La mayoría de los CIO están de acuerdo en que las empresas no pueden defenderse porque las claves criptográficas y los certificados digitales se dejan sin protección, según la encuesta a 500 directores de TI de todo el mundo, encargada por la empresa de seguridad Venafi.
De acuerdo con el informe de la encuesta, muchas de las defensas de seguridad en capas en las cuales han invertido las empresas, confían ciegamente en claves y certificados, y no son capaces de diferenciar entre cuáles claves y certificados deben ser de confianza y cuáles no.
Con Gartner prediciendo que el 50% de los ataques a la red llegarán a través de canales cifrados usando cifrado SSL/TLS, el informe dijo que esto significa que muchos firewalls populares, sistemas de detección de intrusos (IDS), sistemas de prevención de pérdida de datos (DLP), protección de punto final, protección contra amenazas avanzadas y otras tecnologías de seguridad serán efectivas solo la mitad de las veces.
La encuesta muestra que los CIO reconocen que este caos está poniendo en peligro sus planes más estratégicos para hacer a sus organizaciones más ágiles mediante el uso de un modelo de "TI rápida" flexible y automatizada para la infraestructura de TI, y mezclando tareas realizadas por los equipos de desarrollo de aplicaciones y operación de sistemas (DevOps).
Según la encuesta, el 87% de los CIO cree que sus defensas de seguridad son menos eficaces, ya que no pueden inspeccionar el tráfico de red cifrado buscando ataques, y el 90% de los CIO han sufrido o esperan sufrir un ataque en el cual el tráfico cifrado se utiliza para ocultar el ataque.
Los resultados confirman el último informe anual de amenazas de Dell Security, respecto a que un aumento continuo en el cifrado está dando a los cibercriminales más oportunidades para ocultar malware de los firewalls, con casi 65% del tráfico de internet ya encriptado.
La encuesta de Venafi reveló que 86% de los CIO piensan que las claves de cifrado y certificados digitales robados serán el próximo gran mercado para los hackers; mientras que 79% de los directores de TI acuerdan en que su estrategia central para acelerar las TI y la innovación está en peligro debido a que estas iniciativas introducen vulnerabilidades.
En 2015, el costo de un certificado en el mercado negro era mil dólares, mientras que el equipo de investigación X-Force de IBM Security encontró que los grandes números de certificados firmados con código son ahora una mercancía caliente en el mercado negro, según el informe.
Las empresas dependen de decenas de miles de claves y certificados como la raíz de confianza para sus sitios web, máquinas virtuales, dispositivos móviles y servidores de nube. La tecnología fue adoptada para ayudar a resolver el problema de seguridad de internet original de saber lo que es seguro y privado.
Los criminales se aprovechan de las claves desprotegidas
Desde la banca en línea, las comunicaciones seguras y las aplicaciones móviles hasta la internet de las cosas (IoT), todo lo que está basado en IP depende de una clave y certificado para crear una conexión segura y confiable.
Pero, según el informe, las claves y los certificados no protegidos están siendo mal utilizados por los ciberdelincuentes para esconderse en el tráfico cifrado, parodiar sitios web, entregar malware, elevar privilegios y robar datos.
"Las claves y los certificados son la base de la ciberseguridad, autenticando las conexiones del sistema y diciéndonos si el software y los dispositivos están haciendo lo que se supone que deben hacer", dijo Kevin Bocek, vicepresidente de inteligencia de amenazas y estrategia de seguridad en Venafi.
"Si esta base se derrumba, estamos en serios problemas ya que, con una llave y un certificado comprometidos, robados o falsificados, los atacantes pueden suplantar, vigilar y monitorear los sitios web, la infraestructura, las nubes y los dispositivos móviles de sus objetivos, y descifrar las comunicaciones que se piensa que son privadas".
De acuerdo con Bocek, los sistemas que muchas organizaciones han puesto en marcha para verificar y establecer la confianza en línea cada vez más están siendo vueltos contra ellos. Estos sistemas, dijo, son peor que inútiles, ya que adormecen a las organizaciones en una falsa sensación de seguridad.
"Esta investigación muestra que los CIO ahora entienden que están perdiendo millones, ya que los sistemas de seguridad como FireEye no pueden detener la mitad de los ataques", dijo Bocek.
"Cuando considera que el mercado de seguridad empresarial tiene un valor estimado de 83 mil millones de dólares a nivel mundial, eso es un montón de dinero que se está desperdiciando en soluciones que solo pueden hacer su trabajo una parte del tiempo", indicó.
El público pierde confianza en la seguridad
De acuerdo con Bocek, los mercados públicos están reflejando una pérdida de confianza en la seguridad cibernética, con el Fondo Hack, un importante fondo de inversión de ciberseguridad, bajando un 25% en los últimos tres meses, lo que es mucho mayor que la desaceleración global del mercado del 10% en el índice S&P500.
Los riesgos de claves y certificados no administrados y desprotegidos crecen según sus números aumentan, según revela un informe reciente de Ponemon, que indica que la empresa promedio tiene más de 23,000 claves y certificados, y 54% de los profesionales de seguridad reconoce no saber dónde se localizan todas sus claves y certificados, quién es su propietario, o cómo se utilizan.
La encuesta de Venafi muestra que los CIO están preocupados de que el aumento de claves y certificados para apoyar las iniciativas de TI vaya a confundir el problema.
Con el creciente uso del cifrado –impulsado, en gran medida, por las revelaciones de Edward Snowden sobre la vigilancia de masiva de internet por las agencias de inteligencia de Estados Unidos– 95% de los CIO encuestados indicaron que están preocupados por la forma en que administrarán y protegerán con seguridad todas las claves y certificados de cifrado.
A medida que la velocidad de crear y desmantelar los servicios de TI en función de la demanda aumenta, se espera que el número de claves y certificados en uso crezca de forma exponencial.
Cuando se les preguntó si la velocidad de DevOps hace que sea más difícil saber lo que es de confianza o no en sus organizaciones, 79% de los CIO dijo que sí.
La agilidad trae riesgos
"Gartner predice que, para el año 2017, tres de cada cuatro organizaciones empresariales se estará trasladando hacia una estructura de TI bimodal con dos corrientes/dos velocidades de TI: una que soporte las aplicaciones existentes que requieren estabilidad, y otra que entregue TI para los proyectos de innovación y de impacto en el negocio", dijo Bocek.
"Sin embargo, usar métodos ágiles e introducir DevOps es un riesgo extremadamente alto y un esfuerzo caótico. En estos nuevos entornos, la seguridad sufrirá siempre y se volverá virtualmente imposible mantener un seguimiento de lo que se puede y no se puede confiar", dijo.
Venafi afirma que los resultados de la encuesta confirman la necesidad de un "sistema inmunológico para internet", que permita a las organizaciones saber qué claves y certificados deben ser de confianza y cuáles no.
"Con la confianza restaurada en las claves y certificados, el valor de otras inversiones de seguridad de una empresa aumenta", dijo Bocek.
