Resumen del año: seguridad – SD Times

Al despedirnos de un año más, es fundamental reflexionar sobre las amenazas de los ciberataques y el ransomware y pensar en cómo mitigarlos en el futuro. Sin embargo, este año se siente un poco diferente, marcado por la incógnita de qué desafíos traerá la IA al panorama de la seguridad en el nuevo año.

Esto se suma a las persistentes vulnerabilidades de seguridad de la cadena de suministro, las amenazas internas y otras cosas que no han hecho más que aumentar este año.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) recientemente desvelado una hoja de ruta con cinco esfuerzos clave destinados al despliegue responsable y seguro de la IA.

En primer lugar, la agencia se compromete a emplear responsablemente la IA para fortalecer la ciberdefensa, cumpliendo con las leyes y políticas aplicables. En segundo lugar, CISA tiene como objetivo evaluar y garantizar la seguridad predeterminada de los sistemas de IA, fomentando una adopción segura en varias agencias gubernamentales y entidades del sector privado. El tercer esfuerzo implica colaborar con empresas para salvaguardar la infraestructura crítica de posibles usos maliciosos de la IA, abordando amenazas, vulnerabilidades y estrategias de mitigación.

En su cuarto esfuerzo, CISA enfatiza la colaboración y comunicación con otras agencias, socios internacionales y el público para desarrollar enfoques políticos relacionados con la seguridad y la IA. Por último, la agencia planea reforzar su fuerza laboral ampliando la cantidad de profesionales calificados en IA a través de esfuerzos de educación y contratación.

El actor dominante en el espacio de la IA, OpenAI, también reconoce la necesidad de capacitación y uso seguro de la IA.

OpenAI este año introducido el Programa de subvenciones para ciberseguridad, una iniciativa de 1 millón de dólares diseñada para avanzar y cuantificar las capacidades de ciberseguridad impulsadas por la IA y al mismo tiempo promover un discurso de alto nivel en el campo.

Al buscar la colaboración con profesionales de la seguridad a nivel mundial, la compañía tiene como objetivo reequilibrar la dinámica de poder en la ciberseguridad mediante el uso estratégico de la tecnología de inteligencia artificial y el fomento de la coordinación entre personas con ideas afines. El objetivo general es priorizar el acceso a capacidades avanzadas de IA para los equipos de seguridad, con el compromiso de desarrollar métodos que midan con precisión y mejoren la eficacia de los modelos de IA en el ámbito de la ciberseguridad, garantizando así la seguridad colectiva.

Además, este año demostró que muchas aplicaciones todavía tienen muchas vulnerabilidades y muchos más proyectos no se mantienen activamente, particularmente en el espacio de código abierto.

En enero, el proveedor de soluciones de pruebas de seguridad de aplicaciones Veracode liberado un informe muestra que casi el 32% de las aplicaciones tienen fallas en el primer escaneo, saltando a casi el 70% una vez que han estado en producción durante cinco años. El informe también afirma que después del análisis inicial, la mayoría de las aplicaciones entran en un período de seguridad de aproximadamente un año y medio, donde el 80% no presenta ningún defecto nuevo.

En 2023, hubo una disminución del 18% en la cantidad de proyectos de código abierto que se consideran “mantenidos activamente”. Esto es según el estado anual de la cadena de suministro de software de Sonatype. informe.

El informe destaca una estadística preocupante: solo el 11% de los proyectos de código abierto se mantienen activamente. A pesar de esto, Sonatype enfatiza que el 96% de las vulnerabilidades en el software de código abierto se pueden prevenir.

El informe reveló que se produjeron 2.100 millones de descargas de software de código abierto, y entre ellas hubo casos en los que existían vulnerabilidades conocidas y estaban disponibles versiones más nuevas que abordaban estos problemas. Esto subraya la necesidad de prestar mayor atención al mantenimiento y actualización de proyectos de código abierto para mitigar los posibles riesgos de seguridad asociados con versiones de software obsoletas.

Las organizaciones están tomando la iniciativa para corregir las vulnerabilidades.

Al reconocer los desafíos de seguridad generalizados, las grandes corporaciones están lanzando iniciativas de manera proactiva para abordar y contrarrestar la proliferación de problemas de seguridad en el panorama digital actual.

En marzo, la Casa Blanca liberado un nuevo plan para garantizar la seguridad en los ecosistemas digitales. Espera “reimaginar el ciberespacio como una herramienta para lograr nuestros objetivos de una manera que refleje nuestros valores: seguridad económica y prosperidad; respeto de los derechos humanos y las libertades fundamentales; confianza en nuestra democracia y nuestras instituciones democráticas; y una sociedad equitativa y diversa”.

Lograr esto requerirá cambios en la forma en que vemos actualmente la ciberseguridad. La administración Biden-Harris planea reequilibrar la responsabilidad de la seguridad de los individuos y las pequeñas empresas a las organizaciones que están mejor posicionadas para reducir el riesgo para todos. También planean reequilibrar la necesidad de defender los riesgos de seguridad actuales posicionando a las organizaciones para planificar amenazas futuras.

En octubre, Google activado claves de acceso como método de autenticación predeterminado en las cuentas de Google. Las claves de acceso ofrecen una forma cómoda y rápida de iniciar sesión mediante huellas dactilares, escaneos faciales o pines. Son un 40% más rápidas que las contraseñas tradicionales y cuentan con una seguridad mejorada gracias a la criptografía avanzada, según Google en un entrada en el blog. También alivian la carga de recordar contraseñas complejas y son más resistentes a los ataques de phishing.

Poco después, Microsoft Anunciado su Iniciativa Futuro Seguro, que consta de tres pilares principales: defensas que utilizan IA, avances en ingeniería de software y normas internacionales para proteger a los civiles de las amenazas cibernéticas. Microsoft tiene como objetivo establecer un “escudo cibernético basado en inteligencia artificial” para proteger tanto a los clientes como a las naciones, ampliando sus capacidades de protección interna para un uso más amplio de los clientes. En respuesta a la escasez global de habilidades en ciberseguridad, estimada en alrededor de 3 millones de personas, Microsoft planea aprovechar la IA, particularmente a través de herramientas como Microsoft Security Copilot, para detectar y responder a las amenazas. Además, Microsoft Defender for Endpoint utilizará métodos de detección de IA para mejorar la protección del dispositivo contra amenazas de ciberseguridad.

Afortunadamente, a medida que avanza la tecnología, los desarrolladores y las organizaciones pueden recurrir a marcos establecidos y mejores prácticas publicadas este año.

En junio, el Proyecto Abierto Mundial de Seguridad de Aplicaciones (OWASP) Anunciado el lanzamiento de OWASP CycloneDX versión 1.5, un nuevo estándar en el dominio de la Lista de Materiales (BOM) que apunta específicamente a cuestiones de transparencia y cumplimiento dentro de la industria del software. El lanzamiento reciente amplía el soporte de BOM más allá de su cobertura existente de hardware, software y servicios. El objetivo principal es mejorar las capacidades de las organizaciones para identificar y abordar los riesgos de la cadena de suministro, ofreciendo una herramienta más completa para gestionar y mitigar vulnerabilidades potenciales.

En septiembre, el Instituto Nacional de Estándares y Tecnología (NIST) liberado un borrador de documento que detalla estrategias para incorporar medidas de seguridad de la cadena de suministro de software en los procesos de CI/CD. En el contexto de las aplicaciones nativas de la nube que emplean una arquitectura de microservicios con una infraestructura centralizada como una malla de servicios, el documento describe la alineación de estas aplicaciones con las prácticas de DevSecOps.


Source link

About David Lopez

Informático y experto en redes. Redactor en varios blogs tecnológicos desde hace 4 años y ahora en Steamachine.net

Check Also

¿Qué es una prueba de detección OCR y cómo funciona?

Si dirige un negocio que maneja muchos documentos en papel, conoce el dolor y la …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *