2023 fue un año explosivo para la ciberseguridad. Las conversaciones sobre criptografía poscuántica con varios algoritmos que el NIST está considerando estandarizar. estandarización por el NISTEl uso de dispositivos IoT -y con él, las identidades de máquinas- continuó explotando, creando una plétora de desafíos de seguridad, la IA se hizo más ampliamente disponible que nunca gracias a las soluciones de IA generativa, muchas organizaciones se encontraron frente a un déficit de talentos en seguridad, y la lista continúa.
2024 no será diferente. De hecho, muchas de estas tendencias llegarán a su punto álgido en el nuevo año, y surgirán muchos más retos nuevos. Para saber más sobre lo que nos espera en 2024, nos sentamos con cuatro expertos en ciberseguridad de Keyfactorpara escuchar sus predicciones. Esto es lo que aprendimos.
La criptografía poscuántica despegará
2024 será el año de la "preparación cuántica" para las organizaciones.
Puede que sea una opinión exagerada, pero creo que este será el año de la criptografía cuántica.
Aunque se espera que los candidatos iniciales para los algoritmos PQC del NIST estén finalizados a principios de 2024, eso marca la línea de salida de los algoritmos poscuánticos, no la línea de meta. Eso es bueno, porque las organizaciones tendrán que hacer pruebas y planificar mucho para adoptar los nuevos algoritmos. planificación para adoptar los nuevos algoritmosya que son completamente diferentes de los que se utilizan actualmente en la criptografía asimétrica.
En 2024, las organizaciones deberán empezar a planificar y realizar pruebas para la adopción de esos nuevos algoritmos, y deberán empezar a evaluar hasta qué punto estará preparada toda la cadena de suministro de su organización. A partir de ese momento, será imprescindible que las evaluaciones de seguridad y las auditorías de proveedores empiecen a tener en cuenta la criptografía poscuántica.
- Chris Hickman, Director de Seguridad de Keyfactor
El NIST estandarizará los protocolos, lo que acelerará el desarrollo.
Keyfactor es siguiendo de cerca la normalización de algoritmos y estará preparado para ayudar a las organizaciones en su transición a las nuevas normas, incluidas las soluciones de PKI y de firma que utilizan algoritmos PQC, poco después de que el NIST las finalice.
En concreto, con FIPS 204 Dilithium/ML-DSA, no sólo trabajamos en software , sino que también nos integramos con los proveedores de HSM. Keyfactor será el primero en ofrecer productos listos para la producción y preparados para la cuántica una vez que se finalice la norma FIPS 204/ML-DSA.
En general, cuando se publiquen finalmente las normas, en 2024 se producirá una avalancha de desarrollo entre los proveedores de productos y las organizaciones de normalización, y será el año en que las soluciones de firma y PKI preparadas para la cuántica se implanten en la producción.
- Tomas Gustavsson, Director de PKI en Keyfactor
Un IoT en constante crecimiento planteará continuos problemas de seguridad.
Las identidades de las máquinas, y con ellas los problemas de seguridad, seguirán creciendo.
El número de identidades de máquinas seguirá proliferando en 2024. Muchas organizaciones están experimentando un crecimiento significativo entre los dispositivos IoT que requieren conexiones de red. A menudo denominado OT para IoT, esta nueva oleada de dispositivos seguirá impulsando el número total de dispositivos y puntos finales conectados.
Huelga decir que no se puede tratar a estos dispositivos con menos escrutinio y seguridad que a cualquier otro. Por desgracia, muchos de estos dispositivos no incluyen protocolos sofisticados para automatizar la gestión de sus identidades, por lo que las organizaciones tendrán dificultades para seguir el ritmo de este crecimiento a menos que cuenten con una plataforma de gestión del ciclo de vida de la identidad de las máquinas.
- Chris Hickman, Director de Seguridad de Keyfactor
El riesgo de que los atacantes aprovechen IoT en la ciberguerra se hará realidad.
Muchos puntos finales de dispositivos pueden aprovecharse en ataques si no se protegen adecuadamente. Para algunos de estos dispositivos inteligentes de consumo, las empresas que necesitaban reducir costes durante el proceso de diseño pueden haber eliminado algunas funciones de seguridad, por lo que es algo que todo el mundo debe vigilar.
Profundizando aún más en el espacio de la seguridad IoT , los fabricantes tendrán que tomarse en serio la exploración de la criptografía post-cuántica para los dispositivos IoT de larga duración.
- Ellen Boehm, Vicepresidenta Ejecutiva de Estrategia y Operaciones de IoT . Keyfactor
Normativas que antes parecían lejanas en el futuro se harán realidad en 2024.
El programa de etiquetado "programa de etiquetado "U.S. Cyber Trust Markdiseñado para ayudar a los estadounidenses a elegir más fácilmente dispositivos inteligentes que sean más seguros y menos vulnerables a los ciberataques.
Se trata, sin duda, de un paso en la dirección correcta, porque reconocemos que existe una laguna en la concienciación sobre ciberseguridad, y necesitamos que los consumidores sean más conscientes de los riesgos. Del mismo modo que los consumidores esperan un cierto nivel de calidad y seguridad de los productos que compran, también esperan lo mismo de la seguridad integrada en la tecnología del hogar inteligente y los dispositivos conectados. dentro de la tecnología del hogar inteligente y los dispositivos conectados que deciden utilizar. Como ocurre con cualquier programa nuevo, habrá iteraciones, pero es importante mantener esta conversación para que podamos empezar a subir de nivel y concienciar a los consumidores estadounidenses a escala nacional.
- Ellen Boehm, Vicepresidenta Ejecutiva de Estrategia y Operaciones de IoT . Keyfactor
El esperado impacto de la IA llegará: lo bueno y lo malo
La IA empezará a tener un impacto real en la criptografía.
En mi opinión, la mayor ventaja de la IA es que reduce el trabajo necesario para descifrar la criptografía. La IA también podría utilizarse para identificar con eficacia patrones en los datos o reducir el "ruido" general que puede estar presente para descifrar claves. Por ejemplo, la combinación de un ordenador cuántico suficientemente potente y la IA podría utilizarse para reducir los posibles candidatos a ataques contra las claves.
- Chris Hickman, Director de Seguridad de Keyfactor
La IA desempeñará un papel importante en la seguridad de IoT , para bien y para mal.
La IA puede utilizarse para el desarrollo de código o el diseño de productos con el fin de avanzar en el desarrollo de productos IoT y lanzar nuevos conceptos de forma más eficiente.
Por otro lado, la IA facilitará tanto el crackeo de implementaciones débiles de algoritmos que no habrá más remedio que utilizar elementos seguros o MCUs seguras para ejecutar algoritmos criptográficos y utilizar implementaciones fuertes software de estos algoritmos, tales como Bouncy Castle para servidores y HSM y Objetos de confianzaTO-Protect para MCU.
- Ellen Boehm, Vicepresidenta Ejecutiva de Estrategia y Operaciones de IoT . Keyfactor
El uso generalizado de la IA creará más oportunidades, junto con serias dudas sobre en qué podemos confiar.
Como cualquier tecnología disruptiva, la IA es un arma de doble filo. La IA existe desde hace mucho tiempo, la diferencia ahora es una palabra: disponibilidad. Cualquier tecnología nueva es inicialmente cara, no está ampliamente disponible y, a veces, es demasiado compleja para el ciudadano de a pie. La IA generativa y los grandes modelos lingüísticos fueron los aceleradores que superaron estos obstáculos, haciendo que la IA fuera asequible, utilizable y accesible para todos en el último año. Ahí es donde surgen los problemas.
No existe (todavía) ninguna norma sobre cómo debe utilizarse la IA, a qué debe tener acceso y cómo evitar su uso indebido. La IA puede ser un copiloto o asistente para los equipos de ciberseguridad, ayudándoles a trabajar de forma más eficiente y a entender mejor la avalancha de alertas y avisos que reciben a diario.
Por otro lado, la IA puede utilizarse para producir imágenes o vídeos fraudulentos, acelerar la producción de malware o incluso llevar los ataques DDoS al siguiente nivel permitiendo que bots potenciados por IA hagan el trabajo sucio. Uno de los aspectos que más nos preocupa es la autenticidad de los contenidos y el código. En un mundo en el que la IA está al alcance de todos, ¿cómo saber si una imagen o un vídeo ha sido producido por un humano o por la IA, cómo saber si ha sido aumentado, cómo saber cuándo y dónde se tomó? Todas estas son preguntas importantes, sobre todo ante los recientes conflictos, que han suscitado dudas sobre la autenticidad y muestran los peligros de la posible desinformación o incluso desinformación a través de contenidos que se propagan como la pólvora en las redes sociales. Las firmas digitales son uno de los mejores métodos actuales para demostrar el origen y la autenticidad de imágenes y vídeos..
Lo mismo puede decirse del desarrollo en software . Si los equipos aumentan el desarrollo con IA, ¿cómo se conoce la fuente del código? ¿Cómo saber si ha sido manipulado o alterado? De nuevo, las firmas digitales son una de las mejores herramientas actuales que tenemos para demostrar la integridad y autenticidad del código.
Todo ello -ya sean imágenes, vídeos o software - es propiedad intelectual que debe protegerse. Ahora vivimos en un mundo en el que no podemos fiarnos inmediatamente de lo que vemos y oímos: Todo debe ser verificado. La autenticidad es la clave para establecer la confianza en un mundo que, de otro modo, no lo sería.
- Ryan Sanders, Director Senior de Marketing de Producto y Cliente de Keyfactor
La PKI tendrá que evolucionar junto con la post-cuántica, la IA y más
La seguridad de las claves criptográficas fue uno de los principales retos de 2023, y lo seguirá siendo en 2024.
En retrospectiva, el mayor reto del año pasado sigue siendo la seguridad de las llaves. En 2023, se produjeron varios incidentes relacionados con claves robadas o comprometidas. Estos incidentes provocaron la distribución de malware, el acceso no autorizado a la red y la divulgación de decenas de miles de correos electrónicos confidenciales del gobierno. Veremos una tendencia continuada de claves robadas y utilizadas con fines nefastos en el nuevo año.
- Chris Hickman, Director de Seguridad de Keyfactor
La confianza cero será la principal prioridad de PKI para las organizaciones y los responsables de seguridad, pero hacerlo bien no será fácil.
La confianza cero será una prioridad para muchas organizaciones en 2024. Sin embargo, el campo es tan amplio que estas organizaciones tendrán dificultades para definir los elementos más importantes de la confianza cero. Además, para componentes como contenedores y Kubernetes, hay tantas opciones diferentes para lograr el mismo objetivo que es difícil encontrar las mejores prácticas, y existe el riesgo de soluciones puntuales ad hoc que no son eficientes a largo plazo.
- Tomas Gustavsson, Director de PKI en Keyfactor
Las soluciones puntuales agravarán la proliferación de PKI.
La proliferación de PKI seguirá siendo un quebradero de cabeza debido a la creciente necesidad de PKI, a los limitados conocimientos y personal de apoyo de PKI en las organizaciones y a las numerosas soluciones puntuales que están apareciendo en el mercado. Estas soluciones puntuales resuelven necesidades específicas a corto plazo, pero no abordan la eficiencia organizativa y carecen de competencia para respaldar la gobernanza en toda la organización de los componentes de seguridad críticos.
- Tomas Gustavsson, Director de PKI en Keyfactor
La brecha de talento en TI y seguridad persistirá en 2024.
En brecha de talento sigue ampliándosey 2024 mostrarán la verdadera tensión que supone para las organizaciones no mantener al personal de seguridad informática actualizado en sus competencias.
Ahora que se ofrecen modalidades de trabajo más flexibles, los trabajadores cualificados pueden trabajar prácticamente para cualquier empresa del planeta, lo que plantea un enorme problema a las organizaciones situadas fuera de las grandes áreas metropolitanas y a las que sencillamente no pueden pagar los salarios de estos profesionales command.
Si a esto añadimos las nuevas preocupaciones sobre temas como la migración a la criptografía cuántica y la IA/ML, las organizaciones necesitarán más personal para seguir siendo seguras. Pero el mercado laboral no está ahí para cubrir esa necesidad.
- Chris Hickman, Director de Seguridad de Keyfactor
