Toda organización del siglo XXI comprende que mantener a salvo los datos de su propiedad es crucial para su éxito. Sin embargo, aunque los líderes empresariales tienden a creer que sus productos y políticas de seguridad actuales son realmente seguros, las infracciones siguen aumentando. Está claro que, a pesar de que cada vez más empresas mantienen programas de seguridad formalizados y aumentan anualmente sus presupuestos de seguridad, existen lagunas que siguen pasando desapercibidas y sin abordarse.
A través de cientos de evaluaciones y análisis de infracciones, hemos llegado a la conclusión de que existen ocho puntos débiles comunes que suelen permitir a los actores de amenazas penetrar en el blindaje de seguridad de las organizaciones, moverse por las redes para elevar privilegios y, en última instancia, permitirles comprometer las defensas. Estas debilidades son continuamente sondeadas por los actores de amenazas, y aunque pueden parecer seguras en el momento de su despliegue, a menudo no lo son; e incluso si inicialmente son seguras, con frecuencia se vuelven obsoletas debido a actualizaciones no realizadas, mejoras, cambios en el entorno de la empresa y tácticas de amenazas en evolución. Una idea errónea frecuente es que los productos y procesos de seguridad pueden establecerse y luego olvidarse; pero dado que las tácticas de los actores de las amenazas evolucionan a un ritmo alarmante, los controles de seguridad también deben ajustarse continuamente para garantizar que el blindaje de seguridad de las organizaciones siga envolviendo y protegiendo. En ausencia de una evolución continua, el blindaje y su contenido se vuelven vulnerables y, a menudo, corren más riesgos debido a una falsa sensación de seguridad.
Exploremos algunas de las vulnerabilidades más comunes.
Políticas. La mayoría de las políticas y planes organizativos, e incluso los ejercicios de simulación diseñados para ponerlos a prueba, no son totalmente pertinentes para las tácticas, técnicas y procedimientos (TTP) que los actores de amenazas utilizan realmente para penetrar en las organizaciones. Muchas empresas utilizan marcos como el NIST o el CIS para fundamentar sus programas de ciberseguridad. Aunque son útiles, estos marcos a menudo no profundizan lo suficiente en los controles, configuraciones y orquestación de los productos y procesos de la organización para llegar a una estrategia de seguridad a prueba de piratas informáticos. Por ejemplo, aunque un marco pueda recomendar una estrategia de confianza cero, normalmente no recomendará elegir una única aplicación de intercambio de archivos aprobada y mantenida por TI y bloquear todas las demás. Del mismo modo, las estrategias de Confianza Cero, por lo general, no recomiendan denegar a los empleados el acceso a su correo electrónico personal desde los dispositivos corporativos. Este tipo de detalles son importantes para garantizar que los actores de amenazas tengan menos vías de ataque y, al mismo tiempo, aumentar la visibilidad de TI de esas vías reducidas.
Cambios. Las tácticas de los actores de amenazas cambian constantemente. Los actores de las amenazas son extremadamente innovadores en sus enfoques, como el uso de ingeniería social falsa contra el personal del servicio de asistencia para obtener credenciales de red, la explotación de vulnerabilidades de software a las pocas horas de su anuncio, o la explotación de las identidades de empleados que se han marchado recientemente. Si las políticas y los procedimientos no están diseñados para abordar las amenazas en constante cambio a las que se enfrenta la organización, la exponen a una posible brecha. Pocas organizaciones entienden que las aplicaciones de software como servicio (SaaS) plantean amenazas reales; incluso si son seguras desde el principio (poco probable), cada actualización de una nueva versión puede introducir nuevas configuraciones y vulnerabilidades de funciones; por lo tanto, las configuraciones deben inspeccionarse con regularidad.
Copias de seguridad. Las copias de seguridad son, posiblemente, el control de seguridad más importante de la empresa. Si la organización sufre una brecha catastrófica (lo que es cada vez más probable), la única forma de garantizar la continuidad de las operaciones es disponer de copias de seguridad recuperables. Las copias de seguridad deben ser inmutables (incapaces de ser modificadas, borradas o accedidas), redundantes (múltiples copias en múltiples lugares) y resistentes (capaces de ser restauradas fácilmente). Según nuestra experiencia, menos del 80% de las copias de seguridad son inmutables, y las amenazas de ransomware las cifran o destruyen el 93% de las veces. Saben que su capacidad para obtener un rescate depende de que la víctima sea incapaz de mitigar la brecha sin pagar.
Endpoints. La seguridad de los puntos finales se considera el talón de Aquiles de la seguridad porque TI considera que el comportamiento de los usuarios es el mayor riesgo. Sin embargo, en lugar de intentar controlar lo incontrolable (los humanos siempre serán falibles), es importante que TI tome el control y elimine la opción de que los usuarios hagan clic en el enlace equivocado y abran el archivo adjunto equivocado. El departamento de TI debe filtrar todo el tráfico, incluido el tráfico HTTPS/cifrado, con una inspección profunda de paquetes, bloquear el acceso a las cuentas de correo electrónico personales, inspeccionar y filtrar todo el tráfico de Internet en todo momento, y prohibir todos los sistemas de intercambio de archivos, bóvedas de contraseñas y aplicaciones que no hayan sido aprobados por el departamento de TI (entre otras muchas medidas).
En remoto. El trabajo a distancia, las soluciones en la nube y el SaaS eluden muchos controles de seguridad. Es esencial llevar el tráfico remoto a la red interior (VPNs siempre activas), restringir el acceso a soluciones SaaS/nube desde IPs no organizativas, o crear restricciones de acceso muy estrictas aprovechando estrictos controles de punto final en tándem con políticas de acceso condicional en el SaaS/nube para restringir el acceso de dispositivos «públicos» o no controlados.
Cortafuegos. La mayor parte del tráfico del cortafuegos se ignora en lugar de inspeccionarse y filtrarse en profundidad, especialmente el tráfico saliente (que es importante para las amenazas internas y a la reputación). Según un estudio, el 63% de todas las amenazas se descubrieron en el tráfico cifrado; algunos estudios han llegado hasta el 90%.
Al no utilizar todas las herramientas disponibles en el cortafuegos, las organizaciones neutralizan la eficacia de esta herramienta crítica. Si no analiza TODO el tráfico, no es un cortafuegos eficaz.
Herramientas. Las empresas invierten mucho en herramientas. Sin embargo, si estas herramientas no forman parte de una estrategia integral para crear un manto de protección orquestado, que proporcione capas de defensa, las empresas acaban teniendo solapamientos inútiles que hacen perder dinero y lagunas en las defensas. No sólo es importante disponer de herramientas, sino también de una estrategia para que esas herramientas funcionen juntas, junto con las personas y los procesos necesarios para proporcionar capas defensivas sólidas de manera que se garantice que no hay lagunas.
Productos. A menudo, los proveedores, revendedores y VAR venden productos, no resultados. Es importante tener una perspectiva externa sobre la eficacia de las soluciones frente a la gama de amenazas actuales y en evolución, la forma en que las soluciones funcionan juntas y, lo que es más importante, asegurarse de que estos productos estén siempre configurados con los parámetros correctos para garantizar una defensa adecuada. Los ajustes por defecto no suelen conferir defensas sólidas; tampoco lo hacen los ajustes de ayer.
Es importante que las organizaciones de todo tipo y tamaño no sólo tengan una estrategia de seguridad, sino que la evalúen periódicamente para detectar lagunas y la ajusten continuamente frente a las amenazas en tiempo real. Aunque cada vez es más cierto que las organizaciones y los altos directivos comprenden la necesidad imperiosa de mitigar los riesgos de ciberseguridad, a menudo desconocen el panorama actual de las amenazas y que la eficacia está en los detalles. Vigilar las lagunas de la organización a través de la lente de un atacante puede ayudar a una organización a evitar brechas que acaben con la empresa.
Fuente WEB | Editado por CambioDigital OnLine
