Estimados amigos de Inseguros !!!
Se viene la navidad, el final de año, y SEGURO que vamos a encontrar gente que no tiene ni puñetera idea hablando del futuro.
Este sin duda ha sido el año de la IA. En todos los congresos ha habido muy buenas, y otras muy malas, conferencias con este disciplina.
"Expertos" usando Chatgpt... vamos a ver amigo, que eso no es saber de IA. Que eso es como saber que el ibuprofeno quita el dolor de cabeza y creerse médico...
Las modas y lo modales ( en la red) de hoy en día dictan mucho de ser la realidad de la calle.
Las empresas de mi entornos siguen sufriendo ataques de Ransomware. Siguen sufriendo ataques de copromiso del CEO ( Timos en las facturas). Siguen sufriendo ataques de DDOS en sus E-commerce. Siguen sufriendo robo de suscripciones en Azure para ganar capacidad de cómputo y minar BTC...
Las empresas de mi entorno siguen con los vectores de ataque tradicionales... Phishing, sistemas sin parchear y debilidad en credenciales( principalmente carencia de MFA)
A la suma de estpudices y modas, que no digo que no haya que ir gestionándolas, se suman los fabricantes... O los red teamers !! Herramientas de phishing con IA que saben crear mejores textos que el famoso: Soy una chicà de la matre Rusia diszpuest∞a a conocerte... Esto no es la evolución de la IA...
Los aplicativos de red que te prometen la IA, necesitan un modelo de aprendizaje largo, contrastado muchas veces con el humano, ya sabes, realizar muchos circuitos funcionales para enseñar que es bueno y que es malo... Mi experiencia hasta la fecha es que TODOS son vulnerables, al igual que los EDR, los ETC y LOS JPG... xDDD
Vemos muchos ataques contra la IA, contra los modelos de entrenamiento. Para que lo entiendas, coger 10 android y 10 coches y engañar a Google maps con la densidad de tráfico... y SE que la IA se usará para el bien y para el mal. Pero a donde voy...
Voy a reirme de las tendencias y como he dicho de las modas. Que creeis que va a ser más habitual, un ataque contra una VPN por credenciales débiles o leakeadas, o un ataque contra el algoritmo de noseque que produzca nosecuantos?
Como van a entrar los malos en más ocasiones, con un phishing al teams con una factura de un proveedor, o con un deep fake en video de tu jefe con aspecto de haberse pasado con el Botox pidiendo algo raro?
Al final, hay mucha gente que vende del humo, de la prensa, de escribir tonterias, que les generan publicidad...
Yo después de muchos años ya en la ciber, cuando hablo con mis clientes, les recomiendo practicamente las mismas medidas. Inventarias, analizar riesgo, implementar fortificación, modelo de administración tiers---luego basado en privilegios...Entrenamiento al humano. Pentesting constante... Mejora en las capacidades de detección...
Porque si, ese Dark Trace o similar está muy bien, pero va a ser incapaz de parar un ataque a un e-commerce porque alguien ha encontrado un fallo en la generación de cupones de descuento y está comprando pequeños pedidos para luego revenderlos... Digo esto por decir algo. Para que entiendas que el sentido común siempre es la mejor solución.
Otro día, por cambiar de la IA, un amigo mio me decía que ahora todo es IOT, que todos los eventos que va hablan del IOT. Yo le intentaba explicar a mi amigos dos cosas:
1.- Si tienes IOT en tu empresa será un vector más, sino, NO. xD
2.- Cuando el IOT va sobre TCP/IP no deja de ser una LAN/VLAN más. No hay "secreto". Tendrás que fortificar el entorno como te deje el fabricante, tendrás que poner controles entre los entornos de explotación y monitorización. Tendrás que poner medidas de seguridad que sean capaces de detecar anomalías... como en el commerce... como que un cliente ha comprado 10 veces con un ticket regalo?... como que un plc ahora tiene el doble de tráfico noseque... REGLAS DE NEGOCIO... pero no le veo la diferencia a que sea IOT, OT o sanvinagre... volvemos a las modas...
Y a la parte que me interesa, porque yo vendo auditorias y cursos, es la de estar preparado.
Cuando hablo con un cliente nuevo y me dice que tiene la seguridad bien, porque tiene un UTM y un Edr low cost, me pongo a temblar. En estos casos es la persona el riesgo :-) porque no sabe !!! Tu que lees este blog si sabes de ciberseguridad, pero hay mucha gente que NO, y cree que SI, y lo peor de todo es que no se forma.
La formación es lo más importante que tenemos, en la vida personal y profesional, y debemos estar constantemente preparados. Leyendo blogs, escuchado podcast, asistiendo a seminarios, incluso de vendors !!! no para comprarle los aburridos clicks de su solución, sino para aprender lo que hacen los malos y los buenos.
En un curso mío de Seguridad Microsoft aprendemos desde que es Mitre, comentamos TTP´s hasta llegamos a hacerlos en Linux con las tools que ya sabes. Imaginas a tu CIO o Sysadmin haciendo esto? imaginas la cara que se les queda cuando haces cualquier dump de hashes y luego los usas como se quedan?
O cuando hacemos el curso de Hacking Azure. Hay alumnos implantadores de click rápido que alucinan... y pentester que están ampliando sus conocmientos. Pero también hay algun CIO que hace el curso y COMPRENDE lo que tiene delante y se conciencia de tomar las acciones correctas...
Pero la triste realidad es que mucha gente va al equisday del fabricante, come buen jamón, el account lo cuida y le renueva al año la "tranquilidad total". Luego pasa lo que pasa.
Por eso amigo lector, huye de las modas, de los hype, de las tendencias, de los gurús, huye de gente como yo xDDDD y picotea de aquí y de allá, y fórmate de la mejor manera, pero el sentido común es algo que no se logra muchas veces con libros xDDD
Espero que te hayas entretenido un rato con el post, gracias por leerme !!!