¡La seguridad sería mucho más fácil si nuestras redes no fueran tan complicadas! Es una ilusión tentadora que podamos simplemente sacar nuestras listas de verificación de las mejores y peores prácticas, comparar cada componente con las reglas, asegurarnos de que cada perilla de configuración esté configurada correctamente y luego descansar hasta la próxima auditoría.
Pero nunca funciona así, porque las redes son complicadas; de hecho, intente una búsqueda de imágenes para “complejidad”, ¡y lo que obtiene principalmente son imágenes de redes! Las redes son el epítome de la complejidad.
Entonces, ¿por qué debería importarle a la gente de seguridad? ¿No es la red un problema para algún otro equipo? La respuesta a eso es solo dos palabras: “movimiento lateral”.
Casi todos los escenarios de ataque más avanzados que el enfoque básico de aplastar y agarrar del ransomware clickbait dependen de obtener un punto de apoyo en una parte de una red y luego propagarse lateralmente a otra.
Incluso el ransomware está evolucionando para depender del movimiento lateral ahora, porque la mayoría de las organizaciones han aprendido que no es bueno dejar datos corporativos críticos en las computadoras portátiles.
Genial, como defensor, debe ampliar su búsqueda: no es suficiente preguntar “¿este activo es débil?”, También debe ingresar “ahora, ¿a dónde más podría ir, si controlara esta ubicación?”
Eso no suena tan mal, hasta que comienza a considerar la escala del problema: si tiene N dispositivos en su red, debe comprender N^2 posibles saltos laterales que un atacante podría usar para derribarlo.
Cuando N es más de 10, se vuelve difícil: cuando N es más de 1000, estamos más allá de la escala humana, y los algoritmos son la única opción para buscar en este vasto espacio, buscando las jugosas vías de ataque que los atacantes pueden seguir.
Por supuesto, como defensor, este juego siempre está en tu contra: el atacante solo tiene que encontrar una secuencia de pasos que le permita entrar, pero tú tienes que encontrar todos los caminos posibles y bloquearlos todos.
La triste verdad es que los humanos no son buenos para descifrar interacciones complejas, como los movimientos laterales que usan los atacantes para convertir su punto de apoyo en su red en un dominio absoluto.
¿Cómo puedo saber? Porque he pasado mi carrera haciendo que las computadoras razonen sobre interacciones complejas, en campos tan diversos como epidemias, redes y seguridad cibernética.
Lo que estos diversos tipos de “computadoras de ajedrez” siempre muestran es que las máquinas son mejores que las personas cuando se trata de descubrir rutas de ataque complicadas y de múltiples etapas.
No es que las personas sean tontas: los defensores humanos son mejores que las computadoras, por ejemplo, para pensar en las motivaciones y las técnicas probables de un oponente, o establecer políticas estratégicas que compensan la agilidad comercial con una defensa sólida.
Pero los humanos simplemente no tienen la capacidad de atención para verificar millones o miles de millones de movimientos laterales, o peor aún, secuencias de movimientos laterales que es probable que use un atacante.
La receta para lidiar con esto es sencilla. Los defensores deben: crear y mantener un inventario actualizado: toda la seguridad comienza aquí; luego mapee qué está conectado con qué, de modo que, como un comandante en el campo de batalla, pueda ver su posición; finalmente, libere la automatización para descubrir dónde están sus brechas defensivas, priorícelas y luego corríjalas utilizando un enfoque basado en el riesgo.
Cualquier cosa menos, y estás volando a ciegas, usando la esperanza como estrategia.
