Las 9 mentiras más grandes sobre ciberseguridad contadas a los CISO
La ciberseguridad puede parecer un zoológico en estos días. Hay innumerables problemas que resolver a medida que el panorama cambia bajo nuestros pies con nuevas tecnologías, necesidades comerciales en evolución y una superficie de ataque que continúa expandiéndose. A esta mezcla, agregue más proveedores, más consultores y más expertos, cada uno con declaraciones audaces sobre cómo ganar la guerra contra los actores de amenazas cibernéticas.
Desafortunadamente, si bien muchos de estos intentos de hacer que las empresas sean más seguras pueden ser genuinos, existen muchas declaraciones generales que pueden sofocar los esfuerzos de un CISO para asegurar el negocio. En esta publicación, intentaré abordar los conceptos erróneos sobre ciberseguridad más repetidos que vemos arrojados a los CISO.
1. La seguridad de Windows es suficiente para proteger sus terminales de Microsoft
¿Quién es el mayor proveedor de seguridad de todos ellos? Antes de hacer un inventario mental de los principales jugadores de terceros que sin duda vienen a la mente de inmediato, puede ser una sorpresa darse cuenta de que Microsoft los supera a todos, con su posición única como proveedor de sistemas operativos y proveedor de software de seguridad para su propio sistema operativo, conocido como ‘Microsoft Defender’, ‘Windows Defender’ y ahora ‘Windows Security’.
2021 fue otro año excelente de vulnerabilidades, exploits e infracciones de Microsoft , con actores de amenazas que se aprovecharon rápida y despiadadamente de las vulnerabilidades de Microsoft en Exchange Server como ProxyLogon y ProxyShell . Esas vulnerabilidades fueron seguidas por PrintNightmare , que a su vez fue seguida por HiveNightmare .
Microsoft Defender hizo poco para detener cualquiera de los ataques de ransomware de las pandillas Hafnium y Conti que explotaron tales vulnerabilidades, y el producto también estuvo en la guerra después de que se reveló que Defender contenía una vulnerabilidad de escalada de privilegios durante más de 12 años.
La historia reciente sugiere que los CISO que confían en un proveedor de sistema operativo para ganar la batalla contra el ransomware estarán en el lado perdedor de la batalla.
2. Las Mac son seguras «por diseño»
A diferencia de Microsoft, Apple no está en el negocio de vender software de seguridad en un intento por proteger sus propios productos, pero aún promueve activamente la seguridad de macOS como uno de los puntos de venta únicos de las Mac sobre otro hardware. En consecuencia, Apple tiene un interés personal en desalentar la percepción de que se requieren controles de seguridad de terceros para Mac en la empresa tanto como lo son para otros puntos finales.
Apple admitió a principios de este año que macOS tiene un problema con el malware, y aunque pocas empresas usan Mac como servidores o controladores de red, evitando así la atención de los operadores de ransomware, son extremadamente populares entre los ejecutivos y desarrolladores de C-Suite. Esto convierte a las Mac empresariales en objetivos jugosos para los actores de amenazas interesados en objetivos de alto valor, y el nuevo malware para macOS que ha aparecido en los últimos 12 meses ha sido principalmente espionaje y puertas traseras dirigidas a objetivos específicos.
Mientras tanto, los propios usuarios de Mac desconocen en gran medida las muchas formas en que el malware puede y de hecho supera las tecnologías de seguridad integradas que utiliza Apple. La seguridad integrada de la Mac se basa en gran medida en la firma de códigos, las verificaciones de revocación de certificados y las firmas de archivos heredados . Los actores de amenazas tienen pocos problemas para eludirlos y, al igual que Microsoft Windows, la complejidad del software del sistema operativo garantiza que los errores críticos se solucionen con una frecuencia cada vez mayor.
Además de eso, los controles de seguridad integrados de la Mac no ofrecen visibilidad a los usuarios ni a los administradores. Como CISO, ¿cómo sabrían sus administradores si alguna de las Mac de su flota estaba infectada con una puerta trasera, spyware u otro malware de macOS sin un software de seguridad externo que ofreciera esa visibilidad?
3. La prevención no es posible y la detección es suficiente
Se ha convertido en un tropo entre los proveedores de AV heredados en sus intentos de excusar las fallas de AV Suites y EPP para afirmar que la prevención es imposible, y que la detección posterior a la infección y la cuarentena es el único objetivo realista.
Pero estamos en 2022, hemos tenido el aprendizaje automático y la inteligencia artificial a nuestra disposición durante años, y no hay ninguna razón por la que un CISO deba aceptar que un proveedor no puede evitar la ejecución previa o durante la ejecución del malware basado en archivos.
Los proveedores que confían completamente en la detección basada en firmas deben complementar o reemplazar sus motores de detección con motores de IA estáticos que pueden prevenir la mayoría de los tipos de archivos PE maliciosos. Más importante aún, los CISO deben rechazar a los proveedores que les dicen que la prevención no es posible.
4. Zero Trust es alcanzable para la mayoría de las organizaciones
El adagio probado y confiable de que “Solo eres tan fuerte como tu eslabón más débil” cobra nueva conmoción en el cambio actual a los entornos Zero Trust . Si bien adoptar Zero Trust es parte de la dirección correcta en la que viajar para reducir su superficie de ataque, la realidad es que la mayoría de las organizaciones no pueden implementar de manera efectiva una Zero Trust Architecture (ZTA) completa en múltiples activos y sistemas de seguridad.
Las organizaciones deben tener cuidado cuando los proveedores ofrecen un «SKU de confianza cero». Más allá de la perorata de marketing, lograr un modelo de seguridad ZTA requiere la integración de todas las tecnologías. No existe una forma «plug-and-play» de transformar su organización de la noche a la mañana. De hecho, pasar de un modelo de seguridad basado en el perímetro heredado a un modelo de seguridad ZTA es un viaje de varios años, mientras que los ataques a las empresas ocurren a diario.
ZTA es una pieza en el rompecabezas de la seguridad, pero las empresas deben cubrir su retaguardia y tener controles establecidos para cuando se viola la confianza, o simplemente nunca se gana.
Como muchos desarrollos en seguridad empresarial, ZTA promete pero no es una panacea. Los CISO deben tener cuidado con los proveedores que les dicen que ZTA es una bala mágica que puede resolver todos sus dolores de cabeza de seguridad.
5. La seguridad móvil no es imprescindible
Increíblemente, hay proveedores (y profesionales de la seguridad) que aún no se han dado cuenta de la realidad de los dispositivos móviles en la empresa. A veces, los humanos actúan como si algo no existiera si simplemente se niegan a verlo, pero hemos estado revisando nuestros correos electrónicos comerciales y accediendo a datos de trabajo desde nuestros dispositivos móviles durante años. La mayoría de las organizaciones entienden que los intentos de impedir que los usuarios realicen tareas de trabajo en sus dispositivos móviles tienen un impacto inaceptable en la productividad.
El espacio móvil está dominado por dos proveedores principales de sistemas operativos, Google y Apple, y ambos entienden la necesidad de la seguridad móvil, aunque adoptan enfoques muy diferentes al respecto. Recientemente, Google explicó cómo una vulnerabilidad de día cero y cero clics de iOS había comprometido a los usuarios de Apple. El nivel técnico está más allá de la mayoría de los programadores y profesionales de la seguridad, por no hablar de los usuarios comunes.
A pesar de esa sofisticación, esa hazaña no fue desarrollada por un actor del estado-nación sino por el Grupo NSO, una empresa privada. En tal clima , donde los atacantes con fines de lucro pueden invertir ese nivel de experiencia para comprometer nuestros dispositivos móviles, ¿qué negocio con propiedad intelectual para defender, datos de clientes para proteger (y multas regulatorias para evitar) puede darse el lujo de fingir que la seguridad móvil es opcional? ?
Los ataques móviles son reales y los CISO deben aplicar medidas de defensa contra amenazas móviles para realizar un seguimiento del comportamiento y las acciones de los usuarios y dispositivos.
6. Las copias de seguridad lo protegerán contra el ransomware
El mundo de la seguridad de la información se mueve rápido, y lo que era cierto ayer (o, para ser franco, hace unos años ahora) no es necesariamente cierto hoy. Vuelve a pensar en NotPetya y WannaCry en 2017, y en la lección aprendida con tanto esfuerzo de que las empresas sin copias de seguridad se estaban convirtiendo en rehenes de la fortuna, o más bien de la desgracia de ser atacadas por ransomware .
La lección no pasó desapercibida ni para las empresas ni para los atacantes, y en 2019 vimos a las primeras pandillas de ransomware operadas por humanos, Maze y DoppelPaymer , pasar al método de doble extorsión: denegación de acceso a archivos a través del cifrado con la amenaza. de fugas de datos públicos en la parte superior. Ahora, las copias de seguridad no sacaron a las empresas del apuro si valoraban la privacidad de sus datos.
La doble extorsión pronto se convirtió en el MO estándar para la mayoría de las pandillas de ransomware, y algunas incluso llegaron a amenazar con filtrar los datos de los clientes o rescatar a los clientes de las organizaciones víctimas.
Aun así, algunas organizaciones estaban preparadas para morder la bala, arriesgarse a la fuga de datos, recuperarse de las copias de seguridad y negarles a los delincuentes un día de pago. Desafortunadamente, esto solo llevó a los delincuentes a aumentar las apuestas a la triple extorsión : además de la amenaza de la filtración de datos y el cifrado de archivos, comenzaron a inundar a las empresas víctimas con ataques DDoS para obligarlas a volver a la mesa de negociaciones.
La lección para los CISO es esta : los operadores de ransomware están llenos de efectivo de víctimas anteriores. Pueden darse el lujo de comprar botnets a gran escala y atacar su red con DDoS hasta que pague; pueden permitirse el lujo de comprar el acceso inicial de otros delincuentes, y pueden permitirse el lujo de pagar a los operadores humanos ( también conocidos como «afiliados») para llevar a cabo los ataques. Las copias de seguridad no significan nada en el panorama actual de amenazas de ransomware de extorsión doble y triple. Lo que importa es evitar el compromiso en primer lugar.
7. La amenaza del ransomware puede ser resuelta por el gobierno
Hemos visto varios intentos dignos y valientes de luchar contra el creciente aumento de ransomware que surge del nuevo enfoque del gobierno de EE. UU . en el delito cibernético.
El ataque al Oleoducto Colonial , el ataque al proveedor de carne JBS y otros han creado una preocupación creciente para las empresas, ya que sienten que se quedan solas en la batalla para mantener segura nuestra forma de vida. A pesar de lo loables que son los esfuerzos del gobierno para tomar medidas, los ciberdelincuentes, por su propia naturaleza, no se dejan intimidar por las fuerzas del orden.
Tan pronto como Biden y Putin discutieron la represión de los delincuentes que atacaron la atención médica y otras organizaciones de infraestructura crítica, surgieron nuevos grupos específicamente para hacer precisamente eso. Donde algunos delincuentes temen pisar, otros felizmente tomarán su lugar si detectan una oportunidad de ganar dinero. Las leyes federales no nos eximen de cerrar con llave nuestras propias puertas.
Sí, la ayuda del gobierno siempre es bienvenida. No, la ayuda del gobierno no aliviará la necesidad de las empresas de proteger sus negocios contra el crimen.
8. No se necesitan humanos si se implementa la automatización
La escasez de habilidades en seguridad cibernética es real, pero si bien la automatización puede hacer contribuciones valiosas a la productividad y la eficacia, la automatización nunca reemplazará al elemento humano en la ecuación de la seguridad cibernética.
El riesgo no es estático y la superficie de riesgo crece y cambia constantemente a medida que las organizaciones maduran y expanden sus negocios. Más servicios, más servidores de producción, más flujo y más datos de clientes hacen que el desafío de reducir el riesgo sea un viaje continuo en lugar de una tarea única que se puede completar con un esfuerzo consolidado. Como no existe una panacea para comprender el riesgo empresarial o cuantificar los medios para mantener un negocio seguro, siempre habrá una necesidad de talento en ciberseguridad que pueda innovar, evaluar y cerrar estas brechas.
Los vectores de ataque también están en constante evolución. Hace tres años, las organizaciones confiaban en el análisis estático de PE y otros archivos ejecutables para detectar y prevenir malware. Poco después, comenzamos a ver ataques basados en scripts sin archivos e intentos de movimiento lateral que penetraban con éxito en las redes empresariales. Una tormenta masiva de ataques a la cadena de suministro, como SolarWinds , Kaseya y más, han agregado otra dimensión a la gestión de riesgos. Mientras tanto, la economía del ransomware creó una red masiva de afiliados que usaban nuevas técnicas de spam para eludir las soluciones tradicionales.
Sí, los humanos necesitan tecnología para ayudar a escalar, maximizar la productividad, eliminar tareas mundanas y crear un enfoque en los elementos críticos que necesitan atención, pero el mejor de los casos es que la automatización de la seguridad cibernética reducirá el panorama creciente y la superficie de ataque.
Los CISO seguirán necesitando personas inteligentes que puedan conectarse, operar y clasificar todo lo que los atacantes (con sus propias herramientas de automatización a mano) continuarán arrojándonos.
9. MDR es todo lo que necesita para mantenerse a salvo
Si bien la automatización nunca reemplazará la necesidad de analistas humanos, también hay un opuesto: los humanos nunca podrán detectar, responder y remediar ataques identificables tan rápido como las computadoras. Necesitamos utilizar nuestros recursos humanos e informáticos de forma adecuada a las tareas para las que cada uno se adapta mejor.
Los humanos lo harán mucho mejor al clasificar los casos extremos, los desconocidos y los falsos positivos, pero la IA en el dispositivo que nunca duerme y funciona a la velocidad de su CPU vencerá a los atacantes mucho más rápido que un analista de MDR remoto en la nube obteniendo un retraso y parcial. alimentación de la telemetría de su red.
Sí, MDR ofrece un valor agregado a un buen agente de protección de terminales de IA de última generación. No, MDR no es un sustituto de la protección autónoma en el dispositivo, como lo demostraron de manera convincente los resultados de MITRE de 2020 .
Conclusiónes
No se puede escapar del hecho de que la seguridad cibernética es un negocio complejo, pero entender los conceptos básicos correctamente es el primer paso. Reduzca sus dependencias de los proveedores de sistemas operativos, implemente una protección de punto final en el dispositivo que ofrezca visibilidad en todo su patrimonio y retenga el talento en ciberseguridad: todos estos son buenos puntos de partida para cada CISO.
Mientras tanto, trate de ver a través de los conceptos erróneos que se transmiten con regularidad. He mencionado nueve de los más comunes que escucho en esta publicación, pero sin duda hay muchos más aullando en el viento.
Fuente: https://www.sentinelone.com/blog/the-9-biggest-cybersecurity-lies-told-to-cisos/
0 comentarios