La creciente amenaza de los ciberataques ha aumentado la presión para que los CISO estén en el centro de la resiliencia empresarial. Pero su trabajo se ha vuelto más difícil.
Nuestra investigación muestra que el 50% de las organizaciones ahora tienen una deuda de seguridad grave, lo que significa que tienen vulnerabilidades de software que permanecen sin abordar durante más de un año.
Esta es una invitación abierta a los ciberdelincuentes y solucionarla requiere una estrategia integral y a largo plazo de gestión de riesgos de las aplicaciones. Sin embargo, la mayoría de las empresas todavía equiparan más análisis con una mayor seguridad.
El artículo continúa a continuación.
Esta suposición está creando graves brechas de seguridad, especialmente en toda la cadena de suministro de software y en el proceso de CI/CD.
El hecho es que los KPI de seguridad tradicionales no sólo no miden el desempeño real de la seguridad, sino que también crean una falsa sensación de progreso. Los recientes compromisos de canalización y dependencia, como la campaña de gusanos en la cadena de suministro de Shai-Hulud, son un buen ejemplo de por qué los grandes volúmenes de escaneo por sí solos hacen poco para prevenir infracciones.
Los CISO necesitan reorientarse. Las métricas más importantes miden la acumulación de vulnerabilidades, el tiempo de residencia de los atacantes no detectados y los controles de seguridad existentes con capacidad comprobada para mitigar las amenazas del mundo real, no solo los riesgos teóricos. En última instancia, la profundidad y la validez son mucho más importantes que la amplitud.
Por qué los KPI de seguridad basados en volumen fallan tanto a los CISO como a las juntas directivas
La medición de los KPI basados en el volumen, como la cantidad de análisis ejecutados, las vulnerabilidades encontradas y las alertas generadas, solo rastrea el esfuerzo realizado para mejorar la seguridad, no los resultados reales. Estos KPI tradicionales le indican cuán necesarias son las medidas de seguridad, pero no si están deteniendo algo significativo.
Por ejemplo, un análisis que encuentre 10 000 problemas de bajo impacto puede parecer productivo en el tablero, pero al mismo tiempo una única dependencia explotable puede permanecer intacta durante meses, lo que presenta un riesgo de seguridad grave y no abordado.
Los miembros de la junta directiva y la alta dirección ven cifras crecientes de KPI y automáticamente asumen una seguridad sólida cuando, en realidad, puede ser todo lo contrario. Esta línea de medición confusa distorsiona la realidad de cómo los equipos de seguridad abordan los riesgos de seguridad.
Estos tropos de toda la industria recompensan inadvertidamente a los equipos de seguridad por crear ruido pero no reducir el riesgo real. Y si bien el tiempo promedio de reparación de fallas de seguridad ha aumentado de 171 días a 252 días en los últimos cinco años, las demoras en la reparación acumulan silenciosamente los riesgos de seguridad.
Las vulnerabilidades ocultas en lo más profundo de las cadenas de suministro y los oleoductos son una bomba de tiempo.
Con los equipos de seguridad ya sobrecargados y luchando por encontrar la capacidad de encontrar y corregir vulnerabilidades, estas métricas obsoletas fomentan una cultura en la que los equipos de seguridad y los CISO miran “por encima de todo”, hasta que se explota una falla antigua y conocida; momento en el cual, puede que sea demasiado tarde.
Los riesgos de compromiso de la canalización y las dependencias han hecho que el escaneo en un punto en el tiempo quede obsoleto
Con el rápido ritmo de los avances tecnológicos y el aparente aumento de los ciberataques exitosos, el escaneo en un momento dado ya no es suficiente. Ignora factores de tiempo críticos, como el tiempo promedio de reparación o la capacidad del atacante para actuar sin querer, que es exactamente lo que explotan los atacantes.
Los ataques modernos ocurren en intervalos de escaneo, y las instantáneas de seguridad no pueden capturar objetivos en movimiento. Para las canalizaciones de CI/CD, están obsoletas. El código cambia varias veces al día y las dependencias se actualizan automáticamente.
Y hoy en día, un atacante ni siquiera tiene que evadir un escaneo. Simplemente esperan la siguiente compilación, confirmación o extracción de dependencia y, cuando se lee el informe de escaneo, el entorno evaluado ya no existe.
Los escáneres tradicionalmente inspeccionan el código fuente o los archivos binarios, pero no el funcionamiento interno del proceso de compilación, lo que significa que un paso de compilación malicioso puede inyectar código una vez finalizado el escaneo.
Esto sucedió con el infame ataque SolarWinds Orion, que comprometió a miles de organizaciones (incluidas agencias gubernamentales de EE. UU.) en 2020, al inyectar código malicioso en actualizaciones de software que luego se distribuyeron a clientes desprevenidos.
Si la construcción ya es tóxica, entonces el análisis es irrelevante.
Qué deberían priorizar los CISO este año
A medida que aumentan los riesgos cibernéticos y los piratas informáticos se vuelven más sofisticados, equilibrar los desafíos asociados con la evaluación de riesgos y demostrar el valor de la seguridad de las aplicaciones se está convirtiendo en un campo minado para los CISO. Necesitan métricas y los equipos de seguridad pueden priorizar para reflejar mejor los riesgos reales de seguridad de la cadena de suministro y las aplicaciones.
Estos incluyen la reducción de la acumulación de defectos explotables, el tiempo que lleva solucionar problemas críticos de producción y la prueba de que las correcciones realmente funcionan, en lugar de simplemente un escaneo. El cambio no es de menos medición a más medición. Esto abarca desde calcular la actividad de seguridad hasta medir la exposición real y la resiliencia empresarial.
En última instancia, las métricas de seguridad deberían indicarle a los líderes cuánto riesgo se ha eliminado y qué tan rápido los sistemas vuelven a la normalidad, no cuánto trabajó el equipo de seguridad para encontrarlo. Este cambio de posición nos ayudará a todos a estar mejor equipados para protegernos adecuadamente contra los riesgos.
Hemos presentado los mejores cursos de ciberseguridad en línea.
Este artículo se creó como parte del canal Expert Insights de TechRadarPro, donde destacamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
