Las inversión en ciberseguridad y las organizaciones

Muro Las personas de perfil técnico olvidamos a veces que la parte tecnológica es, normalmente, el apoyo a algún otro asunto o negocio que hay que llevar a cabo. Es importante, y muy necesaria (¿totalmente?), pero no es el objetivo.

Por eso es bueno leer textos como Cybersecurity as a Business Decision: A Manifesto donde se recuerdan estas cuestiones.

La ciberseguridad, nos dicen, es el elemento número uno en cualquier listado de inversiones en tecnología. No sólo eso, la ciberseguridad es un asunto del negocio, y no de tecnología. Sin embargo los comités de dirección no saben manejar la ciberseguridad en este contexto.

Cybersecurity is now the #1 spend item on the technology investment list. In 2022, 88% of boards say that cybersecurity is a business issue, not a technical one. Unfortunately, boards have no idea how to govern cyber AS a business issue and executives have no idea how to guide cyber investment as a business issue.

Nadie es capaz de explicar el valor para el negocio de los controles de seguridad y, por lo tanto, es difícil discutir sobre estas inversiones.

Bottom line, no one can explain the business value of a security control, so we can’t have an adult conversation about business investment in security.

La cuestión no es si hace falta más dinero (siempre seremos capaces de gastar más) sino de gastarlo de manera inteligente.

After all my board interactions, my conclusion is that we need smarter money, not just more money.

Una aproximación frecuente entre los especialistas en seguridad es la idea de que más seguridad es mejor.

Most damaging of all, security officers are trapped in a recurring and crippling ideology that MORE security is always better.

Pero, nos recuerda, cualquier incidente de ciberseguridad estará relacionado con un fallo en la toma de decisiones, no en la tecnología.

Look at any cybersecurity incident and you’ll find a failure of decision making, not a failure of technology.

Por ejemplo, casi ninguna organización hace pruebas de recuperación para sus actividades críticas. Es costoso, y arriesgado ‘apagar’ un negocio y verificar si somos capaces de activarlo de nuevo.

You know why most organizations don’t test their recovery processes for their critical functions? Because it’s very expensive and risky to take a fully functioning business system down to bare metal and hope that you can bring it back.

Por lo tanto, podríamos gastar tanto dinero como queramos en ciberseguridad y, sin embargo, recibir un ataque exitoso al día siguiente.

The reality is that you can spend every available dollar on cybersecurity and you could still get hacked tomorrow, because there is no such thing as perfect protection.

También podemos ponernos tan exigentes con la ciberseguridad que el trabajo no pueda llevarse a cabo. Y eso es un problema.

And he said “Oh, I get it, if we lock everything down so tightly that we start to take the tools away that people need, then we’ll hurt our business.” Exactly.

Así que hay que empezar a pensar en un escenario donde la pregunta correcta es: ¿cuál es la cantidad correcta de ciberseguridad? Porque está claro que no podemos ignorar el problema completamente.

Neither can you just ignore security. So the right question is “what is the right amount of security?”

Y cambiar el objetivo: no se trata de prevenir todos los ataques que puedan afectarnos, se trata de establecer un balance adecuado entre la protección y las necesidades de funcionamiento de la organización.

The real purpose of a security program is NOT to prevent the organization from being hacked, because that’s an impossible goal. The purpose of the security program is to balance the needs to protect with the needs run the business.

El problema actual es que invertimos en herramientas y capacidades, en lugar de en resultados.

Cybersecurity investment is broken because we invest in tools and capabilities, not outcomes. That has to change.

Modestamente, intentamos explicar estas ideas en Ciberseguridad: ocuparse para no preocuparse y nos vino bien el texto de Gartner para recordar estas preocupaciones.

Las cuentas de usuario y f-droid

Cuaderno Parece que hoy en día la cuenta de usuario es la moneda (mínima) de cambio. Luego ya hablamos de como protegerlas, las contraseñas y otros artefactos y allí estamos. Es verdad que para muchas cosas sería necesario, pero parece que es inevitable y la gente de f-droid nos muestran que no es así.

En No user accounts, by design nos recuerdan que es posible proporcionar servicios sin este elemento, y que su decisión de diseño fue no hacer seguimiento de los usuarios, y evitar recopilar sus datos.

There are no user accounts used, ever, in the process of delivering apps to users. This is by design. F-Droid has never had a method to identify or track users in the Android client app, and getting information from f-droid.org has also never required any kind of identity information.

Tener una cuenta simplifica algunas cuestiones, como son los votos para conocer las mejores aplicaciones. Pero el precio que se paga es tener información del usuario fácilmente identificable (diría que sin cuentas, probablemente, también haya formas, pero no estamos hablando de eso aquí).

Having user accounts makes some problems much easier to solve: it makes it easy to include ratings and reviews and to manage editing of documentation. However, having user accounts makes other problems much more difficult to solve. User accounts inevitably mean that personally identifiable information (PII) will be collected and stored.

Pero, como decíamos, ¿son necesarias las cuentas para proporcionar un servicio? En f-droid creen que no.

It turns out that user accounts are rarely a requirement for building a service, even though many services make it seem that way.

Lo cierto es que hay algunas cosas que funcionan bien sin cuentas de usuario: el navegador (chrome, Google, atentos…), wikis, libretas compartidas y otros servicios.

It turns out that F-Droid is not alone in delivering key services without user accounts or profiles. There are browsers, wikis, shared notepads, video conferencing, and even messaging and analytics. Many systems that use accounts also allow reading and even editing without logging in.

Vale la pena leer y aprender de los que toman estos caminos, en un mundo donde el ‘dato’ parece que es tan importante.

Lo que podemos aprender sobre el fallo de Log4j y la cadena de suministro

Campanas A finales del año pasado se estuvo hablando de la Vulnerabilidad crítica en Apache Log4j. Rápidamente se le puso remedio, se empezó a discutir sobre el asunto (¿dependemos de programas que desarrolla gente en su tiempo libre o con pocos recursos? y otros temas relacionados), se actualizó quién pudo y allí seguimos.

en Log4j postmortem: Developers are taking a hard look at software supply-chain security gaps se hablaba del asunto con más calma y por eso lo traemos aquí.

El primer problema (y ya lo anunciábamos diciendo lo de quién pudo) es que no siempre es tan fácil actualizar los sistemas y eliminar las versiones vulnerables.

One of the most troublesome aspects of Log4j was not the vulnerability itself, but how deeply embedded the technology is in legacy code. After all, Java is one of the world’s most popular platforms, and Log4j is an incredibly popular Java logging system whose initial release dates all the way back to 2001. So Log4J touches not only a ton of production systems, but also a lot of legacy code.

Y no es que no haya voluntad; el problema es que, a veces, intentando arreglar algo estropeas otra cosa. Y ni siquiera puedes estar muy seguro de si lo hiciste bien.

“You don’t just need to fix a security vulnerability, you need to know that you fixed the vulnerability without breaking your system. When you have a vulnerability with a super popular logging library like Log4j, you are talking about dependencies on legacy code that typically lacks any testing, and where sometimes the developers who wrote the code and understand how it works don’t even work at the company anymore.”

Sin olvidar que cualquier reparación tiene que tener un análisis del coste/beneficio. En particular, cómo y a cuántos usuarios pueden afectar nuestras soluciones.

“There is a cost-benefit analysis that needs to take place on any security remediation. You have to determine the right interval to deploy the fix, which requires a complete understanding of the risk in terms of how many users it could affect, and the acceptable level of unreliability you can accept.”

Al final las aplicaciones modernas están construidas a partir de muchas piezas, que a lo mejor ni siquiera tenemos inventariadas.

“Modern applications are built from many components, many of which are not developed in-house but are rather assembled using ‘off the shelf’ solutions,” according to John France, CISO at (ISC)2. “A large part of qualifying and identifying issues is knowing what components and libraries are used by your software and keeping a software bill of materials (SBOM).”

Hasta ahora hemos sido muy laxos a la hora de tener en cuenta los riesgos que se asumen por utilizar este código de terceros.

“Developers in general have been very lax about tracking what they use in their software. When an event like this requires us to identify whether some library or component is used by our code, that lack of traceability becomes a major pain point. It turns a simple exercise of checking inventories and SBOMs into a complex scanning process, with many opportunities for false positives and false negatives. If we ever needed a wake-up call, we got a big one with Log4j.”

Tal vez este incidente sea la llamada que hacía falta para empezar a prestar atención.

Los dominios, la identidad y lo que puede pasar cuando no se tiene cuidado

Regalos: ¡dos paquetes! A veces recomendamos demasiado alegremente que la gente registre un dominio para gestionar su ‘marca’ (personal o de empresa) y nos olvidamos de las consecuencias negativas que esto puede tener si no se tiene un poco de cuidado. Actualización (2022-11-19): casualmente veo este artículo argumentando a favor del uso de un dominio, Why everyone should register a domain name. Es de hace tiempo, pero muestra la idea.

Vale: utilizar una dirección de correo electrónico genérico puede parecer poco profesional, pero todavía es peor si no mantenemos el compromiso con el dominio que elijamos.

En Thousands of npm accounts use email addresses with expired domains nos cuentan el caso de un análisis de los paquetes npm y han descubierto que hay miles de desarrolladores de JavaScript que han utilizado dominios de correo que después han caducado para registrar sus cuentas en npm (Node Package Manager):

An academic research project found that thousands of JavaScript developers are using an email address with an expired domain for their npm accounts, leaving their projects exposed to easy hijacks.

De hecho, algunos de estos dominios estarían a la venta en algunos sitios.

Researchers said they found that 2,818 project maintainers were still using an email address for their accounts that had an expired domain, some of which they found on sale on sites like GoDaddy.

Esto es un problema porque alguien que lo descubra podría intentar hacerse pasar por el desarrollador en cuestión y, tal vez, conseguir algún objetivo peligroso.

The team argued that attackers could buy these domains, re-register the maintainer’s address on their own email servers, and then reset the maintainer’s account password and take over his npm packages.

Algunos paquetes, al instalarse, ejecutan scripts, muchos paquetes tienen un número importante de personas manteniéndolos y algunos lo que tienen son contribuidores. Sin olvidar las dependencias que existen entre unos paquetes y otros.

2.2% (33,249) of packages used install scripts, which could be abused to run malicious commands and is against npm best security practices;

The Top 1% packages (14,941) had an average of 32.4 maintainers per package, opening the door for attacks via the accounts of inactive or inattentive developers;

389 packages had 40 contributors for every maintainer, opening the door for the accidental insertion of security flaws or flooding a project with contributions to sneak in malicious code;

The top 1% maintainers own an average number of 180.3 packages with direct dependents of 4,010 average packages, meaning some developers could be overworked or not have time to thoroughly maintain or review package changes.

Al final, el problema se debe a una identificación débil de las personas: una dirección de correo. Pero mientras las cosas estén así debemos tener cuidado con los dominios y lo que hacemos con ellos, porque nos podemos llevar un disgusto. Con cualquiera de los activos digitales que hayamos registrado usando estos dominios.