Arabia Saudita se ve afectada por los mismos tipos de ataques cibernéticos que el resto del mundo. Pero la situación geopolítica en la región significa que hay un conjunto diferente de perpetradores, y están muy motivados.
Los ciberdelincuentes con motivaciones políticas que atacan a Arabia Saudita a menudo se enfocan en industrias fundamentales. “Vemos ataques que apuntan a sectores como el petróleo y el gas, así como la energía, más que otros”, dijo Safwan Akram, director de servicios de seguridad gestionados en la consultora de seguridad cibernética Help AG en Arabia Saudita. “Estos sectores comprenden una parte vital de la economía del reino, y los adversarios utilizan estos ataques para obtener acceso a información confidencial e interrumpir las operaciones a nivel nacional”.
De acuerdo con la del Foro Económico Mundial Perspectiva de ciberseguridad global 2022, las tres mayores preocupaciones de los profesionales de la seguridad cibernética en cualquier parte del mundo son el ransomware, la ingeniería social y los ataques internos maliciosos. De los tres, el ransomware es la amenaza de más rápido crecimiento.
Los empresarios maliciosos ahora ofrecen ransomware como servicio (RaaS), lo que permite a los piratas informáticos lanzar fácilmente un ataque de ransomware. RaaS ahora viene con un triple ataque cibernético de extorsión, que incluye el cifrado de archivos para mantener la información como rehén, el robo de datos para revelar potencialmente información privada y los ataques de denegación de servicio distribuido (DDoS) para obstaculizar la disponibilidad de la red e inutilizar la infraestructura.
Muchos de los ataques dirigidos a Arabia Saudita están relacionados con DDoS y tienen mucho que ver con crear una molestia para las organizaciones o para el país. Algunos de los otros ataques se centran más en penetrar las defensas de una organización con el fin de espiar. Si bien gran parte del espionaje está muy dirigido, a menudo afecta a otros que no son objetivos directos.
Además de las tendencias globales que hacen que la mayoría de los países sean más vulnerables a los ataques cibernéticos, Arabia Saudita tiene otra razón para sentir la amenaza: su dependencia acelerada de la tecnología digital. La transformación digital también es un pilar clave en el país Visión 2030 planea diversificar su economía a través de un mayor enfoque en la innovación. Si bien crea nuevas oportunidades para el reino, esta estrategia también ha introducido mayores riesgos cibernéticos y operativos al crear una superficie de ataque en expansión.
Rol de la Autoridad Nacional de Seguridad Cibernética
Afortunadamente, Arabia Saudita no se ha quedado de brazos cruzados ante el aumento de la ciberamenaza. En 2017, su gobierno estableció una autoridad para regular la seguridad cibernética: la Autoridad Nacional de Seguridad Cibernética (NCA), que exige ciertos controles y estándares en torno a los servicios esenciales, la seguridad, la infraestructura crítica, la nube y las redes sociales. Estas medidas están siendo obligatorias para las agencias gubernamentales y para los sectores empresariales críticos para ayudar a dar forma a la postura de seguridad cibernética de esas organizaciones. La NCA realiza una revisión anual de cada entidad.
El 8 de agosto de 2022, la NCA anunció el lanzamiento del CyberIC programa para el desarrollo del sector de la ciberseguridad, considerado uno de los principales habilitadores de la Estrategia Nacional de Ciberseguridad del país. El objetivo del nuevo programa es mejorar las capacidades nacionales mediante el desarrollo de habilidades locales y, en última instancia, tecnología local de seguridad cibernética.
Durante la primera fase de CyberIC, la NCA apoyará a más de 40 nuevas empresas a través de un acelerador de seguridad cibernética y establecerá más de 20 nuevas empresas a través de una segunda versión del desafío nacional de seguridad cibernética. Además, unos 10.000 saudíes del sector de la ciberseguridad recibirán formación a través de CyberIC.
El gobierno saudí también ha organizado muchos bootcamps para recién graduados a fin de prepararlos para el mercado, para que estén bien versados en diferentes campos de la seguridad cibernética. Se les ofrecen oportunidades para especializarse en el lado defensivo de la cibernética, pero también en el lado ofensivo, como la formación de equipos rojos y las pruebas de penetración. También hay formación especializada en gobierno, riesgo y cumplimiento.
El gobierno está adoptando todas estas iniciativas y programas para aumentar la conciencia nacional sobre la seguridad cibernética y también para mejorar las habilidades de las personas, permitiéndoles iniciar una carrera en un campo cada vez más creciente y contribuir a elevar la postura de seguridad del país.
Como parte de sus esfuerzos para mejorar la seguridad cibernética a nivel nacional, la NCA ha emitido regulaciones y políticas de acuerdo con las mejores prácticas internacionales. “La NCA ha tenido éxito en la creación de enfoques prácticos para la seguridad cibernética y en el desarrollo de las mejores prácticas que permiten a las organizaciones empresariales y entidades gubernamentales construir una cultura de seguridad y salvaguardar su hoja de ruta digital”, dijo Nicolás Sollingdirector de tecnología de Help AG.
“Uno de los desafíos únicos para Arabia Saudita es que una gran cantidad de organizaciones nacionales son muy grandes en comparación con otros países de la región, con una fuerza laboral de cientos de miles de personas. Esto a veces hace que sea difícil ser ágil. Las soluciones deben comprarse e instalarse y la visibilidad de la red y la infraestructura de la organización debe mantenerse continuamente, y eso puede ser un desafío”.
Pero Arabia Saudita no está sola en sus esfuerzos para contrarrestar las amenazas a la seguridad cibernética: la NCA está trabajando con otros países. En julio de 2022, justo antes de la visita del presidente estadounidense Joe Biden a Arabia Saudita, la NCA firmó un nuevo memorando de entendimiento (MoU) con los EE. UU. para promover su cooperación existente a través de un proceso formal para compartir más información y mejores prácticas sobre amenazas cibernéticas.
Creciente necesidad de ciberseguridad
Solling cree que los desafíos de la seguridad cibernética se volverán más sofisticados y más difíciles de abordar en el corto y mediano plazo. El ransomware es un buen ejemplo: la región ha experimentado un aumento en los ataques de ransomware, con el 56% de las organizaciones saudíes como objetivo en 2021, frente al 17% en 2020, según un estudio de sophos. Los ciberdelincuentes ganan dinero de manera fácil y sustancial con la entrega de RaaS, lo que significa que estarán muy motivados y recibirán una gran cantidad de fondos para asegurarse de que el flujo de ingresos continúe, dijo.
“Si nos fijamos sólo en la economía, es una imagen aterradora”, dijo Solling a Computer Weekly. “Las organizaciones han comenzado a comprender que si se encuentra en un entorno donde la amenaza siempre está presente y la motivación de los ciberdelincuentes sigue creciendo, debe comenzar a pensar en su seguridad cibernética de una manera diferente en el sentido de que no puede centrarse más en la prevención.
“Por supuesto, necesitas tener todos los conceptos básicos correctos. Debe implementar una sólida estrategia de seguridad cibernética y un sólido plan de continuidad comercial que incorpore controles de seguridad en cada paso, mientras se asocia con proveedores de seguridad confiables que funcionan como una extensión de su equipo de seguridad interno. Sin embargo, también debe considerar el hecho de que nadie es 100 % inmune y, por lo tanto, comenzar a pensar en cómo debe cambiar su planificación para seguir un enfoque integral y estructurado que incorpore métodos preventivos, de detección y de respuesta, reduciendo así significativamente el impacto de cualquier posible amenaza”.
Solling agregó: “Lo que vemos ahora es que los clientes están comenzando a cambiar su mentalidad de centrarse en prevenir todo a prevenir tanto como sea posible. Pero también necesitamos planificar para que el impacto sea el mínimo posible. Es hora de pasar de la ciberseguridad a la ciberresiliencia”.
Además de proteger a sus usuarios y activos, las empresas y las agencias gubernamentales deben cumplir con un creciente cuerpo de regulaciones en torno a la seguridad cibernética. Esto está resultando difícil porque muchas organizaciones tienden a centrarse en su negocio principal y tratan la seguridad cibernética como una ocurrencia tardía, en lugar de un elemento esencial integrado por diseño.
Esto, junto con la transición de un modelo basado en productos a uno centrado en servicios, está haciendo que sea cada vez más lucrativo para las organizaciones externalizar las operaciones de seguridad a un proveedor de servicios de seguridad gestionados (MSSP), que les permitirá contratar a nivel de servicio. oferta basada en acuerdos (SLA). Esto no solo les ahorra tiempo, sino que también les da acceso a la experiencia adecuada y necesaria, ya que los MSSP han estado invirtiendo continuamente en tecnologías, conocimientos y talento.
Según Akram de Help AG, la razón principal por la que las empresas buscan servicios de seguridad administrados (MSS) es el costo. El costo de construir un centro de operaciones de seguridad interno (SOC) implica una gran inversión en diferentes áreas, que van desde la contratación de profesionales de seguridad e incorporación de tecnologías hasta la preparación de instalaciones físicas y la realización de operaciones de seguridad continuas.
Esto hace que las empresas se enfrenten a costos impredecibles relacionados con los gastos operativos, las actualizaciones y los aumentos de capacidad, que es donde los MSSP desempeñan un papel fundamental, ya que ofrecen servicio y previsibilidad presupuestaria.
Según Akram, la segunda razón por la que las empresas buscan un MSSP se refiere a encontrar los talentos adecuados dentro del mercado. Los puestos vacantes de seguridad cibernética actualmente se encuentran en 2,72 millones a nivel mundial, lo que dificulta que las empresas administren sus propios SOC. Asociarse con el MSSP correcto ahorra a los líderes de seguridad este dolor de cabeza. “Contratamos profesionales de seguridad en todas y cada una de las funciones”, dijo Akram. “Tenemos esa diversidad en nuestro equipo, por lo que podemos brindar nuestros servicios con la más alta calidad y al mismo tiempo satisfacer las necesidades del cliente y los requisitos de cumplimiento. ”
Solling agregó: “A medida que los ciberdelincuentes se vuelven más y más profesionales, los defensores también necesitan mejorar su juego. MSS ha existido durante mucho tiempo como concepto, pero un número creciente de clientes ahora está comenzando a comprender la necesidad de este.
“Lo que estamos manejando es más sensible y por eso gran parte del trabajo que hacemos es construir la relación de confianza con el cliente. MSS puede implementarse en las instalaciones, en la nube o una combinación de ambos.
“Comenzamos en los Emiratos Árabes Unidos y luego nos mudamos a Arabia Saudita. Para cumplir con los diferentes requisitos de cumplimiento, tuvimos que hacer una inversión para que todos nuestros servicios, incluidos los analistas, estuvieran disponibles localmente. Algunas de las regulaciones de datos requieren que brindemos servicios dentro del país para abordar ciertos segmentos que manejan información confidencial, uno de los cuales es BFSI. [banking, financial services and insurance].”
Enfoque gradual de los servicios de seguridad gestionados
Akram dijo: “El servicio más básico comienza como monitoreo las 24 horas, los 7 días de la semana, donde monitorea el entorno del cliente en busca de amenazas y alertas maliciosas. Luego, comienza a tener más complementos para aumentar su cobertura en términos de detección o respuesta: cubre puntos finales y redes, luego pasa a la protección de marca o la protección de riesgos digitales como un paraguas más grande que monitoreará su identidad como organización en las redes sociales. los medios de comunicación, la dark web y los motores de búsqueda.
“Supervisas el uso de los dominios y compruebas cualquier posible suplantación. Supervisa la fuga de datos de, por ejemplo, las credenciales de los usuarios en la web oscura o Internet en general. Luego se empieza a hablar de servicios avanzados en torno a la detección de anomalías en el comportamiento de los usuarios, intentando también automatizar procesos.
“También tenemos un ángulo donde el cliente subcontrata la gestión de los controles de ciberseguridad del proyecto. Realizamos la administración, configuración, mantenimiento de diferentes controles de ciberseguridad de los productos que el cliente ya tendrá en su entorno. A veces, los clientes llegan al punto en que quieren que el MSSP se encargue de todo”.
Solling agregó: “Una de las primeras cosas que los clientes buscan en un proveedor de servicios es si el MSSP es accesible. No solo quieren un centro de llamadas. Quieren poder comunicarse con el proveedor de servicios y hablar con ellos sobre sus inquietudes.
“Los clientes deben ser conscientes de que el hecho de que se registren con un MSSP no significa que puedan bajar la guardia. Siguen siendo un objetivo. La única diferencia es que con un MSSP, la respuesta a un ataque es mucho mejor de lo que normalmente podrían hacer”.
Uno de los servicios más importantes que puede proporcionar un MSSP es un conjunto de pruebas para buscar agujeros en las defensas de ciberseguridad de una organización. Una de las técnicas para hacer esto es un ejercicio de equipo rojo, en el que un proveedor de servicios contrata a piratas informáticos que intentan romper las defensas. Mientras el equipo rojo ataca, un equipo azul protege y responde. Luego, los dos equipos trabajan juntos para discutir los resultados. El equipo mixto se conoce como el equipo morado, una mezcla de los equipos rojo y azul.
“Realizar este tipo de pruebas es una parte constante de una operación de respuesta madura”, dijo Solling.
