Los proyectos de transformación digital se están llevando a cabo en la mayoría de las organizaciones, lo que significa que los estados de TI se han vuelto más complejos, con diferentes tecnologías trabajando juntas para permitir los flujos de datos y los procesos comerciales que son cruciales para la operación efectiva de la empresa.
Sin embargo, esta interconectividad significa que la interrupción de cualquier sistema dentro de ese flujo puede afectar los resultados operativos y también está disponible para que los atacantes la aprovechen, lo que significa que pueden moverse lateralmente a través de la red y los sistemas de una organización.
Los procesos de seguridad centrales, como la gestión de vulnerabilidades, deben adaptarse para abordar los nuevos riesgos que plantea toda esta interconectividad.
Gestión de vulnerabilidades
Desde el punto de vista de la seguridad, es fácil sugerir que se deben resolver todas las vulnerabilidades conocidas, pero las implicaciones de aplicar parches y correcciones deben verse desde una perspectiva más amplia.
El tiempo de inactividad de los sistemas críticos, el tiempo para probar los parches antes de pasar a los entornos de producción y la disponibilidad del personal para llevar a cabo todas las actividades necesarias son solo algunos de los factores que determinan la capacidad de una organización para remediar las vulnerabilidades en sus sistemas. Combínelos con el creciente volumen de vulnerabilidades reportadas y la verdadera escala del problema se vuelve clara, junto con la realidad de que una gestión de vulnerabilidades 100% efectiva es casi imposible de lograr.
A pesar del pronóstico sombrío, una base sólida de gestión de vulnerabilidades y parches sigue siendo un control esencial. Sin embargo, el problema es que las organizaciones tienen listas cada vez mayores de vulnerabilidades que deben gestionarse. Habrá aquellos que han estado en el radar durante algún tiempo, pero para los que no hay parche, no hay tiempo de inactividad posible o no hay forma de aplicar controles de mitigación, por ejemplo. También habrá aplicaciones, servidores o redes que simplemente no se pueden reemplazar o actualizar, y aquellos para los que nunca se programa el tiempo de inactividad.
Además, es probable que los programas de esta naturaleza se centren en las vulnerabilidades que representan un alto riesgo para la organización, en particular las detectadas en sistemas críticos o “joya de la corona”, ya que es lógico tratar de abordar aquellas que tienen exploits comunes, se integran en el conjunto de herramientas de cualquier atacante de nivel de entrada o podrían afectar significativamente a la organización.
Pero un enfoque en las vulnerabilidades de alto riesgo potencialmente deja muchas vulnerabilidades de menor riesgo disponibles para los atacantes, quienes las usan como puntos de entrada a la red, encadenándolas juntas, en lugar de explotar cada una de forma aislada. Como resultado, pueden explorar redes, aplicaciones y toda la interconectividad existente para explotar lo que puedan, independientemente del número del Sistema de Puntuación de Vulnerabilidad Común (CVSS), o calificación equivalente, otorgada a cada vulnerabilidad en función de su facilidad de explotación y el daño que puede hacer.
De repente, una vulnerabilidad de bajo riesgo en un servidor remoto puede ser una puerta abierta a una aplicación que antes se creía protegida.
la vista completa
Muchas organizaciones pueden beneficiarse de dar un paso atrás. En lugar de centrarse en las vulnerabilidades críticas y de alto riesgo como entidades únicas, una visión holística del estado de TI ayuda a identificar objetivos probables, los datos clave fluyen a través de la organización, las personas cuyo acceso al sistema podría usarse de forma malintencionada, en caso de verse comprometido. , y así.
“Un enfoque en las vulnerabilidades de alto riesgo potencialmente deja muchas vulnerabilidades de menor riesgo disponibles para los atacantes, quienes las usan como puntos de entrada a la red. [from which] pueden explorar redes, aplicaciones y toda la interconectividad existente para explotar lo que puedan”
Andrew Morris, consultoría llave en mano
Dar un paso atrás también puede permitir a las organizaciones reevaluar lo que se percibe como crítico. Puede haber una vulnerabilidad crítica en una aplicación interna, por ejemplo, pero si esa aplicación no está conectada a nada más y no almacena información altamente confidencial, representa menos riesgo para la organización que otras vulnerabilidades.
Las organizaciones deben usar la inteligencia de amenazas para comprender qué es probable que las ataque y los métodos que podrían utilizarse. Saber que las aplicaciones web son probablemente un objetivo clave permite priorizar la remediación allí, por ejemplo, aunque esto puede ser más fácil decirlo que hacerlo si el equipo de seguridad interna no tiene control sobre la aplicación en la nube y los informes SOC II (que garantizan que un el servicio se proporciona de forma segura) indica que no hay ningún problema.
El equipo rojo, en el que las empresas simulan métodos de ataque reales para probar sus defensas, es otra opción, al igual que el uso de marcos como MITRE ATT&CK, que mapean sistemas, procesos y personas para determinar cómo los atacantes accederían a una organización. Al comprender los métodos utilizados y lo que se puede explotar, los equipos de gestión de vulnerabilidades pueden priorizar lo que se necesita proteger, con el resultado general de una empresa más segura.
Ataques internos
Los activos críticos, los sistemas dentro de la red de una organización que se consideran objetivos de mayor prioridad para los atacantes o más valiosos para la organización, deben identificarse y protegerse de ataques externos. Pero como se señaló anteriormente, los sistemas de bajo perfil también son atractivos para los infiltrados y, una vez en la red, un atacante puede parecer un recurso interno y, por lo tanto, pasar desapercibido.
Protegerse contra este riesgo requiere que los activos críticos también estén protegidos contra amenazas internas. Las redes se pueden segmentar en niveles de confianza, poniendo barreras adicionales entre ellas y los posibles puntos de entrada, o se puede adoptar un modelo de confianza cero, que garantiza que todas las interacciones digitales se validen continuamente.
Gestión de riesgos basada en sistemas
Los múltiples sistemas interconectados en los que confían las organizaciones significan que una interrupción en uno podría afectar significativamente el negocio. Esto puede ocurrir por una variedad de razones, incluidos errores humanos, sobrecarga del sistema y configuración no probada, pero también es una ruta para que los atacantes obstruyan las operaciones.
Se pueden introducir controles, incluida la continuidad del negocio y la planificación de la recuperación ante desastres, la formación y concienciación de los usuarios y la supervisión eficaz, para proteger los procesos y reducir el impacto en el negocio en caso de que se produzca un evento. Pero el primer paso es comprender los riesgos pasando de un enfoque de gestión de riesgos basado en componentes a uno basado en sistemas, que identifica y analiza las interacciones entre cada elemento de una red de sistemas de TI interconectados para determinar los riesgos generales para el resultado operativo. .
El cambio a la resiliencia cibernética
Cuanto más interconectadas se vuelven las organizaciones digitales, más grandes se vuelven y más dependen de la tecnología, lo que las abre aún más a las amenazas externas. Cerrar todas las vulnerabilidades es demasiado difícil de lograr; en cambio, las organizaciones deben cambiar hacia la resiliencia cibernética, que puede ser respaldada por un enfoque de seguridad en capas.
