Video: Ataques hacker casi imposibles de detener: 0-day exploits (Noviembre 2024)
Howard Schmidt lo ha hecho todo. Ha manejado la seguridad para Microsoft y eBay. Se desempeñó como Asistente Especial del Presidente y como Coordinador de Seguridad Cibernética para el gobierno. Actualmente es socio, junto con el ex secretario del DHS, Tom Ridge, en la consultora Ridge-Schmidt Cyber. En su calidad de presidente de la Junta Asesora Internacional de Kaspersky Labs, dirigió un panel fascinante sobre ataques selectivos y ciberespionaje en la reciente Cumbre de Seguridad Cibernética de Kaspersky.
Los otros panelistas aportaron conocimiento y experiencia de diversas industrias. Fred Schwien, Director de Programas y Estrategia de Seguridad Nacional, The Boeing Company, debe ocuparse de la seguridad en todos los niveles, comenzando por la cadena de suministro. (Schwien bromeó: "Mi cheque de pago está vinculado al número de letras en mi título"). Joe Sullivan, CSO de Facebook, se preocupa más por el ámbito electrónico, naturalmente. Completando el panel, Eugene Kaspersky es el fundador, presidente y CEO del gigante de seguridad global Kaspersky Lab. No puedo informar la totalidad de la amplia discusión, pero llegaré a los puntos más altos.
Schmidt: "Cuando miramos el tema de la cadena de suministro, Fred, en su trabajo la cadena de suministro es todo. Tiene remaches, motores, asientos, cosas muy críticas para su negocio y para el gobierno. ¿Cómo ve la cadena de suministro en su mundo de infraestructura crítica?
Schwien: "Me gusta decir que el nuevo 747 tiene seis millones de partes volando en formación. Trabajamos duro para asegurar la cadena, para asegurarnos de que las cosas estén hechas a la medida y no corrompidas. Tenemos un grupo semanal específico para la cadena de suministro. " Schwien continuó elaborando las muchas formas en que las compañías de aviación y las agencias gubernamentales comparten información, incluidas las sesiones informativas clasificadas del FBI, la TSA y más.
Schmidt: "Joe, Fred está hablando de grandes infraestructuras, agencias gubernamentales, transporte. ¿Qué hay de Facebook? Supongo que tienes muchos proveedores de los que dependes, así que ese es un problema de la cadena de suministro. ¿Cómo lidias con eso?"
Sullivan: "La gente confía en nosotros, por lo que miramos no solo el sitio web, sino también todas las áreas que podrían ser vulnerables. Pensamos en cuatro cosas, el front-end, el back-end, nuestros empleados y nuestros proveedores. Tenemos un plan integral para cada uno y nos esforzamos por lograr un estado constante de mejora ". Sullivan señaló que cuando Facebook agregó una recompensa de errores por las vulnerabilidades del lado del servidor, obtuvieron información valiosa de la comunidad de investigación.
Schmidt: "Eugene, has blogueado sobre esto. Una violación no tiene por qué ser un asalto frontal. Vimos a un gran minorista comprometido a través de un vendedor aparentemente no relacionado. ¿Cómo piensas tú y tu equipo trabajar con una cadena de suministro?"
Kaspersky: "Es un poco complicado. Represento la seguridad de identificación y soy un paranoico. Las empresas deben pensar no solo en su propia seguridad sino también en sus proveedores. No son solo las compañías las que proporcionan partes para una gran empresa como Boeing. Los restaurantes, el comedor, ofrecen un servicio. ¿Se conectan a su red? ¿Ofrecen servicio de taxi? ¿Tiene Wi-Fi? Hay que pensar en todos los proveedores directos e indirectos ". Relató un descubrimiento realizado por investigadores de Kaspersky Lab. Al comprobar una empresa que desarrolla aplicaciones SCADA para centrales eléctricas, descubrieron una puerta trasera. Quien lo plantó obtuvo acceso completo a la tecnología y la capacidad de modificar el código fuente. "Si su proveedor estaba infectado, ya no puede confiar en sus datos", dijo Kaspersky. "Son buenas noticias para la seguridad de TI, malas noticias para el resto del mundo".
Schmidt: "Eugene, cuando miras la huella mundial global, estás bloqueando APT para Microsoft, Boeing, Facebook… ¿Cómo se benefician los pequeños?"
Kaspersky: "El cibercrimen es una historia diferente. Quieren dinero . No quieren matarte, ni arruinar tu reputación, ni robar tus secretos. Si una pequeña empresa fue golpeada por el ciberespionaje, alguien cometió un error".
Schmidt: "Joe, ¿dónde pones tus esfuerzos para asegurar la cadena de suministro?"
Sullivan: "Analizamos si los terceros pueden cumplir con los estándares publicados, pero eso no es suficiente, y no se pueden sacar conclusiones basadas en el tamaño o la edad de la empresa. Auditamos una empresa de 15 personas que era realmente segura porque era construido con la seguridad en mente. Otro proveedor, una importante institución financiera, contraseñas limitadas a ocho caracteres, sin caracteres especiales y sin distinción entre mayúsculas y minúsculas. No se puede juzgar por tamaño ".
Schmidt: "Eugene, durante diez años hemos estado escuchando 'el antivirus está muerto'. ¿Es eso cierto?"
Kaspersky: "¿Cuál es esa cita de Mark Twain? Los rumores de su muerte son muy exagerados. Existen firmas de antivirus, siguen siendo importantes, pero no las más importantes. Como el cinturón de seguridad de su automóvil; hay que tenerlo, pero no es el parte más importante ".
Schmidt: Fred, Tom Ridge mencionó las regulaciones relacionadas con la seguridad. Esos existen aquí y en todos los países. Puede cumplir con las normas pero aún ser inseguro. ¿Cómo manejas las regulaciones como empresa global?"
Schwien: "A veces llamamos a un avión un sistema de control industrial móvil global. Un avión que me recogió en Newark partió de Singapur y me llevó a Tel Aviv. Trabajamos en el medio ambiente para cada país". Schwien señaló que las regulaciones de los Estados Unidos son a menudo las más estrictas, el estándar de oro, tanto para la seguridad física como cibernética. Continuó citando al General Keith Alexander, ex jefe de la NSA, sobre el equipo de defensa cibernética de los Estados Unidos: "Tenemos el mejor equipo del mundo, pero todavía están en el vestuario".
Sullivan: "Para concluir, los mayores problemas de uso han sido las amenazas que son completamente nuevas. Las firmas no habrían funcionado. Necesitamos más inversión en seguridad fuera de nuestras fronteras, y al enfrentar nuevas vulnerabilidades necesitamos desarrollar nuevas formas de protección El intercambio de información es clave ".
Kaspersky: "¿Qué se debe hacer? El mundo debe dividirse en tres categorías, individual, empresarial e infraestructura crítica. No necesitamos regulación sobre individuos, sobre usuarios de Facebook. Pero necesitamos una regulación estricta de la seguridad de la infraestructura crítica. Empresas, ellos ' estamos en el medio. Necesitamos educación. Lo más importante, necesitamos una regulación especial del gobierno para las pruebas de los oficiales de seguridad. ¡Deben pasar una prueba de paranoia! Esto cambiará el mundo ".
Ahí tienes. Proteja la cadena de suministro, asegúrese de compartir información crucial de seguridad y asegúrese de que todos los oficiales de seguridad pasen la prueba de paranoia. Los miembros de la audiencia mostraron gran entusiasmo.
