Connect with us
https://cybersecuritynews.site/wp-content/uploads/2021/11/zox-leader.png

Published

on

The Ultimate Managed Hosting Platform

Escrito por Tonya Riley

Las sanciones de EE. UU. contra el mezclador de criptomonedas Twister Money la semana pasada han despertado la preocupación de las partes interesadas de la industria, los defensores de la privacidad y los asesores legales sobre cuál parece ser el futuro de las monedas digitales bajo la administración de Biden.

La Oficina de Gestión de Bienes en el Extranjero del Departamento del Tesoro colocó las sanciones en respuesta a la supuesta negligencia de los operadores de Twister Money para detener el lavado de dinero por parte de los ciberdelincuentes, principalmente el grupo Lazarus de Corea del Norte, que usó la tecnología para lavar más de 500 millones en criptomonedas robadas.

Pero según algunos críticos y asesores legales, la compañía podría haberse excedido en su autoridad y haber colocado a muchos consumidores estadounidenses en el fuego cruzado.

“Creemos que la OFAC se ha excedido en su autoridad legal al incluir ciertas direcciones de contratos inteligentes de Twister Money en el [Specially Designated Nationals] Tenga en cuenta que esta moción viola sin duda los derechos constitucionales al debido proceso y la libertad de expresión, y que la OFAC no ha actuado adecuadamente para mitigar el efecto previsible que su moción tendría en las personas inofensivas”, afirman Jerry Brito y Peter Van Valkenburgh de Tank Coin Middle. escribió en una publicación Lunes diciendo el esfuerzo del grupo para anular la elección. Coin Middle también puede estar explorando un problema autorizado para la designación.

Básico para las consideraciones de los críticos es el Decisión de la Oficina de Control de Activos Extranjeros de sancionar direcciones en la cadena de bloques Ethereum en la que se ejecuta el código Twister Money. El problema es que los creadores del código no tienen ningún control sobre el contrato sensato o el software que ejecuta el mezclador. Mientras exista la cadena de bloques de Ethereum, el código seguirá operando y mezclando criptomonedas indefinidamente, sin importar las sanciones. La única forma de modificar un contrato inteligente es con una clave criptográfica y los desarrolladores de Twister Money la destruyeron en 2020.

“Principalmente sancionaron a un robot”, explicó Brito a CyberScoop. Coin Middle argumenta que debido a que las autoridades bajo las cuales la OFAC introdujo las sanciones requieren que una persona esté vinculada a la sanción, la empresa se ha extralimitado.

“Las sanciones son un mecanismo de cambio de conducta. No es castigo. Por lo tanto, es un uso bastante novedoso aquí que en realidad no se ha logrado antes que sancionar un contrato inteligente, en lugar de una persona o grupo”, Michael Mosier, ex director ejecutivo de la Comunidad de Ejecución de Delitos Monetarios del Departamento del Tesoro que ahora trabaja en una empresa emergente de Web3, Espresso Programs, dijo a CyberScoop: “No está claro cómo un código o un protocolo, incluso sin claves administrativas, podría cambiar su conducta o solicitar su exclusión de la lista por sí mismo”.

Los propietarios de criptomonedas usan mezcladores para mezclar varios tipos de monedas digitales para enmascarar el origen de la propiedad. Si un desarrollador destruye la clave ejecutiva del código, como afirma que hizo el fundador de Twister Money, entonces el código seguirá funcionando sin intervención humana a perpetuidad.

El anonimato que ofrecen los mezcladores los ha hecho populares entre los ciberdelincuentes y, por lo tanto, de interés para las empresas de control que persiguen a los delincuentes financieros. Tesorería En Mayo sancionó a personas asociadas al mezclador Blender.io por facilitar las transacciones de equipos penitenciarios como el grupo Lazarus y varias otras bandas ciberdelincuentes rusas. Las sanciones, que enfocaron a las personas involucradas en la operación de la operación, provocaron un pequeño retroceso por parte de las empresas porque las sanciones enfocaron a Blender en la empresa, no en la tecnología.

La diferencia entre los dos es una pregunta bastante complicada que el gobierno de EE. UU. ha abordado antes. La Comunidad de Ejecución de Delitos Monetarios (FinCEN), otra División del Tesoro que supervisa el lavado de dinero, emitió orientación en 2019 esa experiencia en mezcladores debe considerarse un programa de software y nunca un proveedor de servicios. Sin embargo, la OFAC no está segura de la dirección de FinCEN y fue libre de tomar una estrategia diferente. Lo hizo, dejando aproximadamente el 70 por ciento de las transacciones de Twister Money no vinculadas a ningún ejercicio ilícito en un espacio gris autorizado.

“Los usuarios y desarrolladores de esta tecnología están en un aprieto real”, dijo a CyberScoop Jerry Brito, director ejecutivo de Coin Center. “El Tesoro tomó esta medida aparentemente sin evaluar el impacto que esto podría tener en miles y miles de personas y nunca consideró soluciones fundamentales a las preguntas”.

Esta falta de legibilidad ha dejado a las empresas molestas y anticipando el compromiso del Tesoro. En una conversación de Twitter Areas el viernes organizada por Espresso Programs, varios consultores comerciales y autorizados expresaron su frustración porque el Tesoro había brindado poca participación antes o después de las sanciones para ayudar a las empresas a percibir las ramificaciones y ocuparse de los posibles efectos colaterales, la empresa todos los días. curso de después de promulgar las sanciones.

“Es la falta de legibilidad y también la forma desordenada de hacer esto”, dijo Jill Gunter, cofundadora de Espresso Programs.

A pesar de las frustraciones, el sistema de audio a través del evento Twitter Areas inspiró el compromiso con los reguladores.

“La conclusión principal es que ahora tenemos que trabajar nosotros mismos en opciones de defensa de la privacidad al mismo tiempo que educamos al gobierno sobre cómo pueden cumplir con todos esos objetivos de seguridad nacional, incluida la privacidad, a través de un más estrategia de disparo de rifle”, dijo Gus Coldebella, socio de True Ventures, una agencia de capital empresarial que invierte en ciencias aplicadas web3, y ex abogado del Departamento de Seguridad Nacional.

Varias fuentes confirmaron a CyberScoop que parte de esa conversación ya está en curso y que la OFAC ha estado participando en conversaciones desde fines de la semana pasada, pero se negó a mencionar la naturaleza privada de las conversaciones.

La División del Tesoro no respondió de inmediato a las solicitudes de CyberScoop.

Las sanciones se adelantan a una oleada de plazos fijados en septiembre por el Orden ejecutiva de marzo de la administración Biden sobre monedas virtuales, que es capaz de crear mucho más espacio para el diálogo entre las empresas y las autoridades. La industria reaccionó a la orden gubernamental inicial con un fuerte apoyo, pero algunos miembros de la industria expresaron su preocupación de que las últimas sanciones apuntan a un conflicto entre la financiación del gobierno en la mejora de la tecnología y las prerrogativas de seguridad nacional, como enviar un mensaje poderoso a Corea del Norte.

Mucho antes de que se asiente el fango político, las sanciones de Twister Money están preparadas para tener un impacto escalofriante en los desarrolladores y las empresas dentro del espacio de las criptomonedas que buscan desarrollar tecnologías similares para preservar la privacidad.

“Es difícil igualar a sancionar el protocolo de correo electrónico en los primeros días de la web, con la justificación de que el correo electrónico se usa comúnmente para facilitar los ataques de phishing”, dijo Lia Holland, directora de campañas de marketing de Combat for The Future en un anuncio.

La base de la frontera digital también expresó su preocupación sobre las sanciones, señalando precedente legal establecido desde hace mucho tiempo ese código es la libertad de expresión.

El sector tecnológico ya está viendo ramificaciones de las sanciones de Twister Money. La semana pasada, GitHub eliminó la cuenta que alojaba el código fuente de Twister Money, así como tres cuentas de desarrolladores que contribuyeron a ella, incluido Roman Semenov descubierto y el desarrollador Alexey Pertsev, quien fue arrestado la semana pasada por la policía holandesa en relación con su trabajo con Twister Money. .



The Ultimate Managed Hosting Platform

Source link

Continue Reading

Ultimas noticias

La abundancia de perfiles falsos de LinkedIn enfrenta a RR. Actualizaciones de ataques de malware

Published

on

Glut of Fake LinkedIn Profiles Pits HR Against the Bots – Krebs on Security

The Ultimate Managed Hosting Platform

Una última proliferación de perfiles gubernamentales falsos en LinkedIn está creando una especie de desastre de identificación para el sitio web de redes empresariales y para las empresas que dependen de él para alquilar y mostrar trabajadores potenciales. Las identidades fabricadas de LinkedIn, que combinan imágenes de perfil generadas por IA con contenido de texto extraído de cuentas confiables, están creando grandes complicaciones para los departamentos de recursos humanos de la empresa y para los equipos de gestión de LinkedIn solo por invitación.

Entre los perfiles ficticios marcados por el coadministrador de un grupo de sostenibilidad preferido en LinkedIn.

La semana pasada, KrebsOnSecurity examinó una avalancha de perfiles de LinkedIn falsos todos reclamando funciones de director de seguridad de datos (CISO) en numerosas empresas de Fortune 500, junto con Biogen, Cheurón, exxonmobily Hewlett Packard.

Desde entonces, la respuesta de los usuarios y lectores de LinkedIn ha dejado en claro que estos perfiles falsos están apareciendo en masa para casi todos los roles gubernamentales, pero especialmente para trabajos e industrias que están relacionados con eventos internacionales recientes y características de información.

Hamish Taylor corre el Profesionales de la Sostenibilidad grupo en LinkedIn, que tiene más de 300.000 miembros. Junto con el copropietario del grupo, Taylor declaró que han bloqueado más de 12,700 perfiles falsos sospechosos hasta ahora este añojunto con docenas de informes recientes que Taylor describe como “intentos cínicos de utilizar especialistas en ayuda humanitaria y ayuda en casos de desastre”.

“Recibimos más de 500 solicitudes de perfiles ficticios para colocar semanalmente”, dijo Taylor. “Ha sido golpeado como el infierno desde enero de este año. Antes de eso, no teníamos los enjambres de falsificaciones que ahora experimentamos”.

La diapositiva de apertura de una súplica del grupo de Taylor a LinkedIn.

Taylor publicó recientemente una entrada en LinkedIn titulada: “El desastre de Pretend ID en LinkedIn”, que satirizó a los “60 ‘Especialistas en ayuda para desastres’ menos deseados: perfiles ficticios que decían ser especialistas en esfuerzos de restauración de desastres después de los últimos huracanes. Las fotografías de arriba y abajo presentan solo uno de esos perfiles que el grupo marcó como no auténticos. Casi todos esos perfiles estaban fuera de LinkedIn después de que KrebsOnSecurity tuiteó sobre ellos la semana pasada.

Otro “enjambre” de cuentas de bots de LinkedIn marcadas por el equipo de Taylor.

Marcos Miller es el propietario de la grupo DevOps en LinkedIn, y dice que ofrece perfiles ficticios todos los días, generalmente toneladas por día. Lo que Taylor llamó “enjambres” de cuentas falsas, Miller lo describió como “oleadas” de solicitudes entrantes de cuentas falsas.

“Cuando un bot intenta infiltrarse en el grupo, lo hace en oleadas”, afirmó Miller. “Veremos que hay 20-30 solicitudes disponibles con el mismo tipo de datos dentro de los perfiles”.

Después de tomar capturas de pantalla de las oleadas de supuestas solicitudes de perfiles falsos, Miller comenzó a enviar las fotografías a los grupos de abuso de LinkedIn, que le dijeron que evaluarían su solicitud pero que nunca se le notificaría de ninguna acción tomada.

Uno de los perfiles de bot reconocidos por Mark Miller que buscaba ingresar a su grupo de DevOps en LinkedIn. Miller dijo que estos perfiles se enumeran en el orden en que aparecieron.

Miller dijo que después de meses de quejarse y compartir información de perfil ficticio con LinkedIn, la comunidad de redes sociales pareció hacer algo que provocó que la cantidad de solicitudes de membresía grupal de cuentas falsas cayera precipitadamente.

“Escribí a nuestro representante de LinkedIn y le dije que habíamos estado considerando cerrar el grupo porque los bots habían sido muy peligrosos”, dijo Miller. “Dije: ‘Ustedes deben estar haciendo algo en el backend para detener esto”.

jason lathrop es vicepresidente de know-how y operaciones en subcontratar, una agencia de consultoría con sede en Seattle con aproximadamente 100 trabajadores. Al igual que Miller, la experiencia de Lathrop en la prevención de perfiles de bots en LinkedIn sugiere que el gigante de las redes sociales finalmente responderá a las quejas sobre cuentas no auténticas. Eso es, si los clientes afectados se quejan lo suficientemente fuerte (publicar sobre ello públicamente en LinkedIn parece ayudar).

Lathrop dijo que hace unos dos meses su empleador observó oleadas de seguidores recientes y reconoció que más de 3.000 seguidores compartían muchos elementos, como imágenes de perfil o descripciones de texto.

“Luego observé que todos declaran trabajar para nosotros en algún cargo aleatorio en el equipo”, dijo Lathrop en una entrevista con KrebsOnSecurity. “Después de que nos quejamos a LinkedIn, nos informaron que estos perfiles no violaban los consejos de su grupo. ¡Sin embargo, como diablos, no lo hacen! ¡Estas personas no existen, por lo general afirman que trabajan para nosotros!

Lathrop dijo que después de la tercera crítica de su empresa, un consultor de LinkedIn respondió pidiéndole a ISOutsource que enviara una hoja de cálculo que detallara a cada trabajador confiable dentro de la empresa y sus enlaces de perfil correspondientes.

No mucho después de eso, los perfiles falsos que no estaban en la lista de verificación de la empresa se eliminaron de LinkedIn. Lathrop dijo que, sin embargo, no está seguro de cómo van a lidiar con el hecho de que se permita el ingreso de nuevos trabajadores a su empresa en LinkedIn en el futuro.

No está claro por qué LinkedIn ha sido inundado con tantos perfiles falsos últimamente, o cómo se obtienen las imágenes de perfil falsas. Las pruebas aleatorias de las imágenes de perfil muestran que se parecen, pero que no coinciden con otras imágenes publicadas en línea. Varios lectores identificaron una fuente aparentemente: el sitio web thispersondoesnotexist.com, que hace que el uso de inteligencia artificial para crear disparos en la cabeza únicos sea un tren de apuntar y hacer clic.

agencia de ciberseguridad mandante (Últimamente adquirida por Google) le dijo a Bloomberg que los piratas informáticos que trabajan para el gobierno de Corea del Norte han estado copiando currículos y perfiles de las principales plataformas de listado de trabajos LinkedIn y Ciertamente, como parte de un esquema elaborado para conseguir trabajos en empresas de criptomonedas.

Además, los perfiles ficticios también podrían estar vinculados a los llamados estafas de “matanza de cerdos”mediante el cual extraños coquetos en línea atraen a las personas para que inviertan en plataformas de compra y venta de criptomonedas que finalmente incautan los fondos cuando las víctimas intentan sacar dinero.

Así como, los ladrones de identidad han sido reconocidos hacerse pasar en LinkedIn como reclutadores de trabajorecopilando información privada y monetaria de personas que caen en estafas laborales.

Pero el administrador del Grupo de Sostenibilidad, Taylor, dijo que los bots que ha rastreado inusualmente no responden a los mensajes, ni parecen intentar publicar contenido.

“Claramente, no parecen estar monitoreados”, evaluó Taylor. “O simplemente se crean y luego se dejan enconarse”.

Esta experiencia fue compartida por el administrador del grupo DevOp, Miller, quien dijo que también trató de atraer a los perfiles falsos con mensajes que hacen referencia a su falsedad. Miller dice que teme que alguien esté creando una enorme comunidad social de bots para un ataque futuro en el que las cuentas automatizadas también podrían usarse para amplificar información falsa en línea, o al menos confundir la realidad.

“Es casi como si alguien estuviera organizando una gran comunidad de bots para que cuando haya un gran mensaje que debe salir, simplemente acepten en masa todos estos perfiles falsos”, dijo Miller.

En la historia de la semana pasada sobre este tema, indiqué a LinkedIn que podría tomar un paso fácil que facilitaría a las personas tomar decisiones informadas sobre si creer o no en un perfil determinado: Agregar una fecha de “creado el” para cada perfil. Twitter hace esto, y es enormemente útil para filtrar bastante ruido y comunicaciones no deseadas.

Muchos de nuestros lectores en Twitter dijeron que LinkedIn quiere proporcionar a los empleadores herramientas adicionales, tal vez algún tipo de interfaz de programación de servicios (API), que les permita eliminar rápidamente los perfiles que declaran falsamente que están empleados en sus organizaciones.

Otro lector le dijo a LinkedIn que también podría experimentar proporcionando algo similar a la marca verificada de Twitter a los usuarios que optaron por validar que responderán al correo electrónico en el área relacionada con su empleador actual.

En respuesta a las preguntas de KrebsOnSecurity, LinkedIn dijo que estaba contemplando el concepto de verificación de área.

“Ese es un problema constante y estamos continuamente mejorando nuestros métodos para detener las falsificaciones antes de que lleguen a Internet”, dijo LinkedIn en un comunicado por escrito. “Cesamos la gran mayoría de las actividades fraudulentas que detectamos en nuestro grupo: alrededor del 96 % de las cuentas ficticias y alrededor del 99,1 % del spam y las estafas. También estamos explorando nuevos métodos para proteger a nuestros miembros, como aumentar la verificación del área de correo electrónico. Nuestro equipo se trata de personas genuinas que tienen conversaciones significativas y siempre mejoran la legitimidad y la calidad de nuestro equipo”.

En una historia publicada el miércoles, Bloomberg señaló que hasta ahora LinkedIn ha evitado en gran medida los escándalos sobre bots que han afectado a redes como Facebook y Twitter. Pero ese brillo está comenzando a perderse, ya que más usuarios se ven obligados a perder más tiempo evitando cuentas falsas.

“Lo que está claro es que el prestigio de LinkedIn como comunidad social para profesionales críticos la convierte en la plataforma adecuada para adormecer a los miembros con una falsa sensación de seguridad”, dijo Bloomberg. tim cuplan escribió. “Lo que agrava la amenaza a la seguridad es la gran cantidad de datos que LinkedIn recopila y publica, y que sustenta todo su modelo empresarial, pero que carece de mecanismos de verificación sólidos”.

The Ultimate Managed Hosting Platform

Source link

Continue Reading

Ultimas noticias

Elegir el mejor instalador de cámaras de seguridad en Nueva York. – Lo último en noticias de seguridad cibernética | Actualizaciones de ataques de malware

Published

on

Choosing the best Security Camera installer in New York.

The Ultimate Managed Hosting Platform

Las empresas, las organizaciones y los propietarios de viviendas de Nueva York están preocupados por la seguridad digital. El mejor sistema de cámaras de seguridad proporciona video de alta calidad, graba las 24 horas del día, los 7 días de la semana, alerta a los operadores de intrusos y almacena imágenes de forma segura. Los instaladores de cámaras de seguridad conocen los diversos tipos de cámaras, sus atributos y los beneficios de usarlas en un plan de seguridad. Ya sea que desee actualizar su sistema actual o instalar uno por primera vez, esta publicación brinda consejos para encontrar el mejor instalación de cámaras de seguridad en la ciudad de Nueva York y sus alrededores.

Es bueno estar aquí.

Los sistemas de cámaras de seguridad de la mejor calidad en Nueva York informan las 24 horas del día, los 7 días de la semana, alertan a los operadores sobre intrusos y almacenan imágenes de forma segura. Las cámaras de seguridad son utilizadas por empresas, organizaciones y propietarios de viviendas para vigilar sus instalaciones y prevenir incidentes. La ciudad de Nueva York y sus áreas vecinas tienen muchos instaladores de cámaras digitales de seguridad. Los instaladores de cámaras digitales de seguridad están informados sobre los diversos tipos de cámaras, sus opciones y las ventajas que ofrecen. Ya sea que desee mejorar su sistema actual o instalar uno por primera vez, esta publicación ofrece recomendaciones para encontrar el mejor instalador en la ciudad de Nueva York y sus alrededores.

Esté atento a las evaluaciones y la popularidad.

Antes de alquilar un instalador de cámaras de seguridad en Nueva York, pruebe evaluaciones y referencias en línea para garantizar la alta calidad y popularidad de la empresa. Las mejores empresas ofrecen un servicio distintivo y son abiertas sobre sus frases. Si por casualidad selecciona una organización que no tiene una poderosa presencia en línea, manténgase alejado de ella. También puede probar la Oficina Superior de Empresas (BBB) ​​para ver si la empresa ha recibido alguna queja. Las empresas de cámaras digitales de seguridad están clasificadas de A+ a F por la BBB, donde la F indica que la empresa no está en regla.

Las citas son buenas alternativas para hacer preguntas.

Después de haber considerado varias ofertas, pregunte al instalador sobre los siguientes puntos. – ¿Qué tipo de cámaras de seguridad me sugieren para mi ubicación y necesidades? – ¿Cuántos años de experiencia tiene su organización en este sector? ¿Qué tipo de garantía ofrecen en la instalación y reparación? ¿Cuáles son los horarios de trabajo de su organización? – ¿Cuál puede ser el precio de mantener mi sistema actual e incluir más cámaras? ¿Es capaz de presentar un inventario de referencias? ¿Qué tipo de servicio de mantenimiento ofrecen? Pregunte al instalador sobre todas las características de la empresa. Además, una agencia confiable que esté atenta a las preguntas y tenga una muy buena popularidad es vital.

Asegúrese de tener la licencia adecuada y los datos de garantía.

Antes de firmar un contrato con un instalador de cámaras de seguridad en Nueva York, verifique dos veces su licencia. Si bien ningún estado requiere que los instaladores de cámaras digitales de seguridad tengan una licencia, puede solicitarla. – Contratistas eléctricos: estos contratistas tienen experiencia poniendo en muchos métodos, incluidas cámaras de seguridad, plomería, electricidad y más. – Contratistas mecánicos: Las cámaras de seguridad, interruptores, talleres y diferentes elementos eléctricos suelen ser instalados por contratistas mecánicos. Debido a que los electricistas se especializan en métodos eléctricos, son ideales para instalar cámaras de seguridad, interruptores y tiendas. – Contratistas mecánicos: los contratistas mecánicos están muy bien preparados para instalar y mantener sistemas HVAC, sistemas de agua y otros sistemas mecánicos. Al contratar instaladores de cámaras digitales de seguridad en Nueva York, asegúrese de que tengan responsabilidad legal común y cobertura de seguro de compensación de empleados y Certificados de cobertura de seguro. Además, los instaladores de cámaras digitales de seguridad con licencia del gobierno deben tener una licencia del estado o de las autoridades locales.

Está bien dar un paseo.

Es importante saber cuándo alejarse de una cámara de seguridad instalada en la ciudad de Nueva York. Algunos indicadores que debe seguir son: – Calidad que es demasiado pobre: ​​un valor bajo de un instalador de cámaras de seguridad podría indicar que el trabajo no es tan bueno como la media. – Sin costos iniciales: algunas empresas pagan una pequeña cantidad por adelantado para cubrir las facturas preliminares, como los precios de los materiales. Una empresa que no pide dinero por adelantado probablemente no sea viable a largo plazo si no pide dinero por adelantado. La mala comunicación es otra señal a tener en cuenta. Si un instalador no responde a sus preguntas en el momento oportuno o no devuelve sus llamadas y correos electrónicos, no desea trabajar con ellos.

Es hora de sacar conclusiones.

La importancia de seleccionar una alta calidad instalador de cámaras de seguridad en Nueva York es saber que obtendrá lo que pagó. No tenga miedo de gastar más para obtener un sistema de mayor calidad; hacen posible que la empresa ofrezca una garantía para herramientas y puesta en marcha. Si no está seguro de instalar una cámara de seguridad, siempre puede comunicarse con el servicio de asistencia o visitar su sitio web.


[ad_2]
Source link

Continue Reading

Ultimas noticias

¿Son los administradores de contraseñas el eslabón perdido cuando se trata de proteger a las organizaciones de los ataques cibernéticos? – Lo último en noticias de seguridad cibernética | Actualizaciones de ataques de malware

Published

on

CPO Magazine - News, Insights and Resources for Data Protection, Privacy and Cyber Security Leaders

The Ultimate Managed Hosting Platform

El mercado mundial de la ciberseguridad está floreciendo. Los especialistas de Gartner predicen que el gasto de los usuarios finales en el mercado de seguridad de datos y administración de amenazas aumentará de 172 500 millones de dólares en 2022 a 267 300 millones de dólares en 2026.

Una gran área de gasto incluye el arte de poner las defensas de ciberseguridad bajo presión, generalmente conocida como prueba de seguridad. MarketsandMarkets pronostica que la medición del mercado mundial de pruebas de penetración (pentesting) se desarrollará a un Precio de Desarrollo Anual Compuesto (CAGR) del 13,7% de 2022 a 2027. No obstante, los precios y las limitaciones involucradas en finalizar una verificación de penetración ya están obstaculizando el mercado. progreso y, en consecuencia, muchos profesionales de la seguridad cibernética están haciendo huelgas para buscar una resolución alternativa.

Los pentests no solucionan los problemas de ciberseguridad

Pentesting puede cumplir funciones particulares y vitales para las empresas. Por ejemplo, los clientes potenciales podrían solicitar los resultados de 1 como prueba de cumplimiento. Sin embargo, para ciertos desafíos, una metodología de prueba de seguridad de este tipo no siempre es la mejor combinación.

1 — Entornos que se alteran repetidamente

Asegurar entornos que cambian constantemente dentro de paisajes amenazantes que evolucionan rápidamente es especialmente difícil. Este problema se vuelve mucho más sofisticado al alinear y administrar la amenaza empresarial de las últimas iniciativas o lanzamientos. Dado que las evaluaciones de penetración se centran en un segundo en el tiempo, el resultado no será esencialmente el mismo la próxima vez que realice una actualización.

2 — Progreso rápido

Puede ser raro que las empresas de rápido crecimiento no experimenten dolores crecientes. Para los CISO, mantener la visibilidad del piso de ataque cada vez mayor de su grupo puede ser significativamente doloroso.

Según HelpNetSecurity, el 45 % de los encuestados realizan pentests solo unas pocas veces al año y el 27 % lo hace una vez por trimestre, lo que es lamentablemente inadecuado dado lo rápido que cambian la infraestructura y las funciones.

3 — Escasez de habilidades de ciberseguridad

Además de las limitaciones en los presupuestos y los activos, descubrir los conjuntos de habilidades accesibles para los grupos internos de ciberseguridad es una batalla constante. En consecuencia, las organizaciones no tienen la destreza para identificar y remediar rápidamente las vulnerabilidades de seguridad particulares.

Mientras que las pruebas de penetración pueden proporcionar una perspectiva externa, por lo general es solo una persona la que realiza la verificación. Para algunas organizaciones, también puede haber una dificultad de confianza al contar con el trabajo de solo una o dos personas. Sándor Incze, CISO de CM.com, brinda su perspectiva:

“No todos los pentesters son iguales. Es totalmente laborioso averiguar si el pentester que estás contratando es agradable”.

4 — Las amenazas cibernéticas están evolucionando

La batalla encarnizada por mantenerse actualizado con las estrategias y tendencias de ciberataques más recientes pone en peligro a las organizaciones de medios. Contratar habilidades especializadas para cada nuevo tipo de amenaza cibernética puede ser poco realista e insostenible.

HelpNetSecurity informó que se necesitan 71 pc de pentesters de una semana a al menos un mes para realizar un pentest. Entonces, más del 26 por ciento de las empresas deberían esperar entre una y dos semanas para obtener los resultados de la prueba, y el 13 por ciento esperaría incluso más que eso. Dado el rápido ritmo de evolución de la amenaza, este período de alerta puede hacer que las empresas desconozcan los posibles puntos de seguridad y queden abiertas a la explotación.

5 — Opciones de prueba de seguridad mal ajustadas para entornos ágiles

Los ciclos de vida de mejora constante no se alinean con los ciclos de prueba de penetración (generalmente se llevan a cabo anualmente). Debido a este hecho, las vulnerabilidades creadas por error a lo largo de largas brechas de prueba de seguridad pueden permanecer sin descubrir por un tiempo.

Llevando las pruebas de seguridad a la impresión del siglo XXI

Una solución confirmada a esos desafíos es aprovechar al máximo las comunidades de hackers morales junto con un control de penetración normal. Las empresas pueden depender de la capacidad de esas multitudes para ayudarlos a realizar sus pruebas de seguridad sobre una base estable. Un programa de recompensas por errores es uno de los métodos más comunes para trabajar con comunidades de hackers morales.

¿Qué es un programa de recompensas por errores?

Las aplicaciones de recompensas por errores permiten a las empresas trabajar de manera proactiva con investigadores de seguridad imparciales para informar errores por medio de incentivos. Por lo general, las empresas lanzarán y administrarán su programa a través de una plataforma de recompensas por errores, similar a Intigriti.

Las organizaciones con madurez de alta seguridad podrían dejar su programa de recompensas por errores abierto para que todos los piratas informáticos morales dentro del vecindario de la plataforma puedan contribuir (generalmente conocido como un programa público). Sin embargo, la mayoría de las empresas comienzan trabajando con un grupo más pequeño de expertos en seguridad a través de de un programa personal.

Cómo las aplicaciones de recompensas por errores ayudan a las construcciones de pruebas de seguridad constantes

Si bien obtendrá un certificado que indica que está a salvo al final de una prueba de penetración, no significa necesariamente que ese sea el caso la próxima vez que realice una actualización. Ahí es donde las aplicaciones de recompensas por errores funcionan bien como un seguimiento de las pruebas de penetración y permiten un programa constante de pruebas de seguridad.

El efecto del programa de recompensas por errores en la ciberseguridad

Al lanzar un programa de recompensas por errores, la experiencia de las organizaciones:

  1. Seguridad extra robusta: La información, el modelo y la popularidad de la empresa tienen mayor seguridad mediante pruebas de seguridad constantes.
  2. Objetivos empresariales habilitados: Postura de seguridad mejorada, lo que da como resultado una plataforma más segura para la innovación y el progreso.
  3. Productividad mejorada: Flujo de trabajo elevado con menos interrupciones en el suministro de las empresas. Iniciativas de TI más estratégicas que los ejecutivos han priorizado, con menos “incendios” de seguridad que resolver.
  4. Disponibilidad de habilidades elevadas: El tiempo de la fuerza laboral de seguridad interna se libera mediante el uso de un vecindario para pruebas de seguridad y triaje.
  5. Justificación más clara del rango de precios: Habilidad para proporcionar información más importante sobre la postura de seguridad del grupo para justificar y alentar un rango de precios de seguridad adecuado.
  6. Relaciones mejoradas: Desafíe los retrasos considerablemente más bajos sin la dependencia de las pruebas de penetración convencionales.

¿Desea saber más sobre cómo establecer y lanzar un programa de recompensas por errores?

Intigriti es la principal plataforma con sede en Europa para la recompensa de errores y la piratería moral. La plataforma permite a las organizaciones reducir la posibilidad de un ataque cibernético al permitir que la comunidad de investigadores de seguridad de Intigriti verifique repetidamente sus pertenencias digitales en busca de vulnerabilidades.

Si está interesado en lo que ha aprendido y desea obtener información sobre las aplicaciones de recompensas por errores, simplemente calendario una reunión inmediata con uno de nuestros especialistas.

www.intigriti.com


[ad_2]
Source link

Continue Reading

Trending