En el panorama actual de amenazas a la seguridad cibernética, vale la pena ser proactivo en lugar de reactivo. Los actores maliciosos pasan cada vez menos tiempo escondiéndose en sistemas infiltrados en busca de vulnerabilidades para explotar y, a veces, solo necesitan estar en los sistemas durante unas horas antes de encontrar grietas en las defensas. A medida que el «tiempo de permanencia» medio del actor de amenazas se reduce a 21 días, los equipos de seguridad de TI deben contar con herramientas sólidas de detección de amenazas pasivas.
Es comprensible por qué los equipos de seguridad intentan cubrir todas las bases al mapear posibles amenazas de ataque. Sin embargo, la realidad es que para la mayoría de las organizaciones, después de considerar el gran volumen de hardware y software utilizado en la red, no es posible identificar y cerrar todas las brechas.
En esta etapa, muchos equipos de seguridad dedican demasiado tiempo y recursos a tratar de anticipar cada tipo de ataque. Así como un gran maestro de ajedrez sabe que no se pueden salvar todas las piezas del tablero, los funcionarios de seguridad cibernética pueden mejorar las defensas centrándose en las piezas más importantes.
Active Directory es a menudo el objetivo de los atacantes cuando se han infiltrado en la red a través de una vulnerabilidad de Internet o porque alguien en la organización se ha visto comprometido a través de phishing. Controlar Active Directory es como controlar las «Llaves del Reino» de la empresa. Si Active Directory se desconecta, un escenario muy posible, y que ha sucedido en el pasado, es que el equipo de TI se desconecte por completo y sea inalcanzable.
Para evitar este tipo de situaciones, una mejor práctica es aplicar el principio de privilegio mínimo. Reducir la cantidad de dispositivos o personas con acceso administrativo, configurar un monitoreo continuo, adoptar un modelo de administración por niveles y configurar controladores de dominio de Active Directory como el núcleo del servidor podría mitigar los riesgos.
La tecnología heredada también puede ser una fuente importante de vulnerabilidades para muchas organizaciones. Los sistemas internos que pueden no estar conectados a Internet a menudo pueden estar inactivos y no visibles para las evaluaciones de amenazas. Si no se realizan escaneos internos para identificar estos sistemas y los posibles riesgos de seguridad, los actores maliciosos pueden aprovechar las configuraciones incorrectas para romper las paredes. Los sistemas heredados que no admiten actualizaciones y no pueden integrarse con sistemas operativos más nuevos también siguen siendo vulnerables a los ataques.
Estrategias de defensa activa
Hay muchas herramientas en las que los equipos de seguridad de TI pueden invertir para realizar evaluaciones integrales de vulnerabilidad. Sin embargo, es importante que todos los escaneos verifiquen tanto los sistemas internos como los que dan al exterior y están conectados a internet. A menudo se dedica mucho tiempo a tratar de evitar que los atacantes entren, mientras que se piensa mucho menos en lo que está en riesgo si un atacante atraviesa las paredes y obtiene acceso a los sistemas. La erradicación de las configuraciones incorrectas internas contribuye en gran medida a proteger a las organizaciones al evitar que los delincuentes proliferen en sus sistemas.
Antes de comprar o integrar nuevas herramientas o hardware o software externo, es importante realizar la diligencia debida en la etapa de adquisición para que los equipos de seguridad puedan evaluar los riesgos del proveedor. Es igualmente importante que cualquier proveedor potencial evalúe activamente los riesgos de seguridad de la organización para demostrar que comprende completamente el entorno de amenazas exclusivo de esa organización.
Los actores maliciosos que apuntan a herramientas mal configuradas son un talón de Aquiles para los equipos de ciberseguridad. Es esencial implementar un monitoreo de control continuo para verificar que los sistemas estén configurados correctamente, especialmente cuando las organizaciones pueden haber implementado múltiples herramientas de seguridad y TI para proteger diferentes aspectos del negocio. Al ejecutar escenarios regularmente para identificar riesgos, los equipos de TI tienen una mejor oportunidad de detectar vulnerabilidades en el sistema antes de que sean explotadas.
Cuando se trata de infraestructura crítica como los sistemas de TI, existe una renuencia comprensible a cambiar las cosas mientras están funcionando. En muchos casos, los cambios no se implementan hasta que se identifica o neutraliza una amenaza, o hasta que el daño ya está hecho.
No siempre es fácil estar a la vanguardia de la protección de los sistemas contra las amenazas cibernéticas, pero a la larga vale la pena invertir tiempo y recursos para comprender completamente los riesgos de su red, realizar un monitoreo continuo y garantizar que los fundamentos del sistema sean sólidos para evitar que los piratas informáticos dejen la puerta abierta.
Steve Forbes es un experto en seguridad cibernética del gobierno en Nominet