Las empresas de hoy invierten muchos de sus recursos en medidas reactivas. Se apoyan en tecnologías de detección y respuesta a los ataques dentro de su infraestructura, al tiempo que invierten en pólizas de seguros y bitcoins para hacer frente a las extorsiones del ransomware. Frente a estas medidas tan fatalistas y costosas, ¿no debería ser prioritaria la prevención de los incidentes de ciberseguridad? Con estos nueve puntos para una seguridad más proactiva las empresas pueden reforzar su postura de seguridad.
En los últimos años, las organizaciones se han resignado finalmente a la idea de que solo es cuestión de tiempo que sean víctimas de un ciberataque con pérdida de datos y reclamaciones de ransomware. Es indudable que el número de ataques exitosos contra las empresas no deja de crecer, y como respuesta a esta amenaza, las empresas han decidido suscribir pólizas de seguros o acumular cibermonedas, para hacer frente a las exigencias de rescates si se produce un cifrado y una extracción de datos. El sector asegurador ha reaccionado ante esta situación de mayor riesgo, aumentando los precios de las pólizas y los requisitos que debe cumplir una empresa asegurada.
Desde el plano tecnológico también se está produciendo una reacción invirtiendo más en sistemas de seguridad reactivos. Los centros de operaciones de seguridad (SOC), la gestión de la información y eventos de seguridad (SIEM), los sistemas de detección y respuesta de dispositivos (EDR) y los sistemas de detección y respuesta de redes (NDR) están experimentando un gran auge, ya que las empresas buscan saber si son objeto de un ataque o están en peligro.
Sin embargo, la principal dificultad para la detección y la respuesta es el tic-tac inexorable del reloj. A medida que la secuencia temporal de un ataque se acorta, se hace más difícil poder responder antes de que se produzcan los daños. Los analistas de seguridad de los SOC tienen demasiadas herramientas y puntos de datos para poder ofrecer una visión completa de la organización basada en los riesgos. Con demasiadas soluciones complementarias y dificultades para correlacionar los datos, la interpretación de estos se vuelve compleja y difícil de reconocer.
En ausencia de contexto, también puede resultar difícil encontrar el significado de algunos datos. La información relevante, y los expertos que la analizan, son desgraciadamente difíciles de encontrar. Un número mareante de falsas alertas positivas hace que sea importante filtrarlas mediante un análisis forense adecuado. Mientras las amenazas siguen golpeando los sistemas con mayor intensidad y cantidad, hay que invertir en expertos que operen las 24 horas del día, y las empresas tienen que admitir que las herramientas tradicionales de las infraestructuras convencionales están llegando a sus límites.
Índice de temas
Migrando a una seguridad proactiva
Si una empresa se resigna a que va a producir una brecha, esa mentalidad pesimista o “realista” afectará también a su proceso de toma de decisiones. Igualmente, los equipos de TI que anticipan un ataque pueden pensar que han fracasado en sus medidas preventivas y decidir que deben centrarse en estrategias reactivas en lugar de reforzar su enfoque preventivo. Es necesario ajustar el enfoque, incluyendo dónde emplear el tiempo, el esfuerzo y los recursos de forma inteligente para hacer frente al panorama de amenazas actual. Para evitar sobrecargar los sistemas y los empleados ante la avalancha de datos, las empresas deben prestar más atención a la prevención de ataques en su gestión de riesgos.
Junto con la adopción de medidas para detectar los ataques a la infraestructura de la empresa, es necesario tomar las medidas oportunas para su mayor prevención. Si las empresas trabajan en reducir su superficie de ataque, el impacto de las amenazas y su potencial de daño podrían reducirse significativamente. No se trata de eliminar por completo los sistemas ya existentes, sino de poner en marcha un catálogo de medidas integral para la gestión de riesgos. Estas se centran en primer lugar en la prevención de los ataques, en lugar de preocuparse únicamente en detectarlos una vez que se han producido. El riesgo de sufrir ataques eficaces podría reducirse si las empresas reconocen las vulnerabilidades de su infraestructura y subsanan las deficiencias para crear una superficie de ataque tan reducida que no tenga valor para los cibercriminales.
Para pasar de una gestión de riesgos reactiva a una proactiva, podemos seguir los siguientes pasos:
1. Reducir las superficies de ataque: Las empresas que invierten tiempo en conocer bien su superficie de ataque ya empiezan a disponer de una seguridad proactiva. Al detectar las vulnerabilidades y proteger las brechas, consiguen una importante reducción de los ataques. Por eso, hay que controlar todos los activos que las empresas exponen a Internet. Para reducir la superficie de ataque, el primer paso es inventariar, categorizar y ocultar los activos. Un enfoque del tipo Zero Trust, que utiliza microtúneles desde el usuario hasta la aplicación, garantiza que no sea posible echar un vistazo no autorizado a la infraestructura.
2. Alejarse del modelo muralla y foso: El modelo tradicional de infraestructura de seguridad, caracterizado por un enfoque de muralla y foso, la seguridad en el perímetro de la red protege todo lo que hay dentro de ella. Sin embargo, debido a la nube y a los nuevos modelos de trabajo, ni las aplicaciones ni los usuarios siguen encontrándose dentro del perímetro. Hay que proteger las aplicaciones y a los empleados con independencia del lugar donde se encuentren o desde donde trabajen. Hay que centrarse en los aspectos corporativos que merecen ser protegidos y tomar las medidas adecuadas para ello. Esto implica una mayor protección de las cargas de trabajo en la nube y de los empleados en movilidad cuando acceden a aplicaciones desde cualquier lugar.
3. Evolucionar la seguridad para la nube: En estos momentos, ninguna empresa puede evitar la nube. Aunque las organizaciones han avanzado más o menos en su migración hacia el cloud, es importante trasladar las aplicaciones a la nube de acuerdo con la estrategia “lift and shift”. Una transformación completa requiere repensar las arquitecturas de red y seguridad, así como la conectividad. En el mundo actual, que da prioridad a la nube, las empresas deben asegurarse de que todo su modelo de arquitectura TI siga la evolución hacia la nube. La seguridad del acceso a la red debe sustituirse por un modelo de acceso seguro basado en la aplicación y los usuarios individuales. Para ello, resulta útil un enfoque de confianza cero basado en los principios del acceso con mínimos privilegios.
4. Detectar operaciones de mando y control: No es suficiente que un SOC detecte tráfico de mando y control sin disponer de la posibilidad de ofrecer una respuesta inmediata. Para evitar que un atacante tome el control de un dispositivo infectado, el tráfico de mando y control debe prevenirse en línea y en tiempo real con la ayuda del aprendizaje automático. Una vez más, el paso de la detección a la prevención es posible con los SOC si están adecuadamente equipados para luchar contra las amenazas modernas con la ayuda de la automatización.
5. Reducir el tiempo de respuesta mediante la automatización: La automatización de varias funciones también puede ayudar a reducir el trabajo manual y la labor de supervisión de los analistas de seguridad en los SOC. A la hora de reconocer patrones de malware, la inteligencia artificial (IA) se vuelve más potente al correlacionar flujos de datos y tener en cuenta el contexto. A través de la automatización, se puede quitar la presión al equipo del SOC y también se puede contener el número de falsos positivos. Esto requiere una visión de conjunto de todos los flujos de datos. Esto no solo desencadena una alerta, sino que también anuncia medidas de cuarentena si es necesario. El tiempo de preparación de un sistema está bien invertido para contribuir, en última instancia, a la reducción de la complejidad y de los ataques.
6. Utilizar la IA en vez de únicamente entrenar a los empleados: El aprendizaje automático (ML) también es mejor que la capacitación de los empleados cuando se trata de detectar ataques de phishing. Una formación de sensibilización para los empleados es una medida preventiva, pero suele quedarse corta ante la rápida evolución de las tácticas y técnicas de los atacantes. Las empresas no pueden pretender que los trabajadores, individualmente, puedan reconocer los nuevos patrones de phishing, lo que significa que el aprendizaje automático debe ser utilizado como una técnica antiphishing.
7. Pensar como un infiltrado: Las técnicas de engaño son otro medio moderno de defensa contra los ataques. Quien adopta la forma de pensar del atacante entiende las acciones del delincuente y puede inducirle al engaño, protegiendo así los activos de la organización. Los atacantes que pueden moverse por la red corporativa buscarán propiedad intelectual o datos sensibles que puedan utilizar de forma indebida para sus ataques. Por ello, la colocación de cebos o trampas, las famosas ‘honey pots’, ayuda a desenmascarar a los intrusos una vez que han entrado en la red.
8. Pasar de un SIEM a plataformas de información sobre amenazas:
El motivo para alejarse del sistema SIEM tradicional, como plataforma de correlación de incidentes de seguridad, está en su compleja administración. Correlacionar la avalancha de datos procedentes de diferentes sistemas de hardware, que pueden no hablar el mismo idioma, y examinarlos en busca de incidentes de seguridad, lleva mucho tiempo y a menudo requiere de una laboriosa interacción manual. Un planteamiento moderno de plataforma de información sobre amenazas descarga de trabajo al equipo de seguridad. La información a través de una consola de gestión unificada muestra lo que realmente está ocurriendo en la infraestructura de TI. Una plataforma potente aprovecha un contexto sólido y puntos de datos que pueden reaccionar en línea para evitar el acceso no autorizado o la pérdida de datos. El factor decisivo es que una plataforma de este tipo también inicie los siguientes pasos, impidiendo los flujos de datos si hay indicios de acceso no autorizado o de pérdida de datos.
9. Shift left, shift down: Por último, la seguridad debe implementarse en una fase inicial del ciclo vital de las aplicaciones en los entornos cloud actuales. El principal objetivo es evitar desde el principio las configuraciones erróneas que conducen a vulnerabilidades, y la seguridad por diseño comienza antes de que se despliegue la infraestructura. “Shift left” significa que la seguridad se implementa en el proceso de desarrollo, mientras que “shift down” consiste en acercar la seguridad a la propia carga de trabajo, aprovechando los nuevos criterios de segmentación, como la basada en la identidad. Una plataforma de protección de aplicaciones nativas de la nube (CNAPP) totalmente integrada ayuda a cumplir estos requisitos para realizar medidas de prevención precoz.
Evitar los riesgos
La lucha permanente contra los incidentes de seguridad crea un círculo vicioso. Los equipos de TI nunca deberían estar demasiado atareados para poder introducir mejoras. Necesitan evaluar sus recursos disponibles y poner más empeño en el inicio de la cadena de ataque en ciberseguridad. Retroceder un paso y centrarse en algunas áreas clave de prevención puede llevar a las organizaciones a un entorno más seguro en primer lugar. Las empresas deben evaluar continuamente su estrategia en materia de riesgos, incluyendo factores como la complejidad y los costes operativos.
Incluso las compañías de seguros que ofrecen productos de “ciberseguros”, están esforzándose por realizar auditorías de las medidas preventivas de las organizaciones para reducir el riesgo. En el curso de la evaluación del riesgo, estas medidas proactivas y preventivas deberían volver a ser el centro de atención para evitar que se produzcan ataques.
