Ocho características de los equipos de seguridad proactivos
Cada vez más CISO están equilibrando sus capacidades de respuesta y recuperación con medidas proactivas que anticipan ataques y vulnerabilidades.
Durante mucho tiempo, a los CISO se les ha encomendado la tarea de desarrollar capacidades de respuesta y recuperación con el objetivo de tener equipos que puedan reaccionar ante un incidente de seguridad lo más rápido posible y puedan restaurar las funciones corporativas con el menor daño posible. La necesidad de esas actividades ciertamente no va a desaparecer, pero muchos jefes de seguridad buscan tomar medidas más proactivas para equilibrar las reactivas.
“En el lado proactivo,hay que intentar predecir qué tipo de ataque puede ocurrir en el entorno y encontrar las vulnerabilidades antes que otros para reducir el riesgo antes de que se materialice”, explica Pierre-Martin Tardif, profesor de seguridad cibernética en la Universidad de Sherbrooke. Según Tardif y otros expertos, una estrategia proactiva puede hacer mucho más para garantizar la resiliencia de la organización que tener solo la capacidad de responder rápidamente una vez que se detecta un ataque o una infracción. “Nuestro objetivo final como profesionales de la ciberseguridad es evitar que se exploten los riesgos cibernéticos mediante la protección de nuestros activos. Los programas proactivos tienen mucho éxito al hacer precisamente eso”, dice Sandra Ajimotokin, miembro del Grupo de Trabajo de Tendencias Emergentes de ISACA.
Entonces, ¿qué distingue a los CISO que han adoptado una estrategia proactiva? Aquí hay un vistazo a lo que comúnmente hacen:
Entienden lo que tienen, lo que deben proteger y contra lo que se están protegiendo
Para construir una postura de seguridad cibernética proactiva, varias fuentes señalan la necesidad de que los CISO entiendan primero lo que tienen, sepan qué requiere los niveles más altos de protección y reconozcan los riesgos que una organización está dispuesta a aceptar. Esto ayuda a identificar qué amenazas representan los mayores riesgos para sus organizaciones y, por lo tanto, requieren la mayor atención. “Un equipo cibernético proactivo comprende el perfil de riesgo de su organización y puede identificar los riesgos que la organización aún no ha enfrentado”, explica Ajimotokin. “Este es un componente clave para poder evitar que ocurran ataques, porque entienden lo que se necesita proteger y pueden pensar en todas las formas en que es vulnerable”.
John Deskurakis, director de seguridad de productos de Carrier Global Corp., está de acuerdo y agrega que los CISO deben hacer esto de manera continua, y pide la necesidad de una "identificación continua".
Tienen fuertes políticas de autenticación de usuarios y un enfoque de confianza cero
Los equipos de seguridad proactivos tienen una buena comprensión no solo de sus entornos de TI y el perfil de riesgo de su organización, sino que también tienen una comprensión sólida de quién y qué está accediendo a su red y cada uno de sus sistemas a través de sólidas políticas de autenticación de usuarios, segúb Bryce Austin, CEO de TCE Strategy. Políticas como la autenticación multifactor ayudan a garantizar que solo los usuarios autorizados ingresen al entorno de TI de la empresa y trabajen para mantener a todos los demás fuera.
Tardif señala que muchos CISO están implementando fuertes requisitos de autenticación como parte de su cambio a una arquitectura de confianza cero, en la que todos los usuarios, ya sean humanos o dispositivos, deben verificar que son quienes dicen ser antes de obtener acceso. Pero señala que la confianza cero va aún más allá: también restringe el acceso de los usuarios autenticados solo a aquellos sistemas y datos que necesitan para hacer su trabajo. Tardif dice que seguir este principio de privilegio mínimo es una forma más para que la seguridad deje de enfocarse en responder a los incidentes para prevenirlos de manera proactiva.
Son ágiles y adaptables
Otra clave para adelantarse a los piratas informáticos es la capacidad de los CISO y sus equipos de girar tan rápido, si no más, que los malos actores. Con ese fin, Deskurakis dice que los CISO proactivos han adoptado un “pensamiento centrado en el ataque evita enfoques estáticos y prescriptivos de casillas de verificación, evoluciona continuamente sus tácticas y piensa como un atacante. Una sólida capacidad de defensa proactiva es flexible y, a menudo, cambia para enfrentar amenazas en constante evolución”.
Andrew Retrum, director gerente en la práctica de seguridad y privacidad de la firma de consultoría de gestión Protiviti, está de acuerdo. Se basa en un axioma basado en el hockey sobre hielo sobre patinar hacia donde va a estar el disco, no hacia donde está, y agrega: "Quieres salir al frente de lo que viene en tu camino".
Están pensando en el futuro
De manera similar, los CISO proactivos están atentos a las herramientas, técnicas y regulaciones emergentes; además, los incorporan a sus estrategias y sus programas de seguridad antes de que se conviertan en algo común u obligatorio. Por ejemplo, Retrum señala a un CISO que había contratado a su empresa hace varios años cuando quedó claro que el Departamento de Servicios Financieros de Nueva York emitiría nuevos requisitos de seguridad cibernética. “Quería ponerse al frente de eso para poder asesorar a otros líderes senior al respecto. Quería asegurarse de que estuvieran al tanto de lo que estaba por venir”.
Retrum ve que otros CISO adoptan ese enfoque cuando observan lo que está cambiando en sus propios entornos empresariales o en el mercado más amplio, un enfoque que les permite preparar sus departamentos de seguridad antes de esos cambios. Por ejemplo, conoce a algunos que ya están considerando cómo el aumento anticipado de la computación cuántica afectará su programa de seguridad, identificando qué medidas de seguridad actuales se volverán ineficaces y determinando qué protecciones usarán en su lugar.
“Las funciones de seguridad proactivas están pensando en todo eso ahora, y están elaborando una hoja de ruta para dentro de tres a cinco años”, dice, y añade que hay valor en “mirar hacia adelante y conocer el futuro”.
Buscan imitadores
Los equipos de seguridad proactivos están buscando cualquier uso indebido de sus nombres de dominio, logotipos de empresas y otros identificadores, dice Carlos Rivera, asesor principal de investigación de Info-Tech Research Group. "Están buscando de manera proactiva el uso ilícito de su marca”.
Los equipos de seguridad suelen utilizar herramientas basadas en SaaS o trabajan con un proveedor de servicios de seguridad gestionados para la supervisión de nombres de dominio que busca suplantación de identidad y otras formas de suplantación de identidad de marca. Este monitoreo, dice Rivera, puede alertar a los equipos de seguridad con anticipación sobre los piratas informáticos que intentan usar sitios web falsificados, logotipos corporativos secuestrados y otras formas de suplantación de identidad para el phishing y otros tipos de ataques de ingeniería social, lo que permite que los equipos de seguridad tengan tiempo para contrarrestar o incluso cerrar por completo. esos intentos de ataque antes de que se conviertan en asaltos a gran escala o tengan algún nivel de éxito.
Cazan amenazas
Los malos actores con frecuencia intentan ofuscar sus actividades mientras intentan abrirse camino a través de las redes y sistemas corporativos en busca de una gran recompensa.
Esa identificación retrasada ha sido un problema de larga data, que pone a los equipos de seguridad en modo reactivo. Para contrarrestar eso, los equipos de seguridad recurren cada vez más a la búsqueda de amenazas para encontrar a los malos actores que acechan en su entorno antes de que ocurra una violación u otro ataque.
“Otro elemento de un enfoque de seguridad proactivo es participar en la búsqueda activa de amenazas al buscar amenazas antes de que puedan ser explotadas activamente. Esto puede ser desde el punto de vista técnico (los vectores), así como aquellos que deseen explotar (los actores)”, explica Jon France, CISO en (ISC)², una organización de capacitación y certificación sin fines de lucro.
La caza de amenazas vale la pena. Según la encuesta SANS 2022 Threat Hunting , el 85 % de los encuestados dijo que la búsqueda de amenazas ha mejorado la postura de seguridad de su organización. Mientras tanto, los expertos dicen que el uso del aprendizaje automático y la inteligencia artificial debería aumentar aún más esas cifras al ayudar a los equipos de seguridad empresarial a encontrar amenazas aún más rápido.
“Los profesionales de seguridad pueden beneficiarse de la capacidad de ML para reconocer patrones y predecir resultados, brindando un nivel de visibilidad nunca antes visto”, dice Ajimotokin. “Esto podría permitir que los equipos cibernéticos escalen rápidamente, identifiquen las amenazas lo antes posible y mitiguen un ataque más rápido que nunca”.
Buscan vulnerabilidades
Un programa sólido de administración de vulnerabilidades que identifica qué vulnerabilidades conocidas existen dentro de una organización y prioriza parchear aquellas que presentan el mayor riesgo es una marca importante de una buena estrategia de seguridad.
Pero France estima que los equipos de seguridad que quieran ser proactivos deberían dar un paso más y agregar la búsqueda de vulnerabilidades a sus programas. Señala que los programas de gestión de vulnerabilidades se han centrado tradicionalmente en abordar problemas conocidos , mientras que la búsqueda de vulnerabilidades desafía a los equipos de seguridad a descubrir los desconocidos, como el código de software inseguro o las configuraciones incorrectas que son exclusivas de sus propios entornos de TI.
France y otros recomiendan que los CISO se sometan a pruebas de penetración periódicas para buscar puntos débiles y crear programas de divulgación de vulnerabilidades y recompensas por errores para alentar y recompensar a los trabajadores a buscar, encontrar y solucionar dichos problemas.
Practican su respuesta
France asevera que puede parecer contradictorio, pero los equipos de seguridad proactivos también practican regularmente cómo responderán y reaccionarán en caso de un ataque exitoso. Esta práctica (generalmente en forma de ejercicios de simulación) permite que las organizaciones avancen de varias maneras.
Debido a que los simulacros imaginan y articulan cómo podrían ocurrir los ataques, ayudan a los equipos de seguridad a identificar las vulnerabilidades en sus programas de seguridad existentes. Luego pueden trabajar para cerrar esas brechas y, con suerte, evitar que sucedan los escenarios imaginados-
Los simulacros también ayudan a identificar deficiencias en los planes de respuesta, lo que permite a los CISO cerrar esas brechas también. Estos ejercicios también fortalecen la memoria muscular, agrega France, lo que significa que la organización puede moverse de manera más rápida, eficiente y efectiva cuando ocurre un evento para que puedan minimizar el daño y volver a la normalidad antes.
