Tres tendencias de seguridad emergentes
Abordar la superficie de ataque en constante expansión
Anticiparse al panorama de las amenazas es crucial para que los CISO protejan su negocio, pero en la práctica es difícil mantenerse a la vanguardia. Los ciberdelincuentes se dirigen cada vez más a organizaciones con métodos de ataque nuevos y consolidados. Los programas de seguridad se enfrentan a una expansión constante, cuya tarea es proteger una superficie de ataque en evolución, especialmente cuando las organizaciones se apresuran a crear e implementar modelos internos de IA. Además, los equipos de seguridad se ven envueltos en la encrucijada de apresurarse para seguir el ritmo tanto de los adversarios como de los avances organizativos.
Este artículo destaca tres tendencias emergentes, avaladas por observaciones y datos reales, que exigen la atención y la acción inmediatas de los CISO.
Tendencia 1: los programas de gestión de vulnerabilidades no están preparados para seguir el ritmo acelerado de la militarización
Durante años, los programas de gestión de vulnerabilidades han tenido dificultades para mantener la cadencia de las actualizaciones al ritmo de la divulgación de vulnerabilidades. El tiempo medio de revisión de una vulnerabilidad crítica de una aplicación web es lento, de 35 días. Por desgracia, mantener una cadencia de aplicación de actualizaciones responsable se vuelve más difícil a medida que se descubren más vulnerabilidades cada año. Hubo más de 5000 vulnerabilidades críticas en 2023.
Para más inri, los ciberdelincuentes explotan cada vez más las vulnerabilidades a una velocidad de vértigo. Por ejemplo, la vulnerabilidad CVE-2024-27198, que se divulgó el 4 de marzo de 2024, expuso los servidores de TeamCity a un riesgo total. Los ciberdelincuentes intentaron explotar la vulnerabilidad ese mismo día, y los ataques se observaron solo 22 minutos después de que se publicara el código de prueba de concepto.
Solo en 2023 se identificaron casi 100 vulnerabilidades de día cero, un aumento del 50 % respecto al año anterior, por lo que las organizaciones se enfrentan a un ciclo perpetuo de respuestas de emergencia en caso de divulgación.
Recomendaciones:
Las organizaciones deben adoptar una estrategia multidimensional que trascienda la simple aplicación de actualizaciones para mitigar eficazmente el riesgo de vulnerabilidad. Empieza por reducir la superficie de ataque explotable mediante la segmentación de la red y los principios Zero Trust.
A continuación, implementa medidas de protección para detener la vulnerabilidad de los activos que aún no puedes revisar o actualizar. Un ejemplo podría ser aprovechar la información sobre amenazas en el firewall (tanto de la red como de la aplicación web) para detener los intentos de explotación.
Por último, cuando implementes actualizaciones, prioriza el riesgo de explotación, no la gravedad de la vulnerabilidad. Recursos como el catálogo de vulnerabilidades explotadas conocidas de la CISA son inestimables para determinar las prioridades.
Tendencia 2: los equipos de seguridad deben prepararse para proteger los modelos internos de IA
Mucho se ha dicho sobre la posibilidad de que los usuarios hagan un mal uso de los modelos de lenguaje de gran tamaño (LLM) públicos exponiendo datos confidenciales, por lo que organizaciones como Samsung han prohibido su uso.
Sin embargo, se ha hablado mucho menos sobre los modelos internos de IA, que son un objetivo principal para los atacantes. Además, las organizaciones están invirtiendo sumas importantes, y se prevé que el gasto alcance los 143 000 millones de dólares en 2027.
Es probable que los LLM internos tengan un amplio acceso a información confidencial y propiedad intelectual. Como ejemplo podríamos mencionar un copiloto de IA formado en datos de ventas e interacciones con clientes utilizados para generar propuestas personalizadas, o un LLM formado en una base de conocimientos interna que los ingenieros pueden consultar. Además, dado que los modelos se ejecutan en máquinas de gran potencia, los ciberdelincuentes con motivaciones financieras pueden dirigirse a ellos por su potencia de cálculo.
Los ataques a los LLM internos no son teóricos sino reales. Los ciberdelincuentes vulneraron Ray, un popular marco de IA de código abierto, que concedía acceso a las cargas de trabajo de producción de IA en cientos de empresas. De esta manera, pudieron robar datos confidenciales, contraseñas y privilegios de acceso a la nube. Los ciberdelincuentes también implementaron malware de criptominería.
Recomendaciones:
Los responsables de seguridad deben asegurarse de que sus equipos comprenden los riesgos del uso de LLM y participar activamente en proyectos corporativos para implementar LLM internos. Empezar con las 10 principales vulnerabilidad en aplicaciones LLM de OWASP puede guiar a las organizaciones a la hora de priorizar las medidas de protección, desde la prevención de pérdida de datos hasta el firewall de IA dedicado.
Tendencia 3: el aumento de los ataques a las VPN lleva a las organizaciones a buscar soluciones alternativas de acceso remoto
El año pasado se observó un aumento significativo de los ataques exitosos a dispositivos de seguridad, especialmente a las VPN. Solo en los primeros 4 meses de 2024 se han producido importantes vulnerabilidades de día cero en la VPN SecureConnect de Ivanti, la VPN/firewall GlobalProtect de Palo Alto Networks y las funciones de VPN del dispositivo de seguridad adaptable de Cisco.
Los ciberdelincuentes atacan deliberadamente estas herramientas porque, una vez en riesgo, proporcionan un amplio acceso a la red de una organización. Dado que las VPN son objeto de ataques con demasiada frecuencia, muchas organizaciones están evaluando opciones alternativas de acceso remoto.
Las herramientas de acceso a la red Zero Trust (ZTNA) son una de esas opciones, que proporcionan acceso autenticado a una aplicación específica en lugar de a la red más amplia. También ofrecen ventajas de rendimiento, ya que agilizan y facilitan el acceso de los usuarios a los recursos internos.
ZTNA es un punto de partida común para las organizaciones que adoptan Zero Trust. Según un estudio de ESG* realizado a 200 profesionales en el ámbito de la informática y la ciberseguridad, los dos casos de uso mejor valorados para la implementación inicial de Zero Trust son la aplicación de políticas de acceso Zero Trust a las aplicaciones (ZTAA) para las aplicaciones SaaS y la implementación del acceso a la red Zero Trust (ZTNA) para las aplicaciones privadas. Y, de hecho, el 75 % de los profesionales informáticos y de ciberseguridad que utilizan actualmente ZTNA declaran que han sustituido o planean abandonar las VPN para todos los usuarios.
Recomendaciones:
La protección basada en el perímetro, como las VPN, no tiene sentido en el contexto actual de las amenazas y el auge del teletrabajo. Los CISO deben desarrollar una hoja de ruta para la adopción de Zero Trust, en la que la sustitución de las VPN sea el elemento inicial. Para demostrar rápidamente el valor de la solución, empieza con un caso de uso menor o un conjunto específico de usuarios, y amplía a partir de ahí. Considera factores como la velocidad de implementación, los perfiles de riesgo de los usuarios y las aplicaciones, los comentarios de los usuarios y los plazos de los contratos existentes para priorizar la implementación y maximizar la eficacia.
Anticípate a los riesgos emergentes
A medida que las organizaciones dependen más de la infraestructura informática distribuida e implementan modelos de trabajo remoto e híbrido, la complejidad de proteger una organización sigue creciendo. Hacer frente a las amenazas ha implicado tradicionalmente la agrupación manual de un conjunto cada vez mayor de herramientas tradicionales y aisladas entre dominios de seguridad (p. ej., seguridad de redes, de aplicaciones, de datos e información sobre amenazas).
Cloudflare es una plataforma unificada e inteligente de servicios programables nativos de nube que ofrece seguridad en todas partes para proteger a los usuarios, las aplicaciones y las redes. Esta ventaja permite a las organizaciones recuperar el control, reducir los costes y minimizar los riesgos de proteger un entorno de red en expansión.
*Enterprise Strategy Group, una división de TechTarget, Inc. Encuesta de investigación, Cloudflare Zero Trust for the Workforce Survey, mayo de 2024
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Más información sobre este tema
Descubre las últimas tendencias en seguridad en el nuevo informe de Cloudflare: Informe de seguridad | Amenazas contra los usuarios, las aplicaciones y la infraestructura.
CONCLUSIONES CLAVE
Después de leer este artículo podrás entender:
Cómo los equipos de seguridad intentan seguir el ritmo tanto con los ciberdelincuentes como de los avances organizativos
3 tendencias emergentes que requieren la atención inmediata de los CISO
Recomendaciones prácticas que ayudan a las organizaciones a avanzar y mantenerse a la vanguardia