Vea su empresa a través de los ojos de un hacker

JP Morgan Chase. Objetivo. Sony. Cada uno de ellos ha formado parte del creciente número de ciberataques contra empresas privadas en todo el mundo en los últimos años. En los dos últimos casos, los directores ejecutivos se vieron obligados a dimitir a raíz de la infracción. Los ataques son cada vez más sofisticados y dañinos y se dirigen a lo que las empresas más valoran: los datos de sus clientes, su propiedad intelectual y su reputación.

Lo que revelan estos ataques —junto con las brechas en las redes de defensa, aplicación de la ley y contratistas militares— es que nuestros esfuerzos de ciberseguridad en las últimas dos décadas han fracasado en gran medida, y solucionarlo requerirá la atención no solo de los oficiales de seguridad y los equipos de TI, sino también de las juntas directivas y los directores ejecutivos.

Las empresas tienen que adoptar un nuevo enfoque. Lo pueden hacer mirándose a sí mismos a través de los ojos de sus atacantes. En el ejército esto se llama dar la vuelta al mapa. El objetivo es meterse en la mente del enemigo y ver la situación tal como lo ve, a fin de anticipar y prepararse para lo que está por venir.

Por desgracia, esta forma de pensar sigue siendo muy rara. A pesar de gastar miles de millones de dólares cada año en los últimos productos de seguridad y de contratar a los mejores ingenieros y analistas de seguridad, las empresas son más vulnerables que nunca. Dos tendencias lo explican: la rápida convergencia de las arquitecturas de TI empresariales y la proliferación de adversarios cada vez más sofisticados.

Los cambios en la TI empresarial de la última década han hecho que cada empresa sea ahora una empresa de tecnología. Al final de la década, habrá 50 000 millones de dispositivos conectados a Internet, lo que complicará las redes y generará petabytes de datos. Además, la revolución de la nube finalmente ha disuelto los perímetros: las empresas que disfrutan de las ventajas de la infraestructura como servicio deben depender de la seguridad de las redes y los sistemas que escapan a su control directo.

A medida que la movilidad, el Internet de las cosas y la nube cambian las empresas, los adversarios también se vuelven más sofisticados. Los estados y las entidades patrocinadas por el estado espían y atacan a las empresas privadas, a menudo utilizando tácticas y capacidades de nivel militar. Lo hacen dentro de un sistema en el que el ataque disfruta de una ventaja estructural sobre la defensa, ya que la atribución es difícil, la disuasión es incierta y los atacantes solo tienen que triunfar una vez, pero los defensores deben triunfar siempre.

La mayoría de las empresas tratan de hacer frente a este caos analizando la señal del ruido. Construyen castillos amurallados alrededor de sus bienes más preciados, pero los perímetros no importan cuando el estudiante universitario promedio tiene siete dispositivos con IP. Se basan en las alertas automáticas para avisarles cuando algo malicioso en sus redes coincide con algún suceso grave anterior, pero este enfoque los abruma con señales de alerta y permanecen ciegos ante amenazas nuevas y previamente desconocidas.

Hay demasiado ruido con el que lidiar. Los analistas de seguridad, por ejemplo, pueden ver mil incidentes en un día determinado, pero solo tienen el tiempo y los recursos para investigar una fracción de ellos. Esta es la razón por la que los piratas informáticos pudieron filtrar más de 40 millones de números de tarjetas de crédito de Target, a pesar de que un dispositivo de red periférico había detectado el malware. También es la razón por la que hackearon a Neiman Marcus después de que su sistema generara más de 60 días de alertas de malware. Y esta es la razón por la que hackearon a Sony después de que su equipo de TI supiera que la empresa llevaba dos años siendo atacada.

Al cambiar el mapa, los equipos ejecutivos pueden aprender mucho sobre sus propias empresas y prepararse mejor para los inevitables ataques. Así es como ven la mayoría de las empresas desde la perspectiva del atacante:

• Su seguridad se centra abrumadoramente en la detección del malware genérico y en la protección contra las amenazas automatizadas que no se guían con precisión.
• No tienen una imagen completa de lo que hay en sus redes, los servicios en la nube que utilizan, las aplicaciones que se ejecutan en esos servicios y las posturas de seguridad de sus cadenas de suministro y socios. Sus equipos de TI y seguridad son preocupaciones periféricas, costes de gestión en lugar de centros de excelencia que respaldan la actividad principal.
• En general, su enfoque de la seguridad es reactivo, más que proactivo.

Cada viñeta de arriba es un punto débil que los atacantes pueden aprovechar. Por eso las empresas deberían aprender de los atacantes a la hora de decidir cómo defenderse. He aquí cómo.

1. Comprenda sus principales riesgos y cómo los adversarios pretenden explotarlos. Si se pudiera calcular la seguridad, los adversarios serían el numerador. Las empresas deben entender sus entornos de amenazas únicos en la mayor medida posible, y los datos genéricos son insuficientes. La seguridad efectiva debe integrar indicadores de compromiso (¿nos han atacado?) , tácticas, técnicas y procedimientos (¿cómo nos atacan?) , inteligencia de identidad (¿quién nos atacaría y por qué?) , inteligencia de vulnerabilidades (¿qué se explota en la naturaleza?) y la atribución de los ataques (¿es básico o objetivo?). Solo con una inteligencia de amenazas centrada, los analistas pueden dedicar su precioso y valioso tiempo a investigar los incidentes más importantes y a priorizar los relacionados con sus adversarios más formidables y sus mayores riesgos empresariales. Puede volverse loco (y arruinado) intentando jugar a Whack-A-Mole en defensa contra todos ellos. En su lugar, identifique sus activos más esenciales y centre los escasos recursos únicamente en las amenazas que realmente representen un riesgo para su empresa.

2. Haga un inventario de sus activos y monitorícelos continuamente. Si se pudiera calcular la seguridad, el inventario sería el denominador. En el nivel más simple, las empresas deben identificar y supervisar todos sus activos interconectados: ¿un desarrollador está creando mil máquinas virtuales sin que usted lo sepa? ¿Qué aplicaciones se ejecutan en los servidores de bases de datos que contienen su información más valiosa? ¿Un empleado conectó un dispositivo nuevo a la red corporativa? ¿Tiene una de sus filiales lejanas un nuevo socio? ¿Su sistema de climatización se conecta de alguna manera con su punto de venta? Las evaluaciones periódicas, los informes que tardan semanas en prepararse y las conclusiones que requieren una interpretación compleja contribuyen a crear brechas en la seguridad. Las empresas deben mantener un inventario de activos dinámico y en tiempo real, supervisarlos de forma continua y renderizarlos visualmente de una manera sencilla e intuitiva para los equipos de seguridad y operaciones.

3. Haga de la seguridad una parte de su misión. El enfoque de seguridad predominante se centra en el cumplimiento, tiene límites de costes, es periférico para la actividad principal y los líderes de la alta dirección lo pueden delegar. Trabajar en un equipo así no es divertido en ninguna empresa, y pierde contra 21 st-adversarios del siglo que saben que es más divertido ser pirata que unirse a la Marina. Cualquier defensa es tan buena como las personas que la defienden. El nuevo modelo de seguridad tiene que centrarse en la misión y el liderazgo, garantizando que contamos con los mejores defensores contra los mejores atacantes. La seguridad ya no es delegable y la misión de los equipos de seguridad debe ser sinónimo de la misión de la empresa.

4. Sea activo, no pasivo, a la hora de cazar adversarios en su red y eliminarlos. El término «defensa activa» se ha utilizado como eufemismo para «hackear» y no es aconsejable que las empresas pasen a la ofensiva: primero, es ilegal acceder a las redes de otras personas sin permiso, incluso si actúa en supuesta defensa propia; y segundo, no es inteligente escalar a menos que pueda dominar, e incluso las empresas más grandes acabarán perdiendo contra los adversarios estatales o patrocinados por el estado. Así que, si bien no puede ir a atacar al otro equipo en su propio territorio, puede y debe estar cada vez más activo contra los adversarios dentro de sus propias redes. Esto significa suponer no solo que está siendo atacado, sino que su agresor está dentro y, por lo tanto, debe perseguir a un adversario humano sigiloso y persistente para contener y remediar el riesgo. antes pueden causar daños, lo que reduce drásticamente el tiempo entre la infracción y la detección en comparación con su media actual de más de 200 días.

En estos días de ataques frecuentes y devastadores, es fácil gritar que el cielo se está cayendo y que el futuro mismo de Internet como dominio confiable del comercio y la comunicación está en juego. Pero sería un error extrapolar los puntos de datos de los últimos años en una línea que lleve a la ruina. Muchos de nosotros tenemos demasiado en juego aquí, y las fuerzas combinadas de ejecutivos, emprendedores, desarrolladores de software, equipos de seguridad e inversores que están dando la vuelta al mapa pueden prepararnos para defendernos de la próxima generación de adversarios.