En el día de hoy comenzó la conferencia más importante de la industria antivirus, Virus Bulletin; tres días donde los principales investigadores de empresas de seguridad comparten los principales hallazgos sobre la evolución del malware y el cibercrimen.
Este año el evento fue abierto por primera vez por Martin Grooten, Editor de Virus Bulletin, quien contó sus impresiones habiendo asistido a su primer conferencia Virus Bulletin en el año 2007 en la ciudad de Viena (casualmente el mismo año que yo asistí por primera vez a la conferencia también), y rememorando cuáles fueron sus impresiones sobre la “industria antivirus” que ahora es su comunidad. Martin comentó que su primer impresión, al igual que la de mucha gente, fue notar cómo los virus ya no eran la única amenaza existente: que gusanos, troyanos y otras amenazas comenzaban a ocupar un lugar preponderante en la agenda de las soluciones de seguridad que poco a poco dejaban de llamarse “soluciones antivirus”.
En estos siete años, así fueron mutando los contenidos presentados en Virus Bulletin y en esta edición, que se está realizando en la lluviosa ciudad de Seattle, Estados Unidos, por primera vez motivaron explícitamente la presentación de investigaciones relacionadas a vulnerabilidades, exploiting y campos cada vez más extensos de la seguridad de la información.
La declaración de Martín no deja de ser una confirmación de cambios que quienes estamos dentro de la industria venimos viendo y experimentando hace años. Sin ir más lejos, nuestros lectores sabrán cuánto hemos hablado en We Live Security sobre vulnerabilidades o temas similares. Asimismo, una de las charlas que tendrá ESET en este evento, será la que dará nuestro investigador canadiense Jean-Ian Boutin sobre la evolución de los web injects, amenazas que utilizan vulnerabilidades en servidores web para propagarse (como el caso de Win32/Gataka que analizamos hace unos meses). Todavía recuerdo hace unos años cuando comenzábamos a hablar de estos temas y la notable relación que comenzaban a tener las vulnerabilidades web con el malware.
En línea con la apertura, la charla de keynote de apertura del evento este año fue directo a la problemática de las vulnerabilidades: el espacio fue ocupado por Katie Moussouris, de HackerOne, quién trabajó durante siete años en las filas de Microsoft y en el desarrollo de su programa para recompensas para investigadores de vulnerabilidades.
Katie generó un espacio de preguntas en torno a debates que según ellas “parecen estar agotados pero aún vale la pena conversar” como los programas de recompensas, el rol de los gobiernos en incidentes de vulnerabilidades o el full-disclosure de las mismas por parte de investigadores.
Resultó interesante cuando uno de los asistentes consultó a la experta si los programas de recompensa no hacen que las empresas se relajen en que otros encuentren las vulnerabilidades por ellos y así empeore la calidad y los chequeos de seguridad durante el ciclo de vida de desarrollo. Según Moussouris, el efecto es (y como mínimo debería ser) el contrario: ningún programa de recompensa mata a un ciclo de vida de desarrollo seguro, al contrario, esto debería permitir a las empresas focalizarse en la parte proactiva (desarrollar sin vulnerabilidades) en lugar de lo reactivo. Además, los hallazgos de los reportes externos deberían ayudar a los equipos a desarrollar mejor y un reporte de vulnerabilidades no solo debería generar la creación de un parche, sino también un cambio en el ciclo de vida de desarrollo para generar un diagnóstico de seguridad asociado para evitar incidentes futuros similares.
En resumen, finalmente Virus Bulletin confirma que la industria antivirus solo mantiene su nombre, pero que las empresas seguimos evolucionando en torno avanzan los ataques informáticos y cada vez la diferencia entre “empresa antivirus” y “empresa de seguridad” es más pequeña, todavía vigente por el foco que aún tenemos en la detección de amenazas de malware pero cada vez más difusa respecto a otras soluciones que seguimos ofreciendo a usuarios en todo el mundo.
En los próximos días, compartiremos junto a Pablo Ramos y Camilo Gutierrez algunas otras charlas y conceptos que se irán brindando durante las conferencias, por lo que si quieren seguir conociendo las principales tendencias y novedades, sigan ahí conectados a We Live Security que los seguiremos informando.