En el panorama actual de amenazas a la seguridad cibernética, vale la pena ser proactivo en lugar de reactivo. Los actores maliciosos pasan cada vez menos tiempo escondidos dentro de los sistemas infiltrados buscando áreas débiles para explotar, a veces solo necesitan estar en los sistemas solo unas horas antes de encontrar las grietas en las defensas. Dado que el “tiempo de permanencia” promedio del actor de amenazas se reduce a 21 días, los equipos de seguridad de TI deben contar con herramientas sólidas de detección de amenazas pasivas.
Es comprensible por qué los equipos de seguridad intentan cubrir todas las bases al mapear posibles amenazas de ataque. Pero la realidad es que para la mayoría de las organizaciones, después de tener en cuenta la gran cantidad de hardware y software que se utiliza en la red, identificar y cerrar todas las brechas es inviable.
Es en esta etapa cuando muchos equipos de seguridad dedican demasiado tiempo y demasiados recursos para tratar de anticipar todo tipo de ataque. Así como un gran maestro de ajedrez sabe que no se pueden salvar todas las piezas del tablero, los encargados de la ciberseguridad pueden mejorar las defensas centrándose en las piezas más importantes.
Active Directory es a menudo el objetivo de los atacantes una vez que se han infiltrado en la red a través de una vulnerabilidad de Internet o porque alguien en la organización se ha visto comprometido a través de phishing. Tener el control de Active Directory es como hacerse con el control de las “llaves del reino” de la empresa. Si Active Directory se desconecta, un escenario muy posible, y que ha sucedido en el pasado, es que el equipo de TI podría quedar completamente desconectado y volverse inalcanzable.
Para evitar este tipo de situación, una mejor práctica es aplicar el principio de privilegio mínimo. Al reducir la cantidad de dispositivos o personas con acceso de administrador, configurar un monitoreo continuo, introducir un modelo administrativo por niveles y establecer controladores de dominio de Active Directory como núcleo del servidor podría reducir los riesgos.
La tecnología heredada también puede ser una fuente principal de vulnerabilidad para muchas organizaciones. Los sistemas internos que pueden no estar orientados a Internet a menudo pueden permanecer inactivos y fuera de la vista de las evaluaciones de amenazas. A menos que se realicen escaneos internos para identificar estos sistemas y cualquier riesgo potencial de seguridad, los actores maliciosos pueden aprovechar las configuraciones incorrectas para romper las paredes. Los sistemas heredados que no pueden admitir actualizaciones e integrarse con sistemas operativos más nuevos siguen siendo vulnerables a los ataques.
Estrategias de defensa activa
Hay muchas herramientas en las que los equipos de seguridad de TI pueden invertir para realizar comprobaciones exhaustivas de vulnerabilidades. Sin embargo, es importante que todos los escaneos verifiquen los sistemas internos, así como los externos y conectados a Internet. A menudo se dedica mucho tiempo a tratar de evitar que los atacantes entren, mientras que se piensa mucho menos en lo que está en riesgo una vez que un atacante atraviesa las paredes y tiene acceso a los sistemas. Eliminar cualquier error de configuración interno contribuirá en gran medida a proteger a las organizaciones al evitar que los delincuentes se propaguen a través de sus sistemas.
Antes de cualquier compra o integración de nuevas herramientas o hardware o software externo, es vital llevar a cabo la debida diligencia en la etapa de adquisición, para que los equipos de seguridad puedan evaluar los riesgos de los proveedores. Es igualmente importante que cualquier posible proveedor lleve a cabo evaluaciones activas de los riesgos de seguridad de la empresa para demostrar que comprende plenamente su comprensión del entorno de amenazas exclusivo de esa empresa.
Los actores maliciosos que apuntan a herramientas mal configuradas son un talón de Aquiles para los equipos de seguridad cibernética. Es esencial implementar un monitoreo continuo de los controles para verificar que los sistemas estén configurados correctamente, especialmente cuando las organizaciones pueden haber implementado múltiples herramientas de seguridad y TI para proteger varios aspectos de la empresa. Al reproducir escenarios regularmente para identificar riesgos, los equipos de TI tienen más posibilidades de detectar fallas en el sistema antes de que sean explotadas.
Cuando se trata de infraestructura crítica como los sistemas de TI, existe una renuencia comprensible a cambiar las cosas mientras están funcionando. En muchos casos, los cambios no se implementan hasta que se identifica o neutraliza una amenaza o cuando el daño ya está hecho.
Mantenerse a la vanguardia en la protección de los sistemas contra las amenazas cibernéticas no siempre es fácil, pero a la larga vale la pena invertir tiempo y recursos para obtener una comprensión completa de los riesgos de su red, realizar un monitoreo continuo y garantizar que los cimientos del sistema son sólido, para evitar dejar la puerta entreabierta para los piratas informáticos.
Steve Forbes es experto en seguridad cibernética del gobierno en Nominet
