El mes pasado, tuve la oportunidad de asistir a una cena con 56 directores de seguridad de la información y directores de seguridad de distintas empresas de la banca, los videojuegos, el comercio electrónico y la venta minorista. Nos reunimos sucesivamente en mesas de ocho personas y hablamos sobre los mayores desafíos que afrontaban las personas presentes. En Cloudflare, charlamos a diario con los clientes, pero esta era una oportunidad única de escuchar a los clientes (y los que no lo son) conversar entre ellos. Fue una velada muy interesante, en la que surgieron algunos temas destacados.
El denominador común de los debates fue: "cómo convencer a mis equipos de productos y comerciales para que hagan lo que deseo que hagan". Por extraño que parezca, apenas se dedicó tiempo a desafíos técnicos específicos. Nadie expresó su preocupación acerca de los recientes robos Magecart avanzados, la protección de sus nuevas API GraphQL, cómo proteger simultáneamente dos proveedores de nube distintos, o el hecho de que el volumen de los ataques DDoS es cada vez mayor. La conversación recayó, una y otra vez, sobre los esfuerzos para lograr que los usuarios adoptaran la vía segura, o al menos que no hicieran nada inseguro.
Esto me ha recordado inmediatamente un importante ataque de phishing que Cloudflare pudo impedir el pasado agosto. El ataque, muy sofisticado, utilizó mensajes de texto específicos y una suplantación extremadamente profesional de nuestra página de inicio de sesión de Okta. Algunos empleados de Cloudflare sucumbieron a los mensajes de phishing, porque no somos sino humanos de un equipo de humanos. Sin embargo, pudimos impedir el ataque utilizando nuestros propios productos Cloudflare One, así como claves de seguridad físicas facilitadas a todos los empleados y necesarias para acceder a todas nuestras aplicaciones. El atacante pudo obtener credenciales de nombre de usuario y de contraseña, pero no pudo superar el requisito de presentación de la clave física para iniciar la sesión. Y, en 2023, parece que los ataques de phishing serán cada vez más frecuentes.
Hoy en día, los desafíos de la seguridad a menudo dependen de disponer de la implementación de las herramientas adecuadas para evitar que las personas cometan errores. El año pasado, iniciamos la Security Week hablando sobre el hecho de realizar una transición de la protección de los sitios web a la protección de las aplicaciones. Hoy, la transición es de la protección de las aplicaciones a la protección de los empleados, y garantizar al mismo tiempo que estén protegidos estén donde estén. Hace apenas unas semanas, la Casa Blanca publicó una nueva estrategia en materia de ciberseguridad nacional cuyo objetivo es que todas las agencias "implementen la autenticación multifactor, obtengan visibilidad de toda su superficie de ataque, gestionen la autorización y el acceso, y adopten herramientas de seguridad en la nube". Durante los próximos seis días, descubrirás más de 30 anuncios que facilitarán al máximo este cambio.
Te damos la bienvenida a la Semana de la Seguridad 2023
"Cuántas más herramientas utilizas, menos protegido estás"
Con esta frase, cito directamente al director de seguridad de la información de una importante plataforma de videojuegos en línea. Si añades más proveedores, puedes tener la impresión de que estás añadiendo capas de seguridad, pero también ofreces más posibilidades de riesgo. En primer lugar, cualquier tercero que añadas constituye, por definición, otra vulnerabilidad potencial. La reciente vulnerabilidad de LastPass es un ejemplo perfecto. Los atacantes accedieron a un servicio de almacenamiento en la nube, que les proporcionó información que utilizaron para lanzar un ataque secundario de phishing a un empleado. En segundo lugar, más herramientas significa más complejidad. más sistemas en los que iniciar sesión, más paneles de control que comprobar. Si la información está distribuida en varios sistemas, es más probable que no detectes cambios importantes. En tercer lugar, cuantas más herramientas utilices, menos probable es que alguien pueda controlarlas todas. Si necesitas que la persona que conoce la herramienta de seguridad de las aplicaciones, la que conoce el SIEM y la que conoce la herramienta de acceso se coordinen en cada caso de vulnerabilidad potencial, te encontrarás con problemas de comunicación. La complejidad es el enemigo de la seguridad. Por último, añadir más herramientas puede proporcionar un falso sentido de seguridad. Añadir una nueva herramienta puede darte la impresión de que has añadido protección integral. Pero esa herramienta solo añade protección si funciona, si está configurada adecuadamente, y si las personas realmente la utilizan.
Esta semana, oirás hablar sobre todas las iniciativas en las que estamos trabajando para ayudarte a resolver este problema. Anunciaremos múltiples integraciones que te facilitarán la implementación y la gestión Zero Trust en cualquier lugar, en múltiples plataformas, pero todo ello desde el panel de control de Cloudflare. También estamos ampliando nuestras probadas funciones de detección a nuevas áreas que te ayudarán a resolver problemas que hasta ahora no has podido solucionar. De esta forma, podrás deshacerte de proveedores adicionales. También anunciaremos una herramienta de migración totalmente nueva que hace extremadamente sencillo pasar de esos otros proveedores a Cloudflare.
Aprovecha el aprendizaje automático para permitir que los humanos se centren en el pensamiento crítico
Escuchamos hablar de aprendizaje automático todo el tiempo, puesto que es una palabra de moda, pero todo se reduce a esto: los ordenadores son realmente buenos para encontrar patrones. Cuando los entrenamos en lo que constituye un buen patrón, los detectan realmente bien, y también detectan las anomalías. Los humanos también detectan bien los patrones. Pero necesitamos más tiempo, y todo el tiempo que dedicamos a la búsqueda de patrones es tiempo que no dedicamos a lo que ni los mejores modelos de aprendizaje automático y de IA aún no pueden hacer: el pensamiento crítico. Si utilizas el aprendizaje automático para encontrar estos patrones buenos y malos, puedes optimizar el tiempo de tus personas más valiosas. En lugar de buscar excepciones, podrán centrarse exclusivamente en esas excepciones, y utilizar su sabiduría para tomar decisiones difíciles acerca de qué hacer a continuación.
Cloudflare ha utilizado el aprendizaje automático para detectar ataques DDoS, bots maliciosos y tráfico web malicioso. Pudimos hacerlo de forma distinta a otros porque desarrollamos una red única donde ejecutamos todo nuestro código en cada uno de nuestros centros de datos, en cada una de las máquinas. Tenemos una vasta red global próxima a los usuarios finales, por lo que podemos ejecutar el aprendizaje automático cerca de ellos, a diferencia de la competencia, que deben utilizar centros de datos centralizados. El resultado es un proceso de aprendizaje automático que ejecuta la inferencia en apenas microsegundos. Esta velocidad única es una ventaja para nuestros clientes, una ventaja que ahora utilizamos para ejecutar la inferencia más de 40 millones de veces cada segundo.
Esta semana, dedicaremos una jornada completa a cómo utilizamos este mismo proceso de aprendizaje automático para desarrollar modelos nuevos que te permitirán encontrar nuevos patrones, como el fraude y puntos finales de API.
Nuestra información es tu información
En junio, anunciamos Cloudforce One, el primer paso en nuestro equipo de operaciones de amenazas dedicado a convertir en conocimientos prácticos la información que recopilamos de nuestra observación del 20 % de todo el tráfico de Internet. Desde ese lanzamiento, hemos escuchado cómo algunos clientes nos pedían poder hacer más con esos conocimientos, proporcionándoles botones fáciles de utilizar y los productos necesarios para adoptar las medidas adecuadas en su nombre. Esta semana, descubrirás varios anuncios sobre las nuevas maneras en que podrás visualizar la información sobre amenazas única de Cloudflare y actuar en consecuencia. También anunciaremos varias nuevas vistas de creación de informes, por ejemplo, poder ver más datos a nivel de cuenta para que dispongas de una vista única de las tendencias de seguridad de toda la organización.
Haz que sea más difícil para los humanos cometer errores
Cada equipo de producto, desarrollo o comercial quiere utilizar sus propias herramientas, y actuar lo más rápido posible. ¡Y por una buena razón! Cualquier medida de seguridad aplicada con posterioridad, y que cree trabajo adicional para esos equipos, no será bien aceptada. Esto puede llevar a situaciones como el reciente hackeo de T-mobile, durante el cual una API que no debía estar disponible al público quedó expuesta, descubierta y explotada. Debes facilitar el trabajo de los equipos protegiendo más las herramientas que ya utilizan, y evitando que comentan errores, en lugar de asignarles tareas adicionales.
Además de facilitar la implementación de nuestros productos Zero Trust y de seguridad de las aplicaciones en una base más amplia, también descubrirás cómo estamos añadiendo nuevas funciones que evitan que los humanos cometan los errores habituales. Descubrirás cómo lograr que hacer clic sobre un enlace de phishing sea imposible, bloqueando los dominios que los alojan, impidiendo que los datos salgan de regiones de las que nunca deberían salir, proporcionando a tus usuarios alertas de seguridad directamente en las herramientas que ya utilizan, y detectando automáticamente las API paralelas, sin que los desarrolladores deban modificar su proceso de desarrollo. Todo ello, sin tener que convencer a los equipos internos para que cambien su comportamiento.
Si lees esto y cualquier tarea de tu trabajo implica proteger a una organización, creo que al final de la semana te habremos facilitado considerablemente el trabajo. Con las nuevas herramientas y las nuevas integraciones que prevemos lanzar, podrás proteger una mayor parte de tu infraestructura contra más amenazas, al mismo tiempo que reduces el número de terceros a los que debes recurrir. Y, lo que es más importante, podrás reducir el número de errores que pueden cometer los increíbles humanos con los que trabajas. ¡Espero que esta perspectiva te aporte tranquilidad!