kras99 - stock.adobe.com

Los privilegios excesivos siguen siendo el principal riesgo de ciberseguridad

En la segunda parte de la entrevista con Sam Rubin, de Palo Alto Networks, el experto revela que más del 99 % de las cuentas en la nube operan con privilegios excesivos, y lo mismo está sucediendo con la llegada de la IA, lo que crea una superficie de ataque masiva.

La migración acelerada que tuvieron las empresas hacia los entornos de nube y el desarrollo de aplicaciones de inteligencia artificial están generando una nueva explosión de identidades mal gestionadas, advierte Sam Rubin, líder global de la Unit 42 en Palo Alto Networks.

En esta segunda parte de su entrevista con ComputerWeekly en Español, el experto habla sobre la llegada del "superhacker", capaz de lanzar campañas devastadoras con herramientas de inteligencia artificial, y de cómo la automatización con IA está redefiniendo el perfil de los analistas de ciberseguridad.

También explica por qué las pymes latinoamericanas son un blanco atractivo para los ciberataques, y qué deben tener en cuenta las empresas que trabajan sobre código abierto frente a una IA que puede ser usada por los adversarios para encontrar vulnerabilidades en el 80 % de las bases de código empresariales.

¿Qué tan preparadas crees que están las organizaciones en México y América Latina para manejar el riesgo de ataques impulsados por IA?

Sam Rubin: Creo que, como en cualquier país y región, hay una variación muy amplia. Muchas de las grandes empresas de servicios financieros y las multinacionales bien financiadas se encuentran en una situación bastante buena. Han realizado las inversiones necesarias. Pero me preocupa el gran número de pequeñas y medianas empresas que realmente se enfocan más en las operaciones y en tratar de mantenerse a flote desde el punto de vista de los ingresos y las ganancias, y que tal vez no hayan invertido tanto en ciberseguridad. Y es por eso que, cuando analizamos año tras año la respuesta que brindamos, tendemos a ver que ciertos sectores aparecen con más frecuencia que otros.

Y, por lo general, son la manufactura y el comercio minorista, donde los márgenes son muy estrechos. Por lo tanto, no tienen tanto margen para invertir en algunas de estas iniciativas de ciberseguridad.

Unit 42 ha señalado que la identidad ya es el principal vector de ataque en la mayoría de las investigaciones. ¿Cuáles son los errores más comunes que cometen las empresas en la gestión de identidades y privilegios?

Sam Rubin: Una de las cosas más comunes que vemos, y que surge en casi todas las respuestas a incidentes, es que las cuentas tienen permisos excesivos. Una cuenta, ya sea de usuario o del sistema, tiene demasiado acceso, lo que le da al atacante la capacidad de usarla para moverse lateralmente y acceder a sistemas a los que no debería tener acceso.

Pero este es un tema que llevamos años tratando de resolver: el uso de identidades con demasiados permisos…

Sam Rubin: Sí, pero se está manifestando de nuevas formas. Por ejemplo, quiero decir, ahora suena a noticia vieja con la IA, pero la nube, nuestra migración a la nube, no es tan reciente. Y, a medida que las organizaciones pasan de la infraestructura local a la nube, su primer paso es lograr que todo funcione. Necesitan trasladar cargas de trabajo o desarrollar en la nube y simplemente quieren que sus sistemas funcionen.

Y los proveedores de nube también quieren que estas cosas funcionen, así que todo está abierto para que funcione. Pero luego le toca al cliente asegurar el sistema; sin embargo, no lo hace. Dicen: «Sí, ya lo tengo funcionando», pero no restringen los privilegios de acceso. Por eso, hicimos un estudio hace más o menos un año y vimos que más del 99 % de las cuentas en la nube tenían más acceso del que deberían.

Ahora, si avanzamos hasta el presente, vemos lo mismo con la ingeniería y el desarrollo de IA, donde hay personas que ni siquiera son ingenieros de software con formación tradicional que están programando aplicaciones sobre la marcha y solo piensan: «¿Cómo puedo hacer que esto funcione?». No piensan en cómo restringir los privilegios según el principio del privilegio mínimo ni en su acceso. Así que estamos viviendo toda una nueva explosión de cuentas con acceso excesivo. Y, por lo tanto, es un problema enorme y generalizado.

Incluso el riesgo de las identidades en la sombra, donde la adopción de SaaS y los servicios en la nube a menudo supera a la gobernanza, como discutimos antes.

Dado el riesgo de las identidades en la sombra, ¿qué puede hacer un CISO para aumentar la visibilidad sin sofocar la innovación?

Sam Rubin: Exacto. Creo que esa es la misión del CISO. No se puede ver al CISO como alguien que impide que la empresa innove y que se identifiquen nuevas fuentes de ingresos. Debe poder colaborar con el CIO u otro CTO, así como con otras áreas de innovación. Y sí, la forma de hacerlo es involucrarse desde el inicio del proceso. Así, mientras los ingenieros piensan en cómo desarrollar sus soluciones, se incorpora la seguridad en el ciclo de vida del desarrollo de software.

Por ejemplo, en Palo Alto Networks, contamos con un proceso en el que se revisa todo el código de los ingenieros a medida que lo desarrollan, además de buscar información confidencial en el código. Y detenemos las compilaciones antes de que se compile y envíe el código, para asegurarnos de no distribuir código vulnerable.

Al principio, tal vez sea un nuevo proceso de aprendizaje para los ingenieros, pero después de un tiempo, les gusta. Además, les permite trabajar más rápido porque saben que, de lo contrario, tendrán que corregir errores y remediar problemas a posteriori, o su aplicación será responsable de una brecha de seguridad. Así que, aunque requiere un cierto ajuste en el modelo operativo, al final del día permite que una empresa avance y se mueva más rápido.

Y, por último, es un factor facilitador en un mundo en el que, como proveedor, se espera que cuentes con buenas prácticas y cada vez más te preguntan cuáles son tus prácticas de seguridad. ¿Cómo sé que, si compro tu producto, no vas a introducir un ataque a la cadena de suministro de software en mi entorno? Por lo tanto, se está convirtiendo en un factor facilitador y un diferenciador para las empresas que han avanzado en su capacidad de ciberseguridad.

Vinculando esta idea con la idea de las restricciones presupuestarias, ¿crees que para las pequeñas empresas los servicios gestionados son una mejor solución que intentar hacerlo por su cuenta?

Sam Rubin: Creo que las soluciones gestionadas, ya sean de seguridad o de detección y respuesta gestionadas, son una excelente solución. Además, permiten alcanzar un nivel de especialización y un conjunto de capacidades que van más allá de lo que se puede tener internamente. Por eso, considero que es un recurso fenomenal y una categoría de mercado de productos ideal para las empresas medianas o para empresas pequeñas.

También creo que, con relación a eso, es importante contar con soluciones de software que les permitan disponer de capacidades listas para usar. Adoptar soluciones de plataforma también es una excelente manera de minimizar el costo de propiedad y la carga operativa, ya que no tienen que desarrollarlas, integrarlas ni gestionarlas, y la carga administrativa es menor. Así que tanto los servicios gestionados como las soluciones de plataforma son buenas alternativas.

Muchas empresas de la región dependen en gran medida del software de código abierto. ¿Cómo debería evolucionar la estrategia de seguridad del OSS ahora que la IA puede analizar código y aprovechar vulnerabilidades?

Sam Rubin: Este es un gran desafío porque, si observas cualquier base de código, cualquier base de código del mundo, en promedio, entre el 60 % y el 80 % de esa base de código está compuesta por código abierto.

Y, al mismo tiempo, si observamos las capacidades de los modelos de IA de vanguardia, ahí es donde se destacan cuando tienen el código fuente: pueden usarlo para encontrar vulnerabilidades. Así que, de repente, tenemos entre el 60 % y el 80 % de nuestro software construido sobre esta base de código, en la que el adversario será muy hábil para encontrar las brechas y los errores. Esto plantea un gran desafío. Y creo que esta es un área en la que, desde el punto de vista del desarrollo, la comunidad de código abierto se movilizará.

No creo que puedan seguir el ritmo, y creo que será un requisito para las aplicaciones comerciales basadas en código abierto evaluar su código y corregir esos problemas. Y luego, si son buenas empresas ciudadanas, contribuir de vuelta a esos proyectos de código abierto.

¿Puede la automatización de los sistemas de defensa mediante IA compensar la escasez de talento humano, dada la brecha actual en las habilidades de ciberseguridad?

Sam Rubin: Sí. Creo que existe esa posibilidad y que es factible. Considero que las organizaciones deben invertir en esa tecnología y adaptar su modelo operativo para confiar en los sistemas, donde en el pasado tal vez hayan dependido de una persona para la respuesta a incidentes y la corrección. Existe la posibilidad de obtener mayor escala y capacidad mediante el uso de la IA y la automatización.

¿Pero un SOC equipado con herramientas de IA, pero que carezca de analistas experimentados, podría ser lo suficientemente confiable?

Sam Rubin: Creo que la necesidad de personas calificadas no va a desaparecer. Pero creo que el trabajo de las personas y el trabajo del analista de SOC están cambiando rápidamente. El analista de SOC del pasado, de nivel uno y dos, se pasaba el día haciendo un triaje interminable de alertas. Y ahí está el concepto de fatiga por alertas. El analista de SOC del futuro dedica su tiempo a la ingeniería de detección y a ajustar las decisiones tomadas por la IA.

Aún deben ser expertos en seguridad para entender lo que están observando y cómo diseñar y estructurar una mejor capacidad de detección, pero están operando los sistemas en lugar de pasar horas y horas con la clasificación manual de alertas. Así que todo este trabajo rutinario, realmente un tanto mundano y tedioso que, por cierto, da lugar a alertas perdidas –porque, una vez que has visto un flujo de alertas durante cinco horas, es probable que pases por alto esa que deberías haber detectado–, la IA no se cansa de eso.

¿Estamos hablando de un cambio en el perfil de esas funciones?

Sam Rubin: Sí, creo que el conjunto de habilidades se está orientando más hacia la capacidad de diseñar y desarrollar soluciones, alejándose un poco de las habilidades puramente forenses digitales.

¿Qué crees que será más fácil: capacitar a los profesionales o formar nuevo talento?

Sam Rubin: Creo que hemos tenido una escasez de talento en ciberseguridad durante años. Es decir, la escasez de talento está bien documentada. Por eso contamos con un grupo de personas inteligentes, apasionadas y que creen en la misión de la ciberseguridad, que es, fundamentalmente, ayudar y proteger.

Eso es lo que me encanta de esta industria. Estamos aquí para marcar la diferencia y mantener segura a nuestra organización. Y creo que se puede aprovechar esa fuerza laboral y orientarla para que mejore en la ingeniería de detección y en la resolución de estos problemas a gran escala. Y créeme, ellos también quieren hacerlo.

En el SOC de Palo Alto Networks —y en la forma en que lo gestionamos, ya que hemos trabajado muy duro para representar el SOC del futuro— nuestros analistas dedican menos de un tercio de su tiempo a revisar alertas. Dedican aproximadamente un tercio de su tiempo a tareas de ingeniería y otro tercio a investigar amenazas novedosas para comprender al adversario y dar seguimiento a lo que está sucediendo.

¿Podemos esperar versiones de «supermalware» desarrolladas por actores maliciosos que utilicen la IA?

Sam Rubin: Sí, habrá malware que no solo encadene vulnerabilidades de día cero, sino que también tenga capacidad polimórfica, así como la habilidad de adaptarse dinámicamente a los diferentes sistemas operativos y entornos de TI en los que se introduzca.

Creo que eso está por venir, y también dará lugar al «superhacker» del futuro. En lugar de contar con un equipo grande, una sola persona podrá lanzar una campaña masiva utilizando este tipo de herramientas. No es un futuro muy prometedor.

Investigue más sobre Seguridad de la nube