Cybersecurity and digital privacy

Dónde centrar el limitado presupuesto de ciberseguridad de su empresa

Astraed

9 min read

Con la amenaza de una recesión que se avecina, los directores de seguridad de la información (CISO) verán cada vez más limitados los presupuestos de ciberseguridad. Entonces, ¿cómo pueden las empresas centrar sus inversiones limitadas en ciberseguridad en los controles que más importan? Este artículo divide las inversiones en ciberseguridad en tres categorías: 1) controles que defienden de las amenazas de una manera particularmente impactante, 2) medidas que validan que estos controles funcionan según lo previsto y 3) capacidades que automatizan (1) y (2). Será importante tener en cuenta estas tres categorías en el futuro, a medida que cambien el perfil empresarial, la complejidad de la superficie de ataque y las amenazas relacionadas. En este artículo se analizan los elementos de un buen programa de ciberseguridad, los recursos que puede utilizar y cómo determinar los controles más importantes para su propia empresa.

••• Recientes[investigación](https://panaseer.com/reports-papers/report/2022-security-leaders-peer-report/) indica que las organizaciones con 10 000 o más empleados suelen mantener casi 100 herramientas de seguridad. Sin embargo, las empresas globales consolidadas siguen siendo víctimas de ciberataques. Por ejemplo, el procesador de pagos NCR sufrió recientemente un[ataque de ransomware](https://status.aloha.ncr.com/incidents/cnl38krr6n6b) eso provocó interrupciones posteriores en numerosos sistemas administrativos y puntos de venta de restaurantes. Con la perspectiva de una recesión en 2023,[reportaje](https://www.wsj.com/articles/cyber-chiefs-face-scrutiny-and-challenges-in-2023s-uncertain-economy-11671747171) sugiere que los directores de seguridad de la información (CISO) vean cada vez más limitados sus presupuestos. Entonces, ¿cómo pueden las empresas centrar sus inversiones limitadas en ciberseguridad en los controles que más importan? Dado que el ciberriesgo se produce en el contexto de un entorno empresarial, tecnológico y de amenazas altamente dinámico, es importante establecer un contexto para medir el rendimiento de la ciberseguridad. Como Michael Chertoff recientemente[señaló](/2023/04/cyber-risk-is-growing-heres-how-companies-can-keep-up), los buenos programas de ciberseguridad funcionan con un alto grado de transparencia, precisión y precisión. ## **Los elementos de un buen programa de ciberseguridad** _Transparencia_ proviene del uso de marcos de seguridad acreditados de lugares como el Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos o la Organización Internacional de Normalización (ISO) que son repetibles y auditables. Dicho esto, estos marcos suelen definir las prácticas con un alto nivel de abstracción («el acceso remoto se gestiona»... ¿cómo?) y necesitan ir acompañados de un análisis más detallado de las posibles técnicas de amenaza para garantizar que las defensas de seguridad _con precisión_ mapear estas amenazas. También tenemos que estar _preciso_ acerca del[superficie de ataque](https://csrc.nist.gov/glossary/term/attack_surface) nos dirigimos con un control particular. Se aplicarán diferentes defensas según el tipo de superficie de ataque: sistemas operativos de portátiles, servidores web, tecnologías de asistencia remota al usuario, tecnologías en la nube o software de productividad de los usuarios, como los navegadores y el correo electrónico, todos los cuales pueden verse comprometidos por personas malintencionadas para lograr el acceso inicial a los sistemas de la empresa. Con esto en mente, podemos dividir las inversiones en ciberseguridad en tres categorías: 1) controles que defienden de las amenazas de una manera particularmente impactante, 2) medidas que validan que estos controles funcionan según lo previsto y 3) capacidades que automatizan las otras dos. ## **Controles que defienden de las amenazas de manera impactante** ¿Dónde deberían empezar las empresas? De la misma manera que los médicos utilizan los perfiles de los pacientes para priorizar las medidas preventivas y los diagnósticos y las terapias para gestionar los riesgos específicos de los pacientes, podemos utilizar los perfiles empresariales para ayudarnos a entender el espectro de posibles amenazas. Al igual que con la COVID-19, el ransomware es un riesgo que se aplica de forma universal, pero algunas organizaciones (por ejemplo, los proveedores de tecnología) también deben preocuparse de que puedan ser atacadas como trampolín hacia los entornos de los clientes, como en los últimos tiempos, según se informó ampliamente [3 X](https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise) hackear. Con esto en mente, podemos centrarnos en los controles que defienden de esas amenazas. Los actores de amenazas pueden cambiar fácilmente las características de un ataque (cosas como el código de malware que los sistemas antivirus pueden detectar). A los atacantes les resulta mucho más difícil cambiar sus metodologías subyacentes, conocidas como tácticas, técnicas y procedimientos (TTP). La Corporación MITRE[Tácticas adversarias, técnicas y conocimientos comunes](https://attack.mitre.org/) (ATT&CK) framework es el enfoque más completo y autorizado para catalogar a los actores de amenazas, sus motivaciones y los TTP que está disponible abiertamente en la actualidad, y es de uso gratuito. Las empresas pueden utilizar ATT&CK para familiarizarse con las técnicas de amenazas de las que tienen que defenderse en función de su perfil empresarial. ATT&CK también asigna cada técnica a la contramedida de seguridad correspondiente, lo que ayuda a alinear las inversiones con las amenazas. ### Minimizar el acceso inicial. Un paso básico es minimizar la probabilidad de que un adversario pueda lograr el acceso inicial. ATT&CK nos dice que hay[nueve](https://attack.mitre.org/tactics/TA0001/) formas en que los actores de amenazas pueden entrar en la organización objetivo, como la suplantación de identidad, el abuso de servicios remotos externos y el acceso a cuentas válidas. Las empresas deben tener en cuenta estos nueve posibles puntos de acceso y abordarlos o aceptar conscientemente el riesgo de no hacerlo y priorizar la introducción gradual de los controles adecuados. Las últimas M-Trends anuales de Mandiant[informe](https://www.mandiant.com/resources/blog/m-trends-2023) indica que la explotación de las vulnerabilidades en las aplicaciones públicas (como las fallas de software que permiten a los actores de amenazas eludir la autenticación y ejecutar el código de forma remota) es la técnica de acceso inicial más común observada en sus investigaciones, por lo que los recursos que parchean las vulnerabilidades accesibles por Internet son un control particularmente impactante. Para entornos centrados en la nube, recientes[investigación](https://services.google.com/fh/files/blogs/gcat_threathorizons_full_apr2023.pdf) de Google indica que las cuentas válidas comprometidas (ya sea por credenciales débiles o filtradas) representan más de la mitad de todos los incidentes observados en su plataforma, lo que pone de relieve la urgencia de las soluciones de autenticación multifactor (MFA) (especialmente a medida que las organizaciones migran las cargas de trabajo a entornos de nube). ### Defensa en profundidad. Las empresas deben planificar las contingencias en las que un atacante logre el acceso inicial, tal vez encontrando una máquina con acceso a Internet sin MFA o engañando a alguien para que visite un sitio web infectado._¿Qué, entonces?_ Podemos utilizar la base de conocimientos de ATT&CK para identificar y abordar las técnicas que se utilizan habitualmente en los grupos de actores de amenazas con una presencia dentro de la organización objetivo. Estas técnicas pueden representar «puntos de estrangulamiento» que, si se interrumpen, pueden iluminar o derrotar la campaña del adversario. Por ejemplo, informes de amenazas de[Mandiante](https://www.mandiant.com/m-trends), [Canario rojo](https://redcanary.com/resources/guides/threat-detection-report/) y[Laboratorios Picus](https://www.picussecurity.com/resource/blog/the-red-report-2023-top-ten-attack-techniques) todos destacan cómo los malos actores han utilizado[intérpretes de comandos y guiones](https://attack.mitre.org/techniques/T1059/) como PowerShell para ejecutar comandos o scripts. Los actores de amenazas responsables de la violación de Solar Winds[usado](https://www.crowdstrike.com/blog/observations-from-the-stellarparticle-campaign/) Línea de comandos de PowerShell y Windows durante toda la campaña. Al basar la actividad y los usuarios de comandos y secuencias de comandos «normales», las empresas pueden detectar el uso malintencionado de esta tecnología y responder a él. La biblioteca de ATT&CK también marca los controles que ofrecen una amplia cobertura contra los comportamientos que es probable que utilicen los actores de amenazas. Por ejemplo, muchas de las fuentes de datos necesarias para detectar una amplia gama de conductas amenazantes las capturan y analizan las herramientas de detección y respuesta (EDR) de puntos finales, que[proporcionar](https://par.nsf.gov/servlets/purl/10146533) visibilidad y respuestas automatizadas a intrusiones sofisticadas comparando los eventos del sistema con los comportamientos adversos conocidos (incluidas las técnicas de interpretación de comandos y guiones mencionadas anteriormente). _Precisión_ también implica centrar el despliegue de esas herramientas donde más importan: en los «activos de alto valor» de la organización. Las definiciones pueden resultar difíciles, pero ciertos sistemas son el objetivo principal de los actores de amenazas porque desempeñan funciones fundamentales para la confianza y, por lo tanto, son trampolines hacia todo lo demás. Después de los SolarWinds[incidente](https://www.chertoffgroup.com/blog/solarwinds-compromise-software-lifecycle-management-implications), el Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos definió una lista de este tipo de [software crítico](https://www.nist.gov/itl/executive-order-improving-nations-cybersecurity/critical-software-definition-explanatory). Por ejemplo, los sistemas de identidad y acceso entran dentro de la definición del NIST: son las principales defensas por derecho propio, y los datos de los incidentes demuestran que los actores de amenazas suelen trabajar para capturar credenciales con muchos privilegios en sistemas de control de acceso centralizados, como Microsoft Active Directory, con[resultados devastadores](https://gvnshtn.com/posts/maersk-me-notpetya/) . Una vez que las credenciales están en la mano, el adversario se hace pasar por el titular legítimo de las credenciales y la actividad de seguimiento es mucho más difícil de detectar. Por lo tanto, mantener la integridad de estos sistemas es una prioridad clave. ### Resiliencia. En el caso de los activos de alto valor, es de suma importancia invertir en controles, como copias de seguridad fuera de línea, que permitan la supervivencia, especialmente en escenarios de baja probabilidad y altas consecuencias, en los que no es posible descifrarlos. Por ejemplo, en noviembre de 2022, Microsoft[denunció](https://www.microsoft.com/en-us/security/blog/2022/10/14/new-prestige-ransomware-impacts-organizations-in-ukraine-and-poland/) que es una variante de[malware destructivo](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-057a) las campañas más vistas en Ucrania desde el inicio de la guerra se utilizaban ahora para atacar a las organizaciones de logística en Polonia. ## **Validación de controles** En nuestro trabajo con los clientes, hemos descubierto que los controles a menudo no se despliegan por completo ni funcionan como se esperaba. Nuestra experiencia no es única y es por eso que la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional (NSA) han[recomendado](https://media.defense.gov/2022/Oct/04/2003090705/-1/-1/0/CSA_IMPACKET_AND_EXFIL_TOOL_STEAL_SENSITIVE_INFO_FROM_DEFENSE_INDUSTRIAL_BASE.PDF) validar la eficacia del control. El mismo proceso de modelado de amenazas descrito anteriormente también se puede utilizar para centrar las pruebas en emular las técnicas de amenazas pertinentes y garantizar que los controles de su empresa funcionan según lo previsto. ## **Automatización** Intentar gestionar, validar, corregir y rastrear manualmente la postura de seguridad (es decir, determinar dónde, exactamente, se despliegan los controles de seguridad y si funcionan según lo previsto) se está haciendo difícil o imposible. Un reciente[encuesta](https://info.jupiterone.com/scar-2023) destacó que las organizaciones siguen experimentando un rápido crecimiento en los entornos tecnológicos (los aumentos de 2022 a 2023 fueron normalmente del 137% en las aplicaciones, el 188% en los dispositivos y casi el 30% en los usuarios) y el riesgo (un aumento del 589% en los hallazgos de seguridad de 2022 a 2023). El volumen global total de datos es[estimado](https://www.seagate.com/files/www-content/our-story/trends/files/idc-seagate-dataage-whitepaper.pdf) alcanzar los 175 zettabytes (un zettabyte equivale a un billón de gigabytes) en 2025 (frente a los 33 zettabytes de 2018). Por lo tanto, reforzar la seguridad implicará cada vez más la automatización. Las herramientas de orquestación de seguridad y respuesta automatizada (SOAR) ya son muy conocidas en la comunidad de seguridad, al igual que las actualizaciones de software automatizadas siempre que es posible (que se gestionan más fácilmente para los sistemas operativos de los puntos finales y las tecnologías de productividad, como los navegadores). Vale la pena destacar otras tres formas de automatización: 1. Rastrear la postura de un activo y cualquier deterioro relacionado (por ejemplo, cuando los servidores con acceso a Internet quedan expuestos en línea sin contraseña, lo que ha hecho repetidamente[ocurrió](https://techcrunch.com/2022/10/27/amazon-prime-video-server-exposed/) en entornos de nube), especialmente para las tecnologías de acceso a Internet. 2. Evaluar la cobertura contra las amenazas cambiantes. 3. Pruebas de emulación de amenazas, en las que las amenazas se simulan mediante guiones automatizados en los sistemas pertinentes. La automatización no solo ayudará a proteger mejor a las organizaciones, sino que también ayudará a reducir el número de problemas de seguridad que necesitan remediarse (hierba gatera para los abogados y agencias reguladoras de los demandantes en caso de incidente). Las empresas pueden empezar por identificar dónde existe la funcionalidad de automatización en las soluciones de TI más grandes. El seguimiento del estado de los activos a menudo se puede lograr mediante tecnologías nativas de gestión de activos y servicios de TI, así como mediante herramientas listas para usar de los proveedores de nube, por ejemplo[Puntuación segura de Microsoft](https://learn.microsoft.com/en-us/microsoft-365/security/defender/microsoft-secure-score?view=o365-worldwide). Algunos sistemas en la nube, como [Plataforma en la nube de Google](https://cloud.google.com/security-command-center/docs/concepts-security-command-center-overview) han empezado a mapear la postura con los marcos de control publicados por el NIST y el Centro de Seguridad de Internet. A medida que el perfil empresarial, la complejidad de la superficie de ataque y las amenazas relacionadas cambien, también lo hará el valor relativo de los controles específicos. Un paso fundamental para abordar qué controles son más importantes es hacer un seguimiento de cómo están cambiando los factores empresariales, tecnológicos y de amenaza subyacentes y qué significa eso para la seguridad.

Read more