Revisión semestral: los desafíos clave de seguridad y cumplimiento de 2024 hasta ahora

Por Phil Muncaster • 2 July 2024

En abril, el el gobierno nos dijo que la mitad de las empresas del Reino Unido habían sufrido una vulneración durante los 12 meses anteriores, cifra que aumenta incluso más en el caso de las empresas medianas (70%) y grandes (74%). Descubrió que una proporción preocupantemente grande de estas organizaciones todavía carecen de ciberhigiene básica, gestión de riesgos y de la cadena de suministro, y respuesta a incidentes.

Pero ¿qué pasa con los últimos seis meses? Estamos apenas a mitad de año, pero ya han surgido algunos temas importantes que probablemente dominarán la narrativa de seguridad y cumplimiento de 2024. Nuestros cinco principales son:

El NVD está en crisis

La explotación de vulnerabilidades vuelve a estar de moda. mandante reclamaciones El 38% de las intrusiones en 2023 comenzaron así, un aumento anual de seis puntos porcentuales. Esta es una mala noticia para los defensores de la red porque, posiblemente, la fuente de información sobre vulnerabilidades más importante del mundo, la Base de Datos Nacional de Vulnerabilidad (NVD) del NIST, ha sido efectivamente paralizado durante varios meses. Como depósito estandarizado de datos CVE enriquecidos, se ha convertido en un componente crucial de los procesos automatizados de gestión de vulnerabilidades y parches de muchas empresas, así como de las herramientas de seguridad. A desaceleración repentina en El procesamiento de CVE desde febrero ha dejado a los equipos de seguridad luchando por encontrar fuentes de inteligencia alternativas.

Reclamaciones de Verizon que las detecciones de explotación de vulnerabilidades como vector de acceso inicial para violaciones de datos aumentaron un 180% interanual (YoY) en 2023. Ahora representa el 14% de todas las violaciones, lo que significa que los equipos de seguridad deben pensar urgentemente en fuentes adicionales de CVE. información, como el Programa CVE, junto con inteligencia de amenazas mejorada y otras tácticas.

El ransomware va de mal en peor

En enero, el Centro Nacional de Seguridad Cibernética (NCSC) advirtió eso El ransomware “es casi seguro que aumentará el volumen y el impacto de los ciberataques en los próximos dos años”. Destacó el ransomware para recibir especial atención, afirmando que la IA proporcionará una "mejora" a los atacantes en ingeniería social y reconocimiento. En otras palabras, la tecnología de inteligencia artificial se pondrá a trabajar creando contenido de phishing altamente convincente que sea difícil de detectar y escaneando vulnerabilidades conocidas en las organizaciones objetivo. El Estado del SGSI del Informe de Seguridad de la Información 2024 revelado que el 29% de las organizaciones habían sufrido un ataque de ransomware durante el año pasado.

No está claro si la IA ya se utiliza de esta manera. Aún así, en lo que va del año, los grupos de ransomware han estado a la ofensiva, a pesar de victorias aisladas de las fuerzas del orden al interrumpir BloqueoBity forzando a BlackCat/ALPHV disolver. Las organizaciones sanitarias han vuelto a ser las más perjudicadas. Primero, fueron los proveedores estadounidenses Cambiar la asistencia sanitaria y Ascensión– el primero esperaba contabilizar costos de más de mil millones de dólares en relación con el ataque. El NHS de Inglaterra se vio muy afectado después de que la cepa de ransomware Qilin eliminara a un proveedor. Inicialmente obligó la cancelación de más de 800 operaciones previstas y 700 citas ambulatorias.

Dado que los actores del ransomware todavía suelen lograr sus fines a través de vectores de ataque relativamente sencillos (compromiso de RDP, phishing, explotación de vulnerabilidades), parece que las organizaciones deben seguir enfocándose en lograr los aspectos básicos correctos para mantenerse seguras.

Los dispositivos perimetrales están recibiendo una paliza

La ventaja parece ser la nueva frontera en los ciberataques patrocinados por el Estado. El NCSC fue uno de los primeros en emitir una advertencia este año, alegando que Los actores de amenazas están aumentando sus ataques a productos basados en perímetro (como aplicaciones de transferencia de archivos, firewalls, VPN y balanceadores de carga) después de mejoras en el diseño del software cliente. Son un objetivo perfecto, ya que es menos probable que el código sea seguro por diseño que el software cliente, lo que facilita la explotación de errores y hay una falta de registro efectivo en los dispositivos de borde, afirmó el NCSC.

Como resultado, hemos visto un tsunami de ataques de ransomware y ciberespionaje en los últimos seis meses, incluida la explotación masiva de Ivanti. Conexión segura y políticas seguras puertas de enlace, Dispositivos FortiGatey un legado Dispositivo F5 BIG-IP. Un informe reciente de Action1 reveló una tasa de explotación récord para balanceadores de carga entre 2021 y 23, mientras que otro proveedor afirmó El número de CVE vinculados a infraestructura y servicios de borde aumentó un 22% entre 2023 y hasta la fecha de 2024.

El NCSC insta a las organizaciones a cambiar de productos perimetrales locales a productos alojados en la nube y a utilizar firewalls para bloquear cualquier "interface, portal o servicio de software con acceso a Internet" no utilizado.

Los riesgos del código abierto se multiplican

Los riesgos de utilizar software de código abierto se conocen desde hace algún tiempo. Los actores de amenazas ocultan cada vez más malware en componentes de terceros y lo colocan en repositorios oficiales con la esperanza de que un desarrollador con poco tiempo los descargue. Sin embargo, en abril, una situación aún más Se desenterró una amenaza insidiosa después de un descubrimiento accidental: un sofisticado esfuerzo de años para infiltrarse e implantar malware de puerta trasera en un popular componente de código abierto conocido como xz Utils. El grupo detrás del plan hizo todo lo posible para ocultar su actividad maliciosa mientras diseñaba socialmente al mantenedor original, Lasse Collin, para que incorporara su personalidad de desarrollador como colaborador "confiable".

La mala noticia para los equipos de seguridad es que múltiples esfuerzos de imitación desde entonces han sido descubiertos, lo que podría insinuar una crisis creciente para el código abierto. Alrededor del 79% de los encuestados de ISMS.online habló para decir su negocio se vio afectado durante el año pasado por un incidente de seguridad causado por un proveedor externo o un socio de la cadena de suministro. En el futuro, será necesario un gran escrutinio de las cadenas de suministro de software, incluidas las listas de materiales (SBOM), análisis periódicos de vulnerabilidades y políticas de gobernanza más rigurosas.

Proliferan los desafíos de cumplimiento

Para citar erróneamente a Benjamín Franklin, nada en este mundo es seguro excepto la muerte, los impuestos y los nuevos mandatos de cumplimiento. Así lo ha demostrado 2024, con el lanzamiento del Ley de IA de la UE, nueva ley de seguridad de IoT en el Reino Unido, propuestas para el nuevo Reino Unido reglas de seguridad del centro de datos, un Esquema de certificación de ciberseguridad de la UE, y más además. Las organizaciones también vieron pasar la fecha límite de cumplimiento para PCI DSS 4.0 en marzo y actualmente están ocupadas preparándose para NIS 2.

Muchos están luchando con la carga de trabajo. Reclamaciones de investigación de ISACA que los programas de privacidad, en particular, carecen de fondos y personal suficientes. Las herramientas y procesos heredados tampoco ayudan.

El cumplimiento de las mejores prácticas de la industria puede construir una base sólida para ofrecer programas de cumplimiento normativo en áreas como la seguridad de la información (ISO 27001) y la IA (ISO 42001). Pero mientras ISMS.online encuentra que el 59% de las organizaciones planean aumentar el gasto en dichos programas durante el próximo año, casi la mitad (46%) dice que se necesitan entre 6 y 12 meses para cumplir con la norma ISO 27001. Otro 11% afirma que se necesitan 12 meses. -18 meses. Con el conjunto adecuado de herramientas intuitivas y preconfiguradas, no debería ser tan difícil.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 20 de enero de 2026

Cerrando la brecha de gobernanza de la IA con el blog ISO 42001

Cerrando la brecha de gobernanza de la IA con la norma ISO 42001

El Reino Unido tiene un problema de gobernanza de la IA. Esto podría no haber sido un problema hace unos años, cuando los proyectos se fragmentaban en la mayoría de las organizaciones. Pero hoy...

Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster