21.6 C
Uruguay
sábado, diciembre 3, 2022
InicioCiberseguridadUna importante brecha de seguridad de las aplicaciones de código bajo de...

Una importante brecha de seguridad de las aplicaciones de código bajo de los usuarios comerciales podría ocurrir en 2023, advierten los analistas


En un informe reciente, Los analistas de Forrester advirtieron de una importante brecha de seguridad que se avecina en una gran empresa en 2023 arraigada en usuarios comerciales que usan código bajo/sin código (LCNC). La primera parte de esta predicción es, desafortunadamente, una suposición compartida por la industria: sería sorprendente si tuviéramos un año entero sin grandes brechas de seguridad. Pero la segunda parte, pronosticar que esta gran brecha sería el resultado de usuarios comerciales, también conocidos como desarrolladores ciudadanos, que usan LCNC, es un intento extraordinario de despertar a la comunidad de seguridad antes de que sea demasiado tarde.



Esta predicción es tan poderosa ya que contrasta fuertemente con la tendencia que tienen algunos equipos de seguridad de tratar las aplicaciones creadas por usuarios comerciales como juguetes o POC en lugar de como infraestructura crítica. Esta suposición, advierte Forrester, es incorrecta y conducirá a resultados nefastos. En años recientes, LCNC se ha convertido en una realidad en la empresay los usuarios comerciales han estado creando aplicaciones impactantes en las que ahora confían las grandes organizaciones, con o sin el conocimiento del equipo de seguridad.

Para entender por qué Forrester está emitiendo esta advertencia, debemos analizar sus suposiciones subyacentes. Si lo hace, mostrará que está lleno de nueva información sobre la lectura y la suposición del mercado por parte de los analistas, que el lector puede evaluar libremente.

Cuando una brecha de seguridad se convierte en un titular importante

Considere los factores que se necesitan para que una brecha de seguridad se convierta en un titular importante. En primer lugar, obviamente debe producirse una infracción. Si bien esta suposición es trivial, tenga en cuenta que se basa en una suposición subyacente de que los piratas informáticos centran sus esfuerzos en las aplicaciones LCNC y logran romperlas. Para que los piratas informáticos centren sus esfuerzos en LCNC, la recompensa percibida debe ser lo suficientemente grande en comparación con la dificultad percibida, lo que significa que los piratas informáticos deben estar convencidos de que LCNC contiene datos comerciales importantes o facilita flujos de trabajo comerciales importantes para que sean un objetivo digno. El éxito en la violación de las aplicaciones LCNC significa que los piratas informáticos pueden explotar las vulnerabilidades de la plataforma o del nivel de la aplicación para poseer estas aplicaciones.

Dado que los usuarios comerciales no son expertos en seguridad y, a menudo, carecen de orientación, desafortunadamente es una suposición fácil de hacer. En realidad, en un caso documentado por el equipo de Detección y Respuesta de Microsoft, un grupo de la APT usó live-off-the-land en algunos LCNC para permanecer oculto y persistente dentro de una organización multinacional durante más de seis meses mientras los defensores intentaban activamente expulsarlos. En otro caso el año pasado, una simple configuración incorrecta resultó en casi 40 millones de registros confidenciales expuestos a Internet.

En segundo lugar, la infracción debe involucrar aplicaciones o datos críticos para el negocio; de lo contrario, la historia no será tan interesante para un titular importante. La criticidad de la aplicación o los datos debe estar arraigada en la propuesta de valor del negocio para que sea obvio para todos los profesionales de seguridad externos que esto tendrá un impacto comercial significativo en la empresa violada. LCNC y desarrollo ciudadano ha crecido significativamente en los últimos años, cumpliendo su promesa de empoderar a los usuarios comerciales para que aborden sus propias necesidades. Business-led Development se ha convertido en una iniciativa estratégica en algunas organizaciones. Muchas organizaciones grandes tienen un grupo dedicado de administradores que administran y operan estas plataformas de desarrollo ciudadano de LCNC, que a veces se denominan Centros de Excelencia.

En tercer lugar, es necesario detectar la infracción. Los piratas informáticos pueden anunciar públicamente una infracción y publicarla deliberadamente para dañar a la empresa violada o empujar a la empresa a ceder a las demandas del pirata informático. También podría detectarse dentro de la empresa violada si las aplicaciones críticas para el negocio han dejado de funcionar o si los equipos de seguridad lo han identificado. En cualquier caso, la detección de brechas llega siete meses después los piratas informáticos tuvieron su acceso inicial exitoso, en promedio. Haciendo los cálculos, y teniendo en cuenta que los titulares previstos llegarán en 2023, esto significa que es posible que los piratas informáticos ya hayan violado las aplicaciones LCNC críticas para el negocio.




Por último, y de nuevo trivialmente, la violación debe ser publicitada. Por supuesto, cualquier organización que haya sufrido una brecha importante estaría feliz si la noticia de su desafortunado evento no llegara a los principales medios de comunicación. Suponiendo que la organización violada trabajaría en su contra, y que no se informan todas las violaciones importantes, esto significa que el próximo año debería traer más de una violación de seguridad importante como resultado de los usuarios comerciales que construyen con LCNC.

Desempaquetar la predicción de Forrester para 2023 revela un conjunto de suposiciones sobre el mundo en el que vivimos ahora. Los usuarios comerciales están creando aplicaciones críticas para el negocio con LCNC. Los piratas informáticos son muy conscientes y probablemente hayan desarrollado herramientas y exploits dedicados para violar dichas aplicaciones en toda la industria. Es probable que algunos equipos de seguridad estén lidiando con una brecha detectada en este mismo momento.

Por qué deberíamos estar contentos con la predicción

Si bien hablar de una brecha importante pronosticada parece sombrío y pesimista, el mensaje general es positivo: los usuarios comerciales están logrando mover la aguja en la empresa utilizando LCNC y resolviendo problemas por su cuenta.

Durante mucho tiempo ha existido una brecha entre los usuarios comerciales que pueden articular los problemas que necesitan resolver para hacer mejor su trabajo, lo que fortalece el negocio, y los equipos de TI que están fallando bajo la presión y tienen una capacidad limitada, lo que los hace incapaces de cumplir con la mayoría. de esos requisitos. LCNC es el último desarrollo que intenta cerrar esa brecha al permitir que los usuarios comerciales aborden sus problemas como mejor les parezca. El objetivo de empoderamiento empresarial, parte de la descentralización de TI, ha sido perseguido por interminables olas de innovación, que incluyen herramientas de productividad como Office, generadores de aplicaciones, codificadores visuales y, últimamente, RPA y LCNC. Como vimos anteriormente, esta predicción se basa en el hecho asombroso de que LCNC realmente está logrando empoderar a los usuarios comerciales y que, a su vez, logran cambiar los resultados comerciales.

Como toda nueva tecnología, LCNC viene con un nuevo conjunto de desafíos. Si bien hemos tenido éxito en aprovechar LCNC para el impacto comercial, no hemos sido tan buenos para asegurarnos de que esas aplicaciones, las identidades que usan y los datos que manejan estén seguros. Esta no será una tarea fácil, ya que los equipos de seguridad no están acostumbrados a monitorear y guiar a los usuarios comerciales y las aplicaciones que desarrollan. Sin embargo, nuestro papel como equipos de seguridad es habilitar el negocio, y el negocio muestra claramente que quiere LCNC.



Fuente

Anuncios

- Anuncios -
- Anuncios -

Otras Noticias