Aún con el JetLag, no he querido dejar de pasar la oportunidad de compartir mis impresiones, tendencias y pronósticos de lo que nos ha dejado la RSA conference 2023. Dejé de asistir después de la pandemia, pero este año era para todo el equipo y para mí el más importante, porque era nuestra primera participación oficial con Booth en la Expo.

Puedes ver aquí mis conclusiones de la conferencia: Conferencia RSA 2020, el Estado del Arte de la Seguridad.

 

¿Cómo es vivir la experiencia de la conferencia RSA?

El día miércoles Grupo A3Sec generó un LIVE a través de sus redes sociales. Fue una experiencia genial en la que compartimos ideas con un invitado especial, Andres Almanza, quien moderó un poco las inquietudes de nuestra audiencia y algunas personales, pero también teníamos una cámara móvil que se movió por todo el Moscone Center mostrando en vivo lo que se vive en la conferencia. 

Si quieren verlo a continuación les dejamos el link ver en vivo.

 

¿Sólo van empresas americanas y los asistentes son locales?

Una de las más gratas sorpresas es que es una conferencia mundial, se tienen charlas y proveedores de todo el mundo. Dentro de la expo tenemos empresas de ciberseguridad de Europa, Asia y Latinoamérica. Este año, Grupo A3Sec tuvo la fortuna de ir con el equipo de España, que a través de ICEX coordinaron la logística y el apoyo para poder estar en la conferencia.

A nuestro booth asistieron clientes y prospectos que querían conocer la evolución de nuestra compañía y nuestras capacidades para lograr asistir a la 2023 RSA Conference con los grandes de la ciberseguridad.

RSA2023-a3sec

También contamos con muchos partners y amigos. Siempre nuestra admiración por aquellos que han logrado estar y pertenecer a este selecto grupo de compañías de seguridad digital. Nos encontramos con nuestros amigos de Costella Intelligence, un amigo de la casa Julio Casal, su fundador. De Lumu mi admirado amigo Ricardo Villadiego. Fluid Attacks, tremendo equipo latino en el RSA Security conference 2023, quienes con un cambio de estrategia han evolucionado de forma impresionante en los últimos años. Y por supuesto otros amigos de la casa Multiverse quienes compartieron con nosotros las extensas jornadas de la conferencia.

¿Qué tendencias se vieron en este 2023 RSA Conference?

Para iniciar a responder esta pregunta lo mejor es analizar una imagen que se tenía en el Moscone Center, un Cloud Word de las palabras más repetidas por las conferencias y los expositores.

RSA-a3sec

Las palabras con más repetición son: Ataque, Amenaza, Nube, Riesgo, Datos y Cyber. Pero hay algunas que vale la pena resaltar: Consejo (Board), Confianza (Trust), Challenge (Reto), Vulnerable.

Este fin de semana tuve la fortuna de ver un post de las conferencias de un gran amigo Juan Carlos Alvarez de Interlan, quien comparte su conclusión de las charlas más relevantes a las que asistió, vale la pena que lo lean.

Mis conclusiones de lo que nos dejó esta versión:

  • La identidad sigue siendo el vector de ataque y los problemas de confianza de las arquitecturas de ciberseguridad.
  • La evolución de las técnicas, tácticas y procedimientos de los atacantes va en aumento, lo que refuerza el lema de esta versión Juntos más Fuertes (Stronger Together).
  • La gestión de vulnerabilidades debe cambiar radicalmente como la conocemos, con la explosión de serverless, las vulnerabilidades no van a ser genéricas por producto o solución sino por pieza de software y la forma cómo lo gestionamos no va a ser efectiva en los próximos años.
  • En este caso, la operación de ciberseguridad tiene muchas dificultades, pero no es un tema de herramienta, sino de modelo operativo.
  • La AI no generó el impacto de los últimos años en el RSA 2023 conference. Entendimos que se debe integrar y explotar al máximo y que los riesgos de dicha tecnología deben ser gestionados por nuestra estrategia de ciberseguridad.
  • Menos proveedores de producto digital y más empresas que generan confianza. Los últimos años con las capacidades cloud, la creación de empresas de ciberseguridad nativas cloud fue exponencial, en muchas reuniones con VC y fondos de capital quedó expuesta esta posición.

¿Qué fue lo más innovador en la RSA Conference 2023?


Existe siempre un Sandbox de empresas que presentan soluciones innovadoras en el campo de la ciberseguridad. Este año el reconocimiento se lo llevó una empresa para proteger las tecnologías de AI y ML de las organizaciones. Compartimos el video de la empresa HiddenLayer quien fue la reconocida.

 

¿Qué proveedores hicieron parte de la Expo de la RSA Conference 2023?

Puedes buscar las empresas que hicieron parte de la Expo en este enlace. Se puede filtrar por tipo de soluciones o servicios y por subproductos.

 

Reflexión sobre la operación de ciberseguridad vista en RSA: perspectivas clave

Solo para cerrar, mi opinión de los temas de operación de ciberseguridad, que se habla y que se debe tener en cuenta de lo visto en el RSA. La semana del RSA se vieron varios post y comentarios de la operación de ciberseguridad y la obsolescencia del SIEM como centro de control de un SOC o la capacidad de operar sin SOC.

Algunos ejemplos de comentarios que me parecieron interesantes:

Puedes ver post completo aquí: Post de Linkedin

Ricardo Villadiego CEO de LUMU comparte en su perfil de Linkedin: “As the market embraces this new model of #SecOps we are excited to lead the transformation of the new age of #SecOps that puts real-time threat detection and response at the center.”

Días antes dos grandes profesionales de la ciberseguridad en Colombia: Manuel Santander y Fabian Zambrano comentaron lo siguiente:

Manuel comparte varios argumentos interesantes:

  • Gestión de millones de alertas que no han sido adecuadamente depuradas, las cuales en múltiples ocasiones terminan en falsos positivos que no agregan valor al negocio para minimizar el indicador clave de tiempo medio de detección (MTTD).
  • En caso de detectar efectivamente un posible incidente, es complejo encontrar personas que tengan el contexto completo de la postura de seguridad y se encuentren en capacidad de gestionar, de forma integral, cada una de las consolas de seguridad de las herramientas que conforman la arquitectura tecnológica de seguridad de la información y ciberseguridad de las compañías. Esto afecta el indicador clave de tiempo medio de respuesta a los incidentes (MTTR).

Manuel comparte algunas sugerencias para implementar un modelo SOCless:

  • Efectuar una ingeniería detallada para las alertas que finalmente agregan valor.
  • Automatización.

Fabian refuerza la visión de Manuel y argumenta: “Si, definitivamente puedes hacerlo incluso sin SIEM”.

Puedes ver post completo aquí: Post de Linkedin

 

Creo relevante la discusión planteada y adicionar algunos puntos de vista.

El concepto de SOC (Centro de Operaciones de CiberSeguridad) ha perdido fuerza desde hace varios años, y nos enfocamos más a SecOps. Los SOC que conocimos donde muchos controles de seguridad física, grandes centros de operaciones con decenas de analistas, expertos e infraestructura centralizada, se ha transformado en modelos operaciones con tribus de especialistas como: 

  • BlueTeam
  • ThreatHunters
  • Data Scientist
  • Crisis & Incident Response Team
  • DevSecOps
  • Threat Intelligence Team
  • RedTeam

Una operación de ciberseguridad soportada en datos (DataDriven CyberSecurity) mediante tecnología soportada en nube y procesos altamente automatizados para enfocar más a los equipos en las actividades de alto valor cómo la investigación, el hunting y la evolución de las capacidades de detección mediante los procesos de ingeniería de detección (lee aquí acerca de ingeniería de detección) y la hiperautomatización.

El punto del SIEM es algo que me genera inquietud. Dejamos de hablar de SIEM para impulsar el Security Analytics, donde Forrester deja claramente establecido las capacidades y se ha convertido en la pieza clave para transformar la operación de ciberseguridad en una función soportada en datos y las ventajas de la AI/ML. 

Sin el Data Analytics es difícil integrar todos los componentes y tener una única postura, es difícil proveer el contexto necesario, es complejo incluir data relevante de negocio o de fuentes externas a los controles de ciberseguridad, lo que nos lleva a ampliar las problemáticas actuales que venimos gestionando los que nos dedicamos a la operación unificada de ciberseguridad:

  • Silos entre las soluciones de ciberseguridad y los componentes de negocio.
  • Falta de visibilidad.
  • Tratamiento de las amenazas emergentes y desconocidas de forma ineficiente e ineficaz.

aprende-mas-sobre-ia-click-aqui

 

>_

Otros Blogs

Isotipo A3Sec