Prevenir los ataques de ransomware a gran escala
por Jack Cable
Una vez más, los estadounidenses soportan la carga de los defectos del software. Millones de estadounidenses recientemente se enfrentó a retrasos con sus medicamentos recetados o se vieron obligados a pagar el precio completo debido a un ataque de ransomware. Si bien los Estados Unidos han empezado a avanzar en la respuesta a los ciberataques, incluso mediante la firma requisitos de notificación de incidentes convertirse en ley: está claro que aún queda mucho trabajo por hacer para frenar la epidemia de ransomware. Los fabricantes de software deben tomar medidas para evitar compromisos en primer lugar, y las empresas que utilizan sus productos deben presionarlos para que lo hagan.
La buena noticia es que el mayor punto fuerte del ransomware es también su talón de Aquiles. Las bandas de ransomware tienen éxito porque la mayoría de las veces explotan vulnerabilidades extraordinariamente simples del software, que es la base de los procesos y servicios esenciales. Para mantener la seguridad nacional y pública, los estadounidenses no pueden aceptar esto como el status quo y, afortunadamente, no tienen que hacerlo.
Soluciones escalables
Los líderes empresariales de los fabricantes de software tienen la clave: pueden crear productos que sean resilientes contra las clases más comunes de ciberataques de bandas de ransomware. No es ciencia espacial: la comunidad de seguridad sabe cómo eliminar las clases de vulnerabilidades en el software desde hace décadas. Lo que se necesita no es un software perfectamente seguro sino un software «lo suficientemente seguro», que los fabricantes de software sean capaces de crear.
Llevar Inyección de SQL, una especie de defecto de codificación que ese causado uno de los lo más perjudicial series de campañas de ransomware el año pasado, que permitieron a piratas informáticos malintencionados comprometer o modificar la información confidencial de las bases de datos. La industria del software no solo conoce las inyecciones de SQL desde hace más de 25 años, sino que se documentaron por primera vez en 1998 — pero también han sabido cómo evitarlos a escala durante décadas. MySQL, una de las bases de datos más comunes, introdujo un enfoque para eliminar las vulnerabilidades de inyección de SQL en 2004.
Clases sistémicas de defectos, como la inyección de SQL o configuraciones predeterminadas inseguras, como la falta de autenticación multifactorial por defecto o contraseñas predeterminadas codificadas, permiten la gran mayoría de los ataques de ransomware y se pueden prevenir a gran escala. Es cierto que adoptar estos enfoques a escala conlleva complejidades y desafíos; por ejemplo, reescribir las consultas de las bases de datos antiguas para que sean seguras requiere recursos. Sin embargo, dado lo masivo y peligrosos impactos que actualmente sufre el público estadounidense, mis colegas de la Agencia de Ciberseguridad e Infraestructura (CISA) de los Estados Unidos y yo creemos que la inversión vale la pena.
El coste de prevenir las clases de vulnerabilidades en la fase de diseño es significativamente inferior al de hacer frente a las complejas consecuencias de un hackeo. Además, las pruebas sugieren que muchas clases de vulnerabilidad, como la inyección de SQL, se pueden eliminar de forma rentable a gran escala. UN reciente artículo de Google afirma que la empresa casi ha eliminado muchas clases de defectos comunes, como la inyección de SQL y las secuencias de comandos entre sitios, en todos sus productos. Es más, Google afirma que ha descubierto que esos enfoques eran rentables y, a veces, incluso ahorró dinero en general, debido a las ventajas de no tener que preocuparse por los errores.
Combatir la inacción
En ningún otro sector los clientes tolerarían que los fabricantes diseñen sus productos de una manera insegura que se puede evitar desde hace mucho tiempo. Sin embargo, esta falta de acción es exactamente lo que ha ocurrido en la industria del software. La administración de Biden Estrategia nacional de ciberseguridad pide que esto cambie y que los fabricantes de software acepten su responsabilidad de proteger sus productos desde el principio.
Para impulsar esta visión, la CISA lanzó su Seguro por diseño campaña del año pasado. A través del «Cambiar el equilibrio del riesgo de ciberseguridad» libro blanco escrito por la CISA y 17 socios nacionales e internacionales y la agencia Serie Secure by Design Alert, ha empezado a emitir directrices específicas y prácticas que los líderes empresariales de los fabricantes de software deben revisar y aplicar. Por ejemplo, mientras que los enfoques tradicionales de análisis de vulnerabilidades fomentan un enfoque gradual para identificar y corregir las vulnerabilidades una por una, la agencia alerta de inyección de SQL pide a los ejecutivos de los fabricantes de software que dirijan las revisiones de sus bases de código y eliminen todas las funciones potencialmente inseguras para eliminar la inyección de SQL en la fuente.
Cómo evaluar las vulnerabilidades
Los líderes de los fabricantes de software deberían realizar urgentemente una evaluación de las clases sistémicas de vulnerabilidades presentes en sus productos. Pueden evaluar las clases de vulnerabilidad en dos escalas: su impacto o el nivel de daño que puede causar esa clase de vulnerabilidad y el coste de prevenir esa vulnerabilidad a gran escala.
Es probable que las vulnerabilidades de inyección de SQL ocupen un lugar destacado en cuanto al nivel de impacto y más bajo en cuanto al coste de eliminación, mientras que las vulnerabilidades de seguridad de la memoria tienen un impacto extremadamente alto, pero requieren una inversión importante para reescribir las bases de código de forma prioritaria. De este modo, las empresas pueden elaborar una lista de prioridades con las medidas más rentables para eliminar las clases de vulnerabilidades de sus productos.
El papel de los clientes en la lucha
Las empresas que compran software también pueden desempeñar un papel exigiendo una mayor seguridad a sus proveedores. VISA se unió recientemente el Producto mínimo viable y seguro grupo de trabajo, que proporciona una lista de verificación sencilla que las organizaciones pueden utilizar al adquirir software para evaluar si se ha adoptado un enfoque seguro desde el diseño. Las organizaciones deberían preguntar a sus vendedores cómo trabajan para eliminar clases enteras de ataques, por ejemplo, haciendo cumplir autenticación multifactorial resistente a la suplantación de identidad y establecer una hoja de ruta segura para la memoria para eliminar la clase más común de vulnerabilidad de software.
Es posible un futuro en el que los ataques de ransomware sean mucho más difíciles de llevar a cabo. Es hora de que las empresas de software hagan realidad este futuro y protejan a los estadounidenses incorporando la seguridad en sus productos desde el principio. Sus clientes deberían exigirles que lo hagan.
Descargo de responsabilidad: La Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) no apoya a ninguna entidad comercial, producto, empresa o servicio, incluidas las entidades, productos o servicios enlazados en este artículo. Cualquier referencia a productos, procesos o servicios comerciales específicos por marca de servicio, marca comercial, fabricante o de otro modo no constituye ni implica el respaldo, la recomendación o el favor por parte de la CISA.
Artículos Relacionados
La IA es genial en las tareas rutinarias. He aquí por qué los consejos de administración deberían resistirse a utilizarla.
Investigación: Cuando el esfuerzo adicional le hace empeorar en su trabajo
A todos nos ha pasado: después de intentar proactivamente agilizar un proceso en el trabajo, se siente mentalmente agotado y menos capaz de realizar bien otras tareas. Pero, ¿tomar la iniciativa para mejorar las tareas de su trabajo le hizo realmente peor en otras actividades al final del día? Un nuevo estudio de trabajadores franceses ha encontrado pruebas contundentes de que cuanto más intentan los trabajadores mejorar las tareas, peor es su rendimiento mental a la hora de cerrar. Esto tiene implicaciones sobre cómo las empresas pueden apoyar mejor a sus equipos para que tengan lo que necesitan para ser proactivos sin fatigarse mentalmente.
En tiempos inciertos, hágase estas preguntas antes de tomar una decisión
En medio de la inestabilidad geopolítica, las conmociones climáticas, la disrupción de la IA, etc., los líderes de hoy en día no navegan por las crisis ocasionales, sino que operan en un estado de perma-crisis.