Los procesos de seguridad nuclear deben adaptarse en un panorama complejo
Los proyectos de transformación digital se llevan a cabo en la mayoría de las organizaciones, lo que significa que los activos de TI se han vuelto más complejos a medida que diferentes tecnologías trabajan juntas para habilitar los flujos de datos y los procesos comerciales que son críticos para la operación efectiva del negocio.
Sin embargo, esta interconectividad significa que la interrupción de cualquier sistema dentro de este flujo puede afectar los resultados operativos y también está disponible para los atacantes que pueden explotarlos, lo que significa que pueden moverse lateralmente a través de la red y los sistemas de una organización.
Los procesos de seguridad centrales, como la gestión de vulnerabilidades, deben adaptarse para abordar los nuevos riesgos que surgen de toda esta interconectividad.
gestión de vulnerabilidades
Desde una perspectiva de seguridad, es fácil sugerir que todas las vulnerabilidades conocidas deben parchearse, pero las implicaciones de aplicar parches y correcciones deben verse desde una perspectiva más amplia.
El tiempo de inactividad de los sistemas críticos, el tiempo para probar los parches antes de implementarlos en entornos de producción y la disponibilidad del personal para realizar todas las actividades requeridas son solo algunos de los factores que determinan la capacidad de una organización para parchear las vulnerabilidades en sus sistemas. Combine esto con el creciente volumen de vulnerabilidades informadas y la verdadera escala del problema se vuelve clara, junto con la realidad de que una gestión de vulnerabilidades 100% efectiva es casi imposible de lograr.
A pesar de los pronósticos sombríos, una base sólida para la gestión de vulnerabilidades y parches sigue siendo un control esencial. Sin embargo, el problema es que las organizaciones tienen listas cada vez mayores de vulnerabilidades que deben gestionarse. Habrá aquellos que han estado en el radar por un tiempo pero para los cuales no hay parche, tiempo de inactividad o ninguna forma de aplicar controles de mitigación, por ejemplo. También habrá aplicaciones, servidores o redes que no se pueden reemplazar o actualizar fácilmente, y aquellos para los que nunca se planifica el tiempo de inactividad.
Además, es probable que los programas de este tipo se centren en las vulnerabilidades que representan un alto riesgo para la organización, en particular las descubiertas en sistemas críticos o «joya de la corona», ya que es lógico tratar de apuntar a aquellos que tienen exploits comunes. están integrados en el conjunto de herramientas de cualquier atacante de nivel de entrada o podrían afectar significativamente a la organización.
Pero un enfoque en las vulnerabilidades de alto riesgo potencialmente deja muchas vulnerabilidades de menor riesgo disponibles para los atacantes que las usan como puntos de entrada a la red y las encadenan juntas en lugar de explotarlas individualmente. Como resultado, pueden examinar redes, aplicaciones y cualquier interconectividad existente para explotar lo que puedan, independientemente del número del Sistema de puntuación de vulnerabilidad común (CVSS) o la calificación equivalente otorgada a cada vulnerabilidad en función de su capacidad de explotación y el daño que puede causar. .
De repente, una vulnerabilidad de bajo riesgo en un servidor remoto puede ser una puerta abierta a una aplicación que antes se consideraba protegida.
la vista completa
Muchas organizaciones pueden beneficiarse de dar un paso atrás. En lugar de centrarse en las vulnerabilidades críticas y de alto riesgo como entidades individuales, una visión holística del estado de TI ayuda a identificar objetivos probables, los datos clave que fluyen a través de la organización, las personas cuyo acceso al sistema podría usarse maliciosamente en caso de verse comprometido, etc. .
“Un enfoque en las vulnerabilidades de alto riesgo potencialmente deja muchas vulnerabilidades de menor riesgo disponibles para los atacantes que las usan como puntos de entrada a la red. [from which] Pueden explorar redes, aplicaciones y cualquier interconectividad existente para explotar lo que puedan”.
Andrew Morris, Consultoría llave en mano
Dar un paso atrás también puede permitir a las organizaciones reevaluar lo que se percibe como crítico. Por ejemplo, puede haber una vulnerabilidad crítica en una aplicación interna, pero si esa aplicación no está conectada a nada más y no almacena información altamente confidencial, representa un riesgo menor para la organización que otras vulnerabilidades.
Las organizaciones deben usar la inteligencia de amenazas para comprender qué es probable que las ataque y qué métodos podrían usarse. Por ejemplo, saber que es probable que las aplicaciones web sean un objetivo importante hace posible priorizar una remediación allí, aunque esto puede ser más fácil decirlo que hacerlo cuando el equipo de seguridad interna no tiene control sobre la aplicación en la nube y los informes SOC II (que el Proporcionar seguridad de que se prestará un servicio de forma segura) indicar que no hay ningún problema.
Los equipos rojos, donde las empresas simulan métodos de ataque reales para probar sus defensas, son otra opción, al igual que el uso de marcos como MITRE ATT&CK que mapean sistemas, procesos y personas para determinar cómo los atacantes obtendrían acceso a una organización. Al comprender los métodos utilizados y las oportunidades que se pueden aprovechar, los equipos de gestión de vulnerabilidades pueden priorizar lo que se necesita proteger, con el resultado general de una organización más segura.
Ataques Internos
Los activos críticos, aquellos sistemas dentro de la red de una organización que se consideran objetivos de mayor prioridad para los atacantes o más valiosos para la organización, deben identificarse y protegerse de ataques externos. Pero como se mencionó anteriormente, los sistemas de bajo perfil también son atractivos para los infiltrados, y una vez que un atacante está en la red, puede parecer un recurso interno y, por lo tanto, pasar desapercibido.
Para protegerse contra este riesgo, los activos críticos también deben estar protegidos contra amenazas internas. Las redes se pueden segmentar en niveles de confianza, erigiendo barreras adicionales entre ellas y los posibles puntos de entrada, o se puede implementar un modelo de confianza cero, asegurando que todas las interacciones digitales se validen continuamente.
Gestión de riesgos basada en el sistema
Los muchos sistemas interconectados en los que confían las organizaciones significan que una interrupción en un sistema podría tener un impacto significativo en el negocio. Esto puede ocurrir por varias razones, incluidos errores humanos, sobrecarga del sistema y configuración no probada, pero también es una forma de que los atacantes obstaculicen las operaciones.
Se pueden implementar controles, incluida la continuidad del negocio y la planificación de la recuperación ante desastres, la capacitación y la concientización de los usuarios y el monitoreo efectivo, para proteger los procesos y reducir el impacto comercial en caso de que ocurra un evento. Pero el primer paso es comprender los riesgos pasando de un enfoque de gestión de riesgos basado en componentes a un enfoque basado en sistemas que identifique y analice las interacciones entre los elementos individuales de una red de sistemas de TI interconectados para evaluar los riesgos generales para determinar el rendimiento operativo.
El cambio a la resiliencia cibernética
A medida que las organizaciones digitales se vuelven más conectadas, se vuelven más grandes y más dependientes de la tecnología, lo que las expone a más amenazas externas. Es demasiado difícil cerrar todas las vulnerabilidades; En cambio, las organizaciones deben hacer la transición a la resiliencia cibernética, que puede ser respaldada por un enfoque de seguridad en capas.