[16/11/2023] Más soluciones de cloud computing, sistemas remotos y dispositivos conectados a Internet aumentan el riesgo de una superficie de ataque extendida. Dado que las encuestas predicen que la superficie de ataque empresarial seguirá aumentando, la mejor manera de reducir la cantidad de vulnerabilidades es establecer un programa adecuado de gestión de la superficie de ataque empresarial.
Varios activos de TI que acceden a servicios de redes corporativas carecen de salvaguardas críticas, según un informe de Sevco que analizó datos acumulados a partir de la visibilidad de más de 500 mil activos de TI. El informe encontró que el 11% de todos los activos de TI carecían de protección de puntos finales, el 15% no estaban cubiertos por soluciones de gestión de parches empresariales, mientras que el 31% de los activos de TI no estaban cubiertos por sistemas de gestión de vulnerabilidades empresariales. La situación empeora cuando el informe analiza las pequeñas y medianas empresas (PYMES) que trabajan por su cuenta para proteger su superficie de ataque. Se encontró que el 21% de los activos de TI de las PYMES que no recurren a un proveedor de servicios de seguridad gestionados carecen de protección de endpoints.
Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Una gestión adecuada de la superficie de ataque requiere analizar las operaciones para descubrir posibles vulnerabilidades y comprender el panorama. Esa información debería ayudar a desarrollar un plan, pero el éxito depende de la ejecución de ese plan en toda la red, los sistemas, los canales y los puntos de contacto de la organización.
Tenga en cuenta estas prácticas recomendadas al crear un programa de gestión de superficie de ataque empresarial:
1. Trazar un mapa de la superficie de ataque
Para planear una defensa adecuada, debe comprender qué activos digitales están expuestos, dónde es más probable que los atacantes apunten a una red y qué protecciones se requieren. Según Sevco, los datos recopilados a partir de la visibilidad de casi medio millón de activos de TI muestran que el 11% de todos los activos de TI carecen de protección de puntos finales. Por lo tanto, es fundamental aumentar la visibilidad de la superficie de ataque y crear una representación sólida de las vulnerabilidades de ataque. Los tipos de vulnerabilidades que se deben buscar incluyen computadoras o servidores más antiguos y menos seguros, sistemas sin parches, aplicaciones obsoletas y dispositivos IoT expuestos.
El modelado predictivo puede ayudar a crear una representación realista de posibles eventos y sus riesgos, fortaleciendo aún más la defensa y las medidas proactivas. Una vez que comprenda los riesgos, podrá modelar lo que sucederá antes, durante y después de un evento o brecha de seguridad. ¿Qué tipo de pérdida financiera puede esperar? ¿Cuál será el daño reputacional del evento? ¿Perderá inteligencia empresarial, secretos comerciales o más?
"Las estrategias exitosas de mapeo de superficies de ataque son bastante sencillas: saber lo que se está protegiendo (inventario preciso de activos), monitorear las vulnerabilidades de esos activos y utilizar la inteligencia de amenazas para saber cómo van a perseguir los atacantes esos activos con vulnerabilidades”, explica John Pescatore, director de tendencias de seguridad emergentes de SANS. "...cada una de esas tres fases requiere personal capacitado con tecnología de seguridad para mantenerse al día con el ritmo de cambio en las tres áreas".
2. Minimizar las vulnerabilidades
Una vez que las organizaciones han mapeado su superficie de ataque, pueden tomar medidas para mitigar el riesgo que suponen las vulnerabilidades más importantes y los posibles vectores de ataque antes de pasar a tareas de menor prioridad. Desconectar los activos siempre que sea posible y reforzar las redes internas y externas son dos áreas clave en las que enfocarse.
La mayoría de los proveedores de plataformas de red ahora ofrecen herramientas para ayudar a minimizar la superficie de ataque. Por ejemplo, las reglas de Attack Surface Reduction (ASR) de Microsoft permiten bloquear procesos y ejecutables que los atacantes suelen utilizar. Existen otras herramientas de gestión y descubrimiento de superficies de ataque que están diseñadas para cuantificar la superficie de ataque, minimizarla y reforzarla.
La mayoría de las brechas de seguridad son causadas por errores humanos. Por lo tanto, crear conciencia y capacitar a los empleados es otro aspecto fundamental para minimizar las vulnerabilidades. ¿Qué políticas tiene implementadas para ayudarlos a mantenerse al tanto de la seguridad personal y laboral? ¿Entienden lo que se les exige? ¿Cuáles son las prácticas de seguridad que deberían utilizar y cómo podría afectarles una falla a ellos y a la empresa en general?
No es necesario abordar todas las vulnerabilidades, y algunas persistirán de todos modos. Una estrategia de ciberseguridad confiable incluye métodos para identificar las fuentes más pertinentes, seleccionando las que tienen más probabilidades de ser explotadas. Esas son las vulnerabilidades que deben mitigarse y vigilarse.
Una gran cantidad de empresas permiten más acceso del necesario a los empleados y contratistas. Los permisos adecuadamente delimitados pueden garantizar que no se produzcan alteraciones ni daños importantes incluso cuando una cuenta se ve comprometida. Comience el análisis de los derechos de acceso con sistemas críticos y luego limite el acceso de cada persona y dispositivo solo a aquellos activos que absolutamente necesita.
3. Establecer prácticas y políticas de seguridad sólidas
Seguir las mejores prácticas de seguridad probadas y demostradas contribuirá en gran medida a minimizar la superficie de ataque. Esto incluye implementar soluciones de detección de intrusiones, realizar evaluaciones de riesgos periódicas e implementar políticas claras y efectivas. Aquí hay algunas prácticas a considerar:
- Lleve a cabo una gestión de cuentas saludable con protocolos de autenticación y controles de acceso sólidos.
- Establezca políticas consistentes de parches y actualizaciones.
- Mantenga y compruebe las copias de seguridad de los datos críticos.
- Segmente su red para minimizar los daños en caso de que se produzca una breca.
- Supervise y retire los equipos, dispositivos y servicios antiguos.
- Utilice el cifrado siempre que sea posible.
- Establezca o limite sus políticas y programas BYOD.
4. Establecer protocolos de supervisión y comprobación de seguridad
Un programa sólido de ciberseguridad requiere ajustes constantes a medida que las infraestructuras de TI cambian y los actores de amenazas evolucionan. Esto requiere un seguimiento continuo y pruebas periódicas, a menudo a través de servicios de pruebas de penetración de terceros.
La supervisión suele realizarse a través de un sistema automatizado como un software de gestión de eventos e información de seguridad (SIEM). Este recopila los datos de registro generados por aplicaciones y sistemas anfitriones, así como por dispositivos de seguridad y de red, como firewalls y filtros antivirus. Luego, el software SIEM identifica, categoriza y analiza incidentes y eventos.
Las pruebas de penetración proporcionan información imparcial de terceros para ayudar a comprender mejor las vulnerabilidades. Los especialistas en pruebas de penetración realizan ataques simulados diseñados para revelar vulnerabilidades críticas. Las pruebas deben abarcar los elementos centrales de la red empresarial y los dispositivos BYOD y de terceros que utilizan los proveedores. Los dispositivos móviles representan alrededor del 60% de las interacciones con datos corporativos https://www.zimperium.com/enterprise-mobile-security.
5. Reforzar su sistema de correo electrónico
El phishing es una forma común que tienen los atacantes de comprometer su red. Sin embargo, algunas organizaciones no han implementado de manera completa los protocolos de correo electrónico diseñados para limitar la cantidad de correos maliciosos que reciben los empleados. Los protocolos son:
- Sender Policy Framework (SPF) evita la falsificación de direcciones de retorno de correo electrónico legítimas.
- DKIM (Domain Keys Identified Mail) evita la suplantación de la dirección de correo electrónico "mostrar desde", que es lo que el destinatario ve cuando previsualiza o abre un mensaje.
- DMARC (Domain-Based Message Authentication, Reporting and Conformance) permite establecer reglas sobre cómo tratar los mensajes fallidos o falsos identificados por SPF o DKIM.
Pescatore recuerda haber trabajado con Jim Routh cuando era CISO en Aetna. "Fue capaz de conseguir que la organización pasara a un desarrollo de software seguro, e implementara una autenticación de correo electrónico sólida, garantizando que el beneficio empresarial superaría el costo de seguridad si la gerencia lo respaldaba para realizar los cambios necesarios".
No todas las iniciativas prosperan, pero Routh lo consiguió. Sus cambios dieron lugar a menos vulnerabilidades de software y acortaron el tiempo de comercialización. "La transición a DMARC y la autenticación sólida de correo electrónico aumentaron las tasas de clics en las campañas de marketing por correo electrónico y, esencialmente, se amortizaron con creces".
6. Comprender el cumplimiento
Todas las organizaciones deben contar con políticas y procedimientos para investigar, identificar y comprender tanto los estándares internos como los gubernamentales. El objetivo es garantizar el cumplimiento de todas las políticas de seguridad y la existencia de un plan de respuesta adecuado para los distintos tipos de ataques y brechas de seguridad.
Es necesario formar un grupo de trabajo y establecer una estrategia para revisar las nuevas políticas y regulaciones cuando entren en juego. Por más crítico que sea el cumplimiento para las estrategias modernas de ciberseguridad, no necesariamente significa que deba ser la prioridad. "Muy a menudo el cumplimiento es lo primero, pero casi el 100% de las empresas que sufrieron filtraciones en las que se expuso información de tarjetas de crédito cumplían la normativa PCI. Sin embargo, no eran seguras”, afirma Pescatore. En su opinión, las estrategias de ciberseguridad deben, en primer lugar, evaluar el riesgo e implementar procesos o controles para proteger a la empresa y a sus clientes. "Luego, [las empresas deberían] producir la documentación requerida por diversos regímenes de cumplimiento (como HIPAA o PCI) demostrando cómo su estrategia cumple con las normas”.
7. Contratar auditores
Incluso los mejores equipos de seguridad a veces necesitan ojos nuevos al evaluar la superficie de ataque empresarial. La contratación de auditores y analistas de seguridad puede ayudar a descubrir vectores de ataque y vulnerabilidades que de otro modo podrían haber pasado desapercibidos. También pueden colaborar en la creación de planes de gestión de eventos para hacer frente a posibles filtraciones y ataques. Demasiadas organizaciones no están preparadas para los ataques de ciberseguridad porque no tienen controles y contrapesos para medir sus políticas.
"Cuando se intenta determinar objetivamente el riesgo de seguridad, tener una perspectiva externa e imparcial puede resultar extremadamente beneficioso”, afirma Jason Mitchell, CTO de Smart Billions. "Utilice un proceso de supervisión independiente para ayudar a reconocer el comportamiento de riesgo y las amenazas antes de que se conviertan en un problema en sus puntos finales; en particular los nuevos activos digitales, los proveedores recién incorporados y los empleados remotos”.
Basado en el artículo de Shannon Flynn (CSO) y editado por CIO Perú