Dónde centrar el limitado presupuesto de ciberseguridad de su empresa

por Adam Isles

Tres inversiones en ciberseguridad para apuntar.

• • •

Reciente investigación indica que las organizaciones con 10 000 empleados o más suelen mantener casi 100 herramientas de seguridad. Sin embargo, las empresas globales bien establecidas siguen siendo víctimas de ciberataques. Por ejemplo, el procesador de pagos NCR sufrió recientemente un ataque de ransomware eso provocó interrupciones descendentes en los sistemas administrativos y de puntos de venta de numerosos restaurantes. Con la perspectiva de una recesión en 2023, informando sugiere que los directores de seguridad de la información (CISO) verán cada vez más restricciones presupuestarias. Entonces, ¿cómo pueden las empresas centrar sus limitadas inversiones en ciberseguridad en los controles que más importan?
Dado que el ciberriesgo opera en el contexto de un entorno tecnológico, empresarial y de amenazas altamente dinámico, es importante establecer un contexto para medir el desempeño de la ciberseguridad. Como Michael Chertoff recientemente anotado, los buenos programas de ciberseguridad funcionan con un alto grado de transparencia, exactitud y precisión.
Los elementos de un buen programa de ciberseguridad
Transparencia proviene del uso de marcos de seguridad autorizados de lugares como el Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos o la Organización Internacional de Normalización (ISO), que son repetibles y auditables. Dicho esto, estos marcos suelen definir las prácticas con un alto nivel de abstracción («se gestiona el acceso remoto»… ¿cómo?) y necesitan ir acompañados de un análisis más detallado de las posibles técnicas de amenaza para garantizar que las defensas de seguridadcon precisión mapa de estas amenazas. También tenemos que estar preciso acerca de la superficie de ataquenos dirigimos con un control en particular.
Se aplicarán diferentes defensas según el tipo de superficie de ataque: sistemas operativos portátiles, servidores web, tecnologías de asistencia remota al usuario, tecnologías en la nube o software de productividad de los usuarios, como navegadores y correo electrónico, todos los cuales pueden verse comprometidos por personas malintencionadas para lograr el acceso inicial a los sistemas de la empresa.
Teniendo esto en cuenta, podemos dividir las inversiones en ciberseguridad en tres categorías: 1) controles que defienden de las amenazas de una manera particularmente impactante, 2) medidas que validan que estos controles funcionan según lo previsto y 3) capacidades que automatizan los otros dos.
Controles que defienden de las amenazas de manera impactante
¿Por dónde deberían empezar las empresas? Del mismo modo que los médicos utilizan los perfiles de los pacientes para priorizar las medidas preventivas y los diagnósticos y las terapias para gestionar los riesgos específicos de los pacientes, podemos utilizar los perfiles empresariales para ayudarnos a entender el espectro de las posibles amenazas. Al igual que ocurre con la COVID-19, el ransomware es un riesgo que se aplica de forma universal, pero algunas organizaciones (por ejemplo, los proveedores de tecnología) también deben preocuparse de que puedan ser atacadas como trampolín hacia los entornos de los clientes, como en el reciente, ampliamente informado 3 VECES hackear. Con esto en mente, podemos centrarnos en los controles que defienden esas amenazas.
Los actores de amenazas pueden cambiar fácilmente las firmas de un ataque (cosas como el código de malware que los sistemas antivirus pueden detectar). A los atacantes les resulta mucho más difícil cambiar sus metodologías subyacentes, conocidas como tácticas, técnicas y procedimientos (TTP). La Corporación MITRE Tácticas adversarias, técnicas y conocimientos comunes El marco (ATT&CK) es el enfoque más completo y autorizado para catalogar a los actores de las amenazas, sus motivaciones y los TTP que está disponible públicamente en la actualidad, y es de uso gratuito. Las empresas pueden utilizar ATT&CK para familiarizarse con las técnicas de amenazas de las que necesitan defenderse en función de su perfil empresarial. ATT&CK también asigna cada técnica a la contramedida de seguridad correspondiente, lo que ayuda a alinear las inversiones con las amenazas.
Minimizar el acceso inicial.
Un paso básico es minimizar la probabilidad de que un adversario pueda lograr el acceso inicial. ATT&CK nos dice que hay nueve formas en que los actores de amenazas pueden entrar en una organización objetivo, como la suplantación de identidad, el abuso de los servicios remotos externos y la cesión de cuentas válidas. Las empresas deben tener en cuenta estos nueve posibles puntos de acceso y abordarlos o aceptar conscientemente el riesgo de no hacerlo y priorizar la forma en que se introducen gradualmente los controles adecuados.
La última edición anual de M-Trends de Mandiant informe indica que la explotación de las vulnerabilidades en las aplicaciones orientadas al público (como los defectos de software que permiten a los actores de amenazas eludir la autenticación y ejecutar el código de forma remota) es la técnica de acceso inicial más común observada en sus investigaciones, por lo que los recursos que solucionan las vulnerabilidades accesibles a Internet son un control particularmente impactante. Para entornos centrados en la nube, recientes investigación de Google indica que el compromiso de una cuenta válida (ya sea por credenciales débiles o por la filtración de credenciales) representan más de la mitad de todos los incidentes observados en su plataforma, lo que pone de relieve la urgencia de las soluciones de autenticación multifactorial (MFA) (especialmente a medida que las organizaciones migran las cargas de trabajo a los entornos en la nube).
Defensa en profundidad.
Las empresas deben planificar las contingencias en las que un atacante logre el acceso inicial, tal vez encontrando una máquina con acceso a Internet sin MFA o engañando a alguien para que visite un sitio web infectado.¿Qué, entonces?
Podemos utilizar la base de conocimientos de ATT&CK para señalar y abordar las técnicas que se utilizan normalmente en los grupos de actores de amenazas con una presencia dentro de la organización objetivo. Estas técnicas pueden representar «puntos de estrangulamiento» que, si se interrumpen, pueden iluminar o derrotar la campaña del adversario. Por ejemplo, la notificación de amenazas de Mandante, Canario rojo yLaboratorios Picus todos destacan cómo los malos actores han utilizado intérpretes de comandos y scriptscomo PowerShell para ejecutar comandos o scripts. Los actores de amenazas responsables de la violación de Solar Winds usado Línea de comandos de PowerShell y Windows durante toda la campaña. Al basar la actividad «normal» de comandos y scripts y los usuarios, las empresas pueden detectar el uso malintencionado de esta tecnología y responder al mismo.
La biblioteca de ATT&CK también señala los controles que ofrecen una amplia cobertura contra las conductas que los actores de amenazas probablemente utilicen. Por ejemplo, muchas de las fuentes de datos necesarias para detectar una amplia gama de comportamientos amenazantes las capturan y analizan las herramientas de detección y respuesta (EDR) de puntos finales, que proporcionar visibilidad y respuestas automatizadas a intrusiones sofisticadas al hacer coincidir los eventos del sistema con los comportamientos conflictivos conocidos (incluidas las técnicas de interpretación de comandos y scripts mencionadas anteriormente).
Precisión también implica centrar el despliegue de esas herramientas donde más importan: en los «activos de alto valor» de la organización. Las definiciones pueden resultar difíciles, pero ciertos sistemas son el objetivo principal de los actores de amenazas porque desempeñan funciones fundamentales para la confianza y, por lo tanto, son trampolines hacia todo lo demás. Tras los SolarWinds incidente, el Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos definió esa lista de software crítico.
Por ejemplo, los sistemas de identidad y acceso entran dentro de la definición del NIST: son defensas clave por derecho propio, y los datos de los incidentes demuestran que los actores de amenazas suelen trabajar para capturar credenciales con altos privilegios en sistemas de control de acceso centralizados, como Microsoft Active Directory, con resultados devastadores . Una vez que las credenciales están en mano, el adversario se hace pasar por el titular legítimo de las credenciales y la actividad de seguimiento es mucho más difícil de detectar. Mantener la integridad de estos sistemas es, por lo tanto, una prioridad clave.
Resiliencia.
Para los activos de alto valor, es de suma importancia invertir en controles, como las copias de seguridad fuera de línea, que permitan la supervivencia, especialmente en escenarios de baja probabilidad y altas consecuencias, en los que no es posible descifrar. Por ejemplo, en noviembre de 2022, Microsoftdenunciado que es una variante de malware destructivo las campañas muy difundidas en Ucrania desde el inicio de la guerra se utilizaban ahora para atacar organizaciones de logística en Polonia.
Validación de controles
En nuestro trabajo con los clientes, hemos descubierto que los controles a menudo no se despliegan del todo ni funcionan como se esperaba. Nuestra experiencia no es única y es por eso que la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional (NSA) han recomendado validando la eficacia del control. El mismo proceso de modelado de amenazas descrito anteriormente también se puede utilizar para centrar los esfuerzos de prueba en emular las técnicas de amenazas pertinentes a fin de garantizar que los controles de su empresa funcionan según lo previsto.
Automatización
Intentar gestionar, validar, corregir y rastrear manualmente la postura de seguridad (es decir, determinar dónde y exactamente se implementan los controles de seguridad y si funcionan según lo previsto) se está haciendo cada vez más difícil o imposible. Un reciente encuesta destacó que las organizaciones siguen experimentando un rápido crecimiento en los entornos tecnológicos (los aumentos de 2022 a 2023 suelen ser del 137% en las aplicaciones, el 188% en los dispositivos y casi el 30% en los usuarios) y el riesgo (un aumento del 589% entre 2022 y 2023 en los hallazgos de seguridad). El volumen total de datos a nivel mundial es estimado alcanzar los 175 zettabytes (un zettabyte equivale a un billón de gigabytes) en 2025 (frente a los 33 zettabytes de 2018).
Por lo tanto, reforzar la seguridad implicará cada vez más la automatización. Las herramientas de orquestación de seguridad y respuesta automatizada (SOAR) ya son conocidas en la comunidad de seguridad, al igual que las actualizaciones automatizadas de software cuando es posible (que se gestionan más fácilmente en los sistemas operativos de terminales y las tecnologías de productividad, como los navegadores). Vale la pena destacar otras tres formas de automatización:
Rastrear la postura de un activo y cualquier deterioro relacionado (por ejemplo, cuando los servidores con acceso a Internet quedan expuestos en línea sin contraseña, lo que ha ocurrido en entornos de nube), especialmente para las tecnologías orientadas a Internet.
Evaluar la cobertura contra las amenazas cambiantes.
Pruebas de emulación de amenazas, en las que las amenazas se simulan mediante scripts automatizados en los sistemas pertinentes. La automatización no solo ayudará a proteger mejor a las organizaciones, sino que también ayudará a reducir el número de fallos de seguridad que deben solucionarse (hierba gatera para los abogados de los demandantes y las agencias reguladoras en caso de incidente).
Las empresas pueden empezar por identificar dónde existe la funcionalidad de automatización en las soluciones de IT más grandes. El seguimiento de la postura de los activos a menudo se puede lograr mediante tecnologías nativas de gestión de activos y servicios de IT, así como con herramientas listas para usar de los proveedores de la nube, por ejemplo Puntuación segura de Microsoft. Algunos sistemas en la nube, como Google Cloud Platform ha empezado a mapear la postura de los marcos de control publicados por el NIST y el Centro de Seguridad de Internet.
A medida que cambien el perfil empresarial, la complejidad de la superficie de ataque y las amenazas relacionadas, también cambiará el valor relativo de los controles específicos. Un paso fundamental para abordar qué controles son los que más importan es rastrear cómo cambian los factores empresariales, tecnológicos y de amenaza subyacentes y qué significa eso para la seguridad.

_

AI
Adam Isles is principal and head of the cybersecurity practice at the Chertoff Group, where he advises clients on managing security and safety risk. Previously, Adam served as the Deputy Chief of Staff at the U.S. Department of Homeland Security (DHS) from 2007-2009. Before joining DHS, Adam served at the U.S. Department of Justice, where he started his legal career as a trial attorney in the Criminal Division in 1997. Adam is a Certified Information Systems Security Professional (CISSP), and he graduated from Harvard Law School in 1997.