CISO Insider: Número 2

Los atacantes de ransomware se dirigen a sus recursos más valiosos de los que creen que pueden extraer la mayor cantidad de dinero, ya sean los más perjudiciales o valiosos si se mantienen como rehenes o los más confidenciales si se liberan.

El sector es un determinante importante del perfil de riesgo de una organización: mientras que los líderes del sector manufacturero citan la interrupción del negocio como la principal preocupación, los CISO de los sectores minorista y financiero dan prioridad a la protección de la información confidencial de identificación personal; las organizaciones sanitarias, por su parte, son igualmente vulnerables en ambos frentes. En respuesta, los responsables de la seguridad están adoptando un enfoque más agresivo para prevenir la pérdida y la exposición de datos, mediante el refuerzo de sus perímetros, realizando copias de seguridad de los datos críticos, implementando sistemas redundantes y un cifrado mejor.

La interrupción de la actividad empresarial es ahora el centro de atención de muchos líderes. La empresa incurre en costes aunque la interrupción sea breve. Un CISO del sector sanitario me dijo hace poco que, desde el punto de vista operativo, el ransomware no era diferente de una interrupción importante. Aunque un sistema de copia de seguridad adecuado puede ayudar a restablecer el servicio rápidamente, sigue habiendo tiempos de inactividad que interrumpen el negocio. Otro CISO mencionó que están pensando en cómo la interrupción puede extenderse más allá de su red corporativa principal a preocupaciones operativas tales como problemas de canalización o el efecto secundario de proveedores clave apagados por ransomware.

Las tácticas para administrar las interrupciones incluyen tanto sistemas redundantes como segmentación para ayudar a minimizar el tiempo de inactividad, lo que permite a la organización cambiar el tráfico a una parte diferente de la red mientras contiene y restaura un segmento afectado. Sin embargo, ni siquiera los procesos de copia de seguridad o recuperación ante desastres más sólidos pueden resolver por completo la amenaza de interrupción de la actividad empresarial o exposición de los datos. La otra cara de la mitigación es la prevención.

Muchos de los CISO con los que hablo están adoptando un enfoque de paleta para la prevención y detección de ataques. Usan capas de soluciones de proveedores que abarcan pruebas de vulnerabilidad, pruebas perimetrales, supervisión automatizada, seguridad de puntos de conexión, protección de identidades, etc. Para algunos, se trata de una redundancia intencionada, con la esperanza de que un enfoque por capas cubra cualquier laguna, como si se tratara de apilar queso suizo esperando que los agujeros no coincidan.

Nuestra experiencia ha demostrado que esta diversidad puede complicar los esfuerzos de reparación, creando potencialmente una mayor exposición al riesgo. Como señala un CISO, el inconveniente de reunir varias soluciones es la falta de visibilidad debida a la fragmentación: "Adopto un enfoque con las mejores soluciones de su clase. Este enfoque en sí mismo tiene sus propios desafíos porque no proporciona suficiente información sobre los riesgos totales: utilizas consolas independientes para hacer frente a las amenazas, pero no tienes una visión completa de lo que está pasando". (Sanidad, 1100 empleados) Cuando los atacantes tejen una compleja red que se extiende a través de diversas soluciones dispares, puede resultar complicado obtener una imagen completa de la cadena de ataque, identificar el alcance del compromiso y destruir por completo cualquier carga útil de malware. Detener un ataque en curso requiere la capacidad de buscar en múltiples vectores para detectar, disuadir y contener o remediar los ataques en tiempo real.

La promesa de la XDR sigue sin hacerse realidad para la mayoría. Muchos CISO con los que hablamos han implementado un potente punto de partida en la EDR. EDR es un recurso probado: hemos visto que los usuarios actuales de detección y respuesta de puntos de conexión tienen un historial de detección y detención del ransomware más rápido.

Sin embargo, dado que la XDR es una evolución de la EDR, algunos CISO siguen mostrándose escépticos sobre la utilidad de la XDR. ¿Es la XDR solo una EDR con algunas soluciones puntuales añadidas? ¿Realmente necesito utilizar una solución totalmente distinta? ¿O mi EDR acabará ofreciendo las mismas prestaciones? El mercado actual de soluciones XDR añade más confusión a la carrera de los proveedores por añadir ofertas XDR a sus carteras de productos. Algunos proveedores están ampliando su herramienta EDR para incorporar datos adicionales sobre amenazas, mientras que otros se centran más en crear plataformas XDR específicas. Estos últimos se crean desde cero para ofrecer una integración inmediata y capacidades centradas en las necesidades del analista de seguridad, dejando el menor número de lagunas para que tu equipo tenga que rellenarlas manualmente.

Ante la escasez de talentos en seguridad y la necesidad de responder rápidamente para contener las amenazas, hemos animado a los líderes a emplear la automatización para ayudar a liberar a su personal para que se centre en la defensa contra las peores amenazas en lugar de ocuparse de tareas mundanas como el restablecimiento de contraseñas. Curiosamente, muchos de los responsables de seguridad con los que he hablado mencionan que aún no están aprovechando al máximo las capacidades automatizadas. En algunos casos, los responsables de la seguridad no son plenamente conscientes de la oportunidad; otros dudan en adoptar la automatización por miedo a perder el control, caer en la imprecisión o sacrificar la visibilidad de las amenazas. Esta última es una preocupación muy legítima. Sin embargo, estamos viendo que los que adoptan la automatización de forma eficaz consiguen justo lo contrario, más control, menos falsos positivos, menos ruido y más información procesable, implementando la automatización junto con el equipo de seguridad para guiar y centrar los esfuerzos del equipo.

La automatización abarca toda una gama de capacidades, desde tareas administrativas básicas automatizadas hasta la evaluación de riesgos mediante el aprendizaje automático inteligente. La mayoría de los CISO afirman haber adoptado la automatización desencadenada por eventos o basada en reglas, pero un número menor ha aprovechado la inteligencia artificial integrada y las capacidades de aprendizaje automático que permiten tomar decisiones de acceso basadas en el riesgo en tiempo real. Sin duda, la automatización de las tareas rutinarias ayuda a liberar al equipo de seguridad para que pueda centrarse en el pensamiento más estratégico que los humanos saben hacer mejor. Pero es en este ámbito estratégico, en la respuesta a incidentes de triaje, por citar un ejemplo, donde la automatización tiene el mayor potencial para potenciar al equipo de seguridad como asociado inteligente en el procesamiento de datos y la coincidencia de patrones. Por ejemplo, la IA y la automatización son expertas en correlacionar señales de seguridad para apoyar una detección y respuesta exhaustivas ante una vulneración. Aproximadamente la mitad de los profesionales de la seguridad encuestados recientemente afirman que tienen que correlacionar manualmente las señales.1   Esto lleva muchísimo tiempo y hace casi imposible responder rápidamente para contener un ataque. Con la aplicación correcta de la automatización, como la correlación de señales de seguridad, los ataques pueden detectarse a menudo casi en tiempo real.

Hemos descubierto que muchos equipos de seguridad infrautilizan la automatización integrada en las soluciones que ya utilizan. En muchos casos, aplicar la automatización es tan sencillo (¡y de gran impacto!) como configurar las funciones disponibles, como sustituir las directivas de acceso de reglas fijas por políticas de acceso condicional basadas en el riesgo, crear manuales de estrategia de respuesta, etc.

Los CISO que deciden prescindir de las oportunidades de la automatización con frecuencia lo hacen por desconfianza, alegando que les preocupa que el sistema cometa errores irrecuperables al funcionar sin supervisión humana. Algunos de los escenarios potenciales incluyen que un sistema borre indebidamente datos del usuario, cause molestias a un ejecutivo que necesita acceder al sistema o, lo que es peor, ocasione una pérdida de control o visibilidad sobre una vulnerabilidad que ha sido explotada.

Pero la seguridad tiende a ser el resultado de un equilibrio entre los pequeños inconvenientes cotidianos contrapuestos a la amenaza constante de un ataque catastrófico. La automatización podría servir de sistema de alerta temprana de un ataque de este tipo y sus inconvenientes podrían mitigarse o eliminarse. Asimismo, lo mejor de la automatización no es que actúe por sí sola, sino junto a operadores humanos, donde su inteligencia artificial puede alimentar y ser controlada por la inteligencia humana.

Para garantizar una implantación fluida, hemos añadido a nuestras soluciones modos de solo informe con el fin de ofrecer un periodo de prueba antes del lanzamiento. Esto permite al equipo de seguridad implementar la automatización a su propio ritmo, ajustando las reglas de automatización y supervisando el rendimiento de las herramientas automatizadas.

Los responsables de seguridad que utilizan la automatización con mayor eficacia la implementan junto a su equipo para cubrir lagunas y servir como primera línea de defensa. Como me dijo recientemente un CISO, es casi imposible y prohibitivamente caro tener un equipo de seguridad enfocado en todas las partes en todo momento, e incluso si lo fuera, los equipos de seguridad son propensos a la rotación frecuente. La automatización proporciona una capa de continuidad y coherencia siempre disponible para apoyar al equipo de seguridad en áreas que requieren esta coherencia, como la supervisión del tráfico y los sistemas de alerta temprana. Implementada en esta capacidad de apoyo, la automatización ayuda a liberar al equipo de la revisión manual de registros y sistemas y les permite ser más proactivos. La automatización no sustituye a los humanos: son herramientas que permiten a su personal priorizar las alertas y centrar sus esfuerzos donde más importa.