
Este estudio de la Universidad de Florida Central analizó 3.000 hospitales, 311 de los cuales habían sufrido una violación de datos. En los que se vieron afectados por un incidente de seguridad, tardaron una media de 2,7 minutos más en realizar un ECG a las víctimas sospechosas de sufrir un infarto; probablemente debido a los cambios en los procedimientos, las medidas de seguridad recién implementadas y los problemas de soporte informático que ocuparon más tiempo que antes. Identificar y tratar un ataque al corazón es una carrera contra el tiempo, y en esos hospitales se produjeron de media 36 muertes más por cada 10.000 ataques al corazón al año.
Esto es impactante y, por desgracia, creo que empeorará antes de mejorar. Esto debería servir como un duro recordatorio de que todos tenemos que hacer más para elevar la seguridad del software y hacer que sea una prioridad en todas las empresas.
Menos imágenes de stock de "hackers encapuchados"
Si se escribe "hacker" en una búsqueda de imágenes, inevitablemente aparecerán miles de imágenes de una figura encapuchada y sin rostro tecleando en un ordenador portátil, o una figura similar con una máscara de Guy Fawkes.
Esta imagen estereotipada de un hacker está cansando mucho y, bueno, hace que todos parezcan malos. Hay muchos chicos y chicas buenos en materia de seguridad, y las connotaciones negativas en torno a la imagen de "hacker" hacen un flaco favor a todo el mundo.
¿Creo que esto cambiará pronto? Probablemente no, pero es bueno soñar. Por ahora, es importante recordar que la seguridad no tiene por qué dar miedo.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Panorama de la gestión de riesgos de los promotores
La gestión de riesgos del desarrollador es un enfoque holístico y proactivo de la seguridad de las aplicaciones, centrado en quienes contribuyen al código y no en los bits y bytes de la propia capa de la aplicación.
Seguridad desde el diseño: Definición de las mejores prácticas, capacitación de los desarrolladores y evaluación comparativa de los resultados de la seguridad preventiva
En este documento de investigación, los cofundadores Secure Code Warrior , Pieter Danhieux y el Dr. Matias Madou, Ph.D., junto con los expertos colaboradores, Chris Inglis, ex Director Nacional Cibernético de EE.UU. (ahora Asesor Estratégico de Paladin Capital Group), y Devin Lynch, Director Senior, Paladin Global Institute, revelarán los hallazgos clave de más de veinte entrevistas en profundidad con líderes de seguridad empresarial, incluyendo CISOs, un VP de Seguridad de Aplicaciones y profesionales de seguridad de software.
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
Encontrar datos significativos sobre el éxito de las iniciativas Secure-by-Design es notoriamente difícil. Los responsables de la seguridad de la información se enfrentan a menudo al reto de demostrar el rendimiento de la inversión (ROI) y el valor empresarial de las actividades de los programas de seguridad, tanto a nivel de las personas como de la empresa. Por no mencionar que a las empresas les resulta especialmente difícil obtener información sobre cómo se comparan sus organizaciones con los estándares actuales del sector. La Estrategia Nacional de Ciberseguridad del Presidente desafió a las partes interesadas a "adoptar la seguridad y la resiliencia desde el diseño". La clave para que las iniciativas de seguridad por diseño funcionen no es sólo dotar a los desarrolladores de las habilidades necesarias para garantizar un código seguro, sino también garantizar a los reguladores que esas habilidades están en su lugar. En esta presentación, compartimos una miríada de datos cualitativos y cuantitativos, derivados de múltiples fuentes primarias, incluidos puntos de datos internos recogidos de más de 250.000 desarrolladores, opiniones de clientes basadas en datos y estudios públicos. Aprovechando esta agregación de puntos de datos, pretendemos comunicar una visión del estado actual de las iniciativas Secure-by-Design en múltiples verticales. El informe detalla por qué este espacio está actualmente infrautilizado, el impacto significativo que un programa de mejora de las competencias puede tener en la mitigación de los riesgos de ciberseguridad y el potencial para eliminar categorías de vulnerabilidades de un código base.
Servicios profesionales - Acelerar con experiencia
El equipo de servicios de estrategia de programas (PSS) de Secure Code Warriorle ayuda a crear, mejorar y optimizar su programa de codificación segura. Tanto si empieza de cero como si está perfeccionando su enfoque, nuestros expertos le proporcionarán orientación personalizada.
Recursos para empezar
Revelado: Cómo define el sector cibernético la seguridad por diseño
En nuestro último libro blanco, nuestros cofundadores, Pieter Danhieux y el doctor Matias Madou, se sentaron con más de veinte líderes de seguridad empresarial, incluidos CISO, líderes de AppSec y profesionales de la seguridad, para averiguar las piezas clave de este rompecabezas y descubrir la realidad detrás del movimiento Secure by Design. Se trata de una ambición compartida por todos los equipos de seguridad, pero no de un libro de jugadas compartido.
¿Vibe Coding va a convertir tu código en una fiesta de fraternidad?
Vibe Coding es como una fiesta de fraternidad universitaria, y la IA es la pieza central de todos los festejos, el barril. Es muy divertido dar rienda suelta a la creatividad y ver adónde te lleva tu imaginación, pero después de unas cuantas borracheras, beber (o usar IA) con moderación es, sin duda, la solución más segura a largo plazo.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
