Contenido Exclusivo

Ocho características de los equipos de seguridad proactivos

Cada vez más CISO están equilibrando sus capacidades de respuesta y recuperación con medidas proactivas que anticipan ataques y vulnerabilidades.

Durante mucho tiempo, a los CISO se les ha encomendado la tarea de desarrollar capacidades de respuesta y recuperación con el objetivo de tener equipos que puedan reaccionar ante un incidente de seguridad lo más rápido posible y puedan restaurar las funciones corporativas con el menor daño posible. La necesidad de esas actividades ciertamente no va a desaparecer, pero muchos jefes de seguridad buscan tomar medidas más proactivas para equilibrar las reactivas.

“En el lado proactivo, hay que intentar predecir qué tipo de ataque puede ocurrir en el entorno y encontrar las vulnerabilidades antes que otros para reducir el riesgo antes de que se materialice”, explicó Pierre-Martin Tardif, profesor de seguridad cibernética en la Universidad de Sherbrooke. Según Tardif y otros expertos, una estrategia proactiva puede hacer mucho más para garantizar la resiliencia de la organización que tener solo la capacidad de responder rápidamente una vez que se detecta un ataque o una infracción. “Nuestro objetivo final como profesionales de la ciberseguridad es evitar que se exploten los riesgos cibernéticos mediante la protección de nuestros activos. Los programas proactivos tienen mucho éxito al hacer precisamente eso”, dijo Sandra Ajimotokin, miembro del Grupo de Trabajo de Tendencias Emergentes de ISACA.

Entonces, ¿qué distingue a los CISO que han adoptado una estrategia proactiva? Aquí hay un vistazo a lo que comúnmente hacen:

Entienden lo que tienen, lo que deben proteger y contra lo que se están protegiendo

Para construir una postura de seguridad cibernética proactiva, varias fuentes señalan la necesidad de que los CISO entiendan primero lo que tienen, sepan qué requiere los niveles más altos de protección y reconozcan los riesgos que una organización está dispuesta a aceptar. Esto ayuda a identificar qué amenazas representan los mayores riesgos para sus organizaciones y, por lo tanto, requieren la mayor atención. “Un equipo cibernético proactivo comprende el perfil de riesgo de su organización y puede identificar los riesgos que la organización aún no ha enfrentado”, explicó Ajimotokin. “Este es un componente clave para poder evitar que ocurran ataques, porque entienden lo que se necesita proteger y pueden pensar en todas las formas en que es vulnerable”.

John Deskurakis, director de seguridad de productos de Carrier Global Corp., está de acuerdo y agregó que los CISO deben hacer esto de manera continua, y pide la necesidad de una “identificación continua”.

Tienen fuertes políticas de autenticación de usuarios y un enfoque de confianza cero

Los equipos de seguridad proactivos tienen una buena comprensión no solo de sus entornos de TI y el perfil de riesgo de su organización, sino que también tienen una comprensión sólida de quién y qué está accediendo a su red y cada uno de sus sistemas a través de sólidas políticas de autenticación de usuarios, segúb Bryce Austin, CEO de TCE Strategy. Políticas como la autenticación multifactor ayudan a garantizar que solo los usuarios autorizados ingresen al entorno de TI de la empresa y trabajen para mantener a todos los demás fuera.

Tardif señaló que muchos CISO están implementando fuertes requisitos de autenticación como parte de su cambio a una arquitectura de confianza cero, en la que todos los usuarios, ya sean humanos o dispositivos, deben verificar que son quienes dicen ser antes de obtener acceso. Pero indicó que la confianza cero va aún más allá: también restringe el acceso de los usuarios autenticados solo a aquellos sistemas y datos que necesitan para hacer su trabajo. Tardif mencionó que seguir este principio de privilegio mínimo es una forma más para que la seguridad deje de enfocarse en responder a los incidentes para prevenirlos de manera proactiva.

Son ágiles y adaptables

Otra clave para adelantarse a los piratas informáticos es la capacidad de los CISO y sus equipos de girar tan rápido, si no más, que los malos actores. Con ese fin, Deskurakis dijo que los CISO proactivos han adoptado un “pensamiento centrado en el ataque evita enfoques estáticos y prescriptivos de casillas de verificación, evoluciona continuamente sus tácticas y piensa como un atacante. Una sólida capacidad de defensa proactiva es flexible y, a menudo, cambia para enfrentar amenazas en constante evolución”.

Andrew Retrum, director gerente en la práctica de seguridad y privacidad de la firma de consultoría de gestión Protiviti, está de acuerdo. Se basa en un axioma basado en el hockey sobre hielo sobre patinar hacia donde va a estar el disco, no hacia donde está, y agregó: “quieres salir al frente de lo que viene en tu camino”.

Están pensando en el futuro

De manera similar, los CISO proactivos están atentos a las herramientas, técnicas y regulaciones emergentes; además, los incorporan a sus estrategias y sus programas de seguridad antes de que se conviertan en algo común u obligatorio. Por ejemplo, Retrum señaló a un CISO que había contratado a su empresa hace varios años cuando quedó claro que el Departamento de Servicios Financieros de Nueva York emitiría nuevos requisitos de seguridad cibernética. “Quería ponerse al frente de eso para poder asesorar a otros líderes senior al respecto. Quería asegurarse de que estuvieran al tanto de lo que estaba por venir”.

Retrum ve que otros CISO adoptan ese enfoque cuando observan lo que está cambiando en sus propios entornos empresariales o en el mercado más amplio, un enfoque que les permite preparar sus departamentos de seguridad antes de esos cambios. Por ejemplo, conoce a algunos  que ya están considerando cómo el aumento anticipado de la computación cuántica afectará su programa de seguridad, identificando qué medidas de seguridad actuales se volverán ineficaces y determinando qué protecciones usarán en su lugar.

Las funciones de seguridad proactivas están pensando en todo eso ahora, y están elaborando una hoja de ruta para dentro de tres a cinco años”, dijo, y añadió que hay valor en “mirar hacia adelante y conocer el futuro”.

Buscan imitadores

Los equipos de seguridad proactivos están buscando cualquier uso indebido de sus nombres de dominio, logotipos de empresas y otros identificadores, expresó Carlos Rivera, asesor principal de investigación de Info-Tech Research Group. “Están buscando de manera proactiva el uso ilícito de su marca”.

Los equipos de seguridad suelen utilizar herramientas basadas en SaaS o trabajan con un proveedor de servicios de seguridad gestionados para la supervisión de nombres de dominio que busca suplantación de identidad y otras formas de suplantación de identidad de marca. Este monitoreo, señaló Rivera, puede alertar a los equipos de seguridad con anticipación sobre los piratas informáticos que intentan usar sitios web falsificados, logotipos corporativos secuestrados y otras formas de suplantación de identidad para el phishing y otros tipos de ataques de ingeniería social, lo que permite que los equipos de seguridad tengan tiempo para contrarrestar o incluso cerrar por completo. esos intentos de ataque antes de que se conviertan en asaltos a gran escala o tengan algún nivel de éxito.

Cazan amenazas

Los malos actores con frecuencia intentan ofuscar sus actividades mientras intentan abrirse camino a través de las redes y sistemas corporativos en busca de una gran recompensa. 

Esa identificación retrasada ha sido un problema de larga data, que pone a los equipos de seguridad en modo reactivo. Para contrarrestar eso, los equipos de seguridad recurren cada vez más a la búsqueda de amenazas para encontrar a los malos actores que acechan en su entorno antes de que ocurra una violación u otro ataque.

Otro elemento de un enfoque de seguridad proactivo es participar en la búsqueda activa de amenazas al buscar amenazas antes de que puedan ser explotadas activamente. Esto puede ser desde el punto de vista técnico (los vectores), así como aquellos que deseen explotar (los actores)”, explicó Jon France, CISO en (ISC)², una organización de capacitación y certificación sin fines de lucro.

La caza de amenazas vale la pena. Según la encuesta SANS 2022 Threat Hunting , el 85 % de los encuestados dijo que la búsqueda de amenazas ha mejorado la postura de seguridad de su organización. Mientras tanto, los expertos mencionan que el uso del aprendizaje automático y la inteligencia artificial debería aumentar aún más esas cifras al ayudar a los equipos de seguridad empresarial a encontrar amenazas aún más rápido.

“Los profesionales de seguridad pueden beneficiarse de la capacidad de ML para reconocer patrones y predecir resultados, brindando un nivel de visibilidad nunca antes visto”, dijo Ajimotokin. “Esto podría permitir que los equipos cibernéticos escalen rápidamente, identifiquen las amenazas lo antes posible y mitiguen un ataque más rápido que nunca”.

Buscan vulnerabilidades

Un programa sólido de administración de vulnerabilidades que identifica qué vulnerabilidades conocidas existen dentro de una organización y prioriza parchear aquellas que presentan el mayor riesgo es una marca importante de una buena estrategia de seguridad.

Pero France estimó que los equipos de seguridad que quieran ser proactivos deberían dar un paso más y agregar la búsqueda de vulnerabilidades a sus programas. Señaló que los programas de gestión de vulnerabilidades se han centrado tradicionalmente en abordar problemas conocidos , mientras que la búsqueda de vulnerabilidades desafía a los equipos de seguridad a descubrir los desconocidos, como el código de software inseguro o las configuraciones incorrectas que son exclusivas de sus propios entornos de TI.

France y otros recomendaron que los CISO se sometan a pruebas de penetración periódicas para buscar puntos débiles y crear programas de divulgación de vulnerabilidades y recompensas por errores para alentar y recompensar a los trabajadores a buscar, encontrar y solucionar dichos problemas.

Practican su respuesta

France aseveró que puede parecer contradictorio, pero los equipos de seguridad proactivos también practican regularmente cómo responderán y reaccionarán en caso de un ataque exitoso. Esta práctica (generalmente en forma de ejercicios de simulación) permite que las organizaciones avancen de varias maneras.

Debido a que los simulacros imaginan y articulan cómo podrían ocurrir los ataques, ayudan a los equipos de seguridad a identificar las vulnerabilidades en sus programas de seguridad existentes. Luego pueden trabajar para cerrar esas brechas y, con suerte, evitar que sucedan los escenarios imaginados-

Los simulacros también ayudan a identificar deficiencias en los planes de respuesta, lo que permite a los CISO cerrar esas brechas también. Estos ejercicios también fortalecen la memoria muscular, agregó France, lo que significa que la organización puede moverse de manera más rápida, eficiente y efectiva cuando ocurre un evento para que puedan minimizar el daño y volver a la normalidad antes.

-Mary K. Pratt, cio.com

Lo Más Reciente

Tenable descubre nuevas técnicas de ataque en software de código abierto

El equipo de investigación de seguridad en la nube...

Shopperbot: robot mexicano que ayuda a tomar mejores decisiones de compra

Como parte de las soluciones para impulsar la hiperpersonalización...

Los ‘Scam-Yourself Attacks’ aumentan 614% en el tercer trimestre del año: informe

Los 'Scam-Yourself Attacks' o "ataques de estafa”, en los...

Newsletter

Recibe lo último en noticias e información exclusiva.

Mireya Cortés
Mireya Cortés
Editora CIO Ediworld Online. La puedes contactar en mcortes@ediworld.com.mx

Tenable descubre nuevas técnicas de ataque en software de código abierto

El equipo de investigación de seguridad en la nube de Tenable descubrió nuevas técnicas de ataque en los Lenguajes Específicos de Dominio (DSLs, por...

“Mejorar la visibilidad en el ecosistema tecnológico, interno y de cara al cliente” : José Armando López Flores, CISO de Crediclub

“Queremos ser esa institución financiera que cubra con las expectativas de los clientes a través de garantizarles que su patrimonio estará seguro”. Con el objetivo...

Shopperbot: robot mexicano que ayuda a tomar mejores decisiones de compra

Como parte de las soluciones para impulsar la hiperpersonalización en la atención al cliente por medio de la tecnología, PepsiCo México desarrolló a Shopperbot....