Siete prácticas recomendadas para la gestión de la superficie de ataque

Con cada vez más soluciones en la nube, sistemas remotos y de teletrabajo, y dispositivos conectados, se aumenta la superficie de ataque. La mejor manera de reducir el número de vulnerabilidades es establecer un programa adecuada para la gestión de este contexto.

Varios activos de TI que acceden a los servicios de redes corporativas carecen de salvaguardas críticas, según un informe de Sevco. Este pone de manifiesto que el 11% de todos los activos carecen de protección de endpoints y que el 15% no están cubiertos por soluciones de gestión de parches empresariales, mientras que el 31% no están en los sistemas de gestión de vulnerabilidades. La situación empeora en las pymes, que trabajan por su cuenta para proteger su superficie de ataque.

Hay que tener en cuenta estos procedimientos al crear un programa de administración de la superficie de ataque:

1. Trazar un mapa de la superficie de ataque

Para tener una defensa adecuada, debe comprender qué activos digitales están expuestos, dónde es más probable que los atacantes apunten y qué protecciones se requieren. Los tipos de vulnerabilidades que hay que buscar son los ordenadores o servidores más antiguos y menos seguros, los sistemas sin parches, aplicaciones obsoletas y los dispositivos IoT expuestos.

El modelo predictivo puede ayudar a crear una representación realista de los posibles eventos y sus riesgos, fortaleciendo aún más la defensa y las medidas proactivas. Una vez que comprenda los riesgos, puede modelar lo que sucederá antes, durante o después de una infracción. “Las estrategias exitosas son bastante sencillas; saber lo que está protegiendo, monitorizar las vulnerabilidades en esos activos y utilizar la inteligencia de amenazas para saber cómo los atacantes persiguen esos activos débiles”, explica John Pescatore, director de tendencias de seguridad emergentes de SANS. “Cada una de esas tres fases requiere personal cualificado”.

2. Minimizar las vulnerabilidades

Una vez que las organizaciones han mapeado su superficie de ataque, pueden tomar medidas para mitigar el riesgo antes de pasar a tareas de menor prioridad. Poner los activos fuera de línea siempre que sea posible y fortalecer las redes internas y externas son dos áreas clave.

La mayoría de los proveedores de plataformas de red ya ofrecen herramientas para ayudar en esto. Por ejemplo, las reglas de reducción de la superficie de ataque de Microsoft permiten bloquear procesos y ejecutables que los atacantes suelen usar. Muchas brechas son causadas por errores humanos. Por lo tanto, concienciar y capacitar a los empleados es otro aspecto crítico.

No es necesario abordar todas las vulnerabilidades, y de todos modos, algunas persistirán. Una estrategia fiable incluye métodos para identificar las fuentes más pertinentes, seleccionando cuáles tienen más probabilidades de ser explotadas.

3. Establecer prácticas y políticas de seguridad sólidas

Seguir las mejores prácticas de seguridad probadas contribuirá en gran medida a minimizar su superficie de ataque. Esto incluye la implementación de soluciones de detección de intrusos, la realización de evaluaciones periódicas de riesgos y la implementación de políticas claras y efectivas. Estas son algunas prácticas a tener en cuenta:

• Lleve a cabo una gestión de cuentas saludable con protocolos de autenticación y controles de acceso sólidos.
• Establezca políticas coherentes de aplicación de parches y actualizaciones.
• Mantenga y pruebe las copias de seguridad de los datos críticos.
• Segmente su red para minimizar los daños en caso de que se produzca una infracción.
• Supervise y retire equipos, dispositivos y servicios antiguos.
• Utilice el cifrado siempre que sea práctico.
• Establezca o limite sus políticas y programas BYOD.
   

4. Establecer protocolos de monitorización y pruebas de seguridad

Un programa de ciberseguridad sólido requiere un ajuste constante a medida que cambian las infraestructuras de TI y evolucionan los actores de amenazas. Esto lleva a una monitorización continua y pruebas periódicas, estas últimas a menudo a través de servicios de pruebas de penetración de terceros. Por lo general, la monitorización se realiza a través de un sistema automatizado como el software de gestión de eventos e información de seguridad (SIEM). Recopila datos de registro generados desde sistemas host y aplicaciones a dispositivos de red y seguridad, como firewalls y filtros antivirus. A continuación, el software SIEM identifica, categoriza y analiza los incidentes y eventos.

Las pruebas de pentesting proporcionan comentarios imparciales de terceros para ayudarlo a comprender mejor las vulnerabilidades. Los pentesters llevan a cabo ataques simulados diseñados para revelar vulnerabilidades críticas. Las pruebas deben abordar los elementos centrales de la red empresarial y los dispositivos BYOD y de terceros que utilizan los proveedores. Los dispositivos móviles representan alrededor del 60% de las interacciones con los datos corporativos.

5. Fortalecer el sistema de correo electrónico

El phishing es una forma común en que los atacantes comprometen las redes. Sin embargo, algunas organizaciones no han implementado completamente protocolos de correo electrónico diseñados para limitar la cantidad de correos electrónicos maliciosos que reciben los empleados. Los protocolos son:

• Sender Policy Framework (SPF) evita la suplantación de direcciones de remitente de correo electrónico legítimas.

• Domain Keys Identified Mail (DKIM) evita la suplantación de la dirección de correo electrónico "mostrar desde", que es lo que ve el destinatario cuando obtiene una vista previa o abre un mensaje.

• La autenticación, informes y conformidad de mensajes basados en el dominio (DMARC) le permite establecer reglas sobre cómo tratar los correos electrónicos fallidos o falsificados identificados por SPF o DKIM.

Pescatore recuerda haber trabajado con Jim Routh cuando era CISO en Aetna. "Fue capaz de conseguir que la organización pasara al desarrollo de software seguro e implementara una fuerte autenticación de correo electrónico garantizando que el beneficio empresarial superaría el coste de seguridad si la dirección lo respaldaba para que se produjeran los cambios necesarios".

No todas las iniciativas funcionan, pero Routh cumplió. Sus cambios condujeron a menos vulnerabilidades de software y acortaron el tiempo de comercialización. "El cambio a DMARC y la autenticación de correo electrónico fuerte aumentaron las tasas de clics de las campañas de marketing por correo electrónico y, esencialmente, se pagaron con creces".

6. Comprender el cumplimiento

Todas las organizaciones deben contar con políticas y procedimientos para investigar, identificar y comprender las normas internas y gubernamentales. El objetivo es garantizar que todas las políticas de seguridad cumplan con las normas y que exista un plan de respuesta adecuado para los distintos tipos de ataques e infracciones.

Requiere establecer un grupo de trabajo y una estrategia para revisar las nuevas políticas y regulaciones cuando entren en juego. A pesar de lo crítico que es el cumplimiento para las estrategias modernas de ciberseguridad, no significa necesariamente que deba ser la prioridad. "Con demasiada frecuencia, el cumplimiento es lo primero, pero casi el 100% de las empresas que tuvieron infracciones en las que se expuso la información de la tarjeta de crédito cumplían con PCI. Sin embargo, no estaban seguros", dijo Pescatore. Cree que las estrategias de ciberseguridad deben evaluar primero el riesgo e implementar procesos o controles para proteger a la empresa y a sus clientes. "Luego, las empresas deben producir la documentación requerida por varios regímenes de cumplimiento (como HIPAA o PCI) que muestren cómo cumple su estrategia".

7. Contratar auditores

Incluso los mejores equipos de seguridad a veces necesitan nuevos ojos al evaluar la superficie de ataque de la empresa. La contratación de auditores y analistas de seguridad puede ayudarle a descubrir vectores de ataque y vulnerabilidades que, de otro modo, podrían haber pasado desapercibidos. También pueden ayudar a crear planes de gestión de eventos, para hacer frente a posibles infracciones y ataques. Demasiadas organizaciones no están preparadas para los ataques de ciberseguridad porque no tenían controles y equilibrios para medir sus políticas.

"Cuando se intenta determinar objetivamente el riesgo de seguridad, tener una perspectiva externa e imparcial puede ser extremadamente beneficioso", dice Jason Mitchell, CTO de Smart Billions. "Utilice un proceso de monitoreo independiente para ayudar a reconocer el comportamiento de riesgo y las amenazas antes de que se conviertan en un problema en sus endpoints, particularmente en los nuevos activos digitales, los proveedores recién incorporados y los empleados remotos".