Por Bharat Mistry, director técnico en Trend Micro Europe sobre la importancia de mapear la superficie de ataque digital.
Hace aproximadamente un año, un ciberataque a un oleoducto estadounidense poco conocido entonces puso el ransomware en el punto de mira de los medios de comunicación y atrajo la atención de la Casa Blanca. En los meses siguientes se produjo una oleada de esfuerzos gubernamentales destinados a mejorar la seguridad de las organizaciones mundiales, colando la gestión de los ciberriesgos en el centro de las mejores prácticas recomendadas.
Es posible que los ciberdelincuentes responsables de la filtración de Colonial Pipeline hayan hecho, sin pretenderlo, un gran bien a la comunidad de seguridad. Pero reconocer la importancia de la gestión de riesgos y ponerla en práctica son dos cosas diferentes.
¿Por dónde deben empezar las organizaciones?
La respuesta está en mapear y comprender la superficie de ataque digital. Desgraciadamente, tal y como revela una nueva investigación de Trend Micro, solo la mitad (51%) ha sido capaz de hacerlo, y muchas más han identificado importantes lagunas de visibilidad.
La superficie de ataque se compone de todos los activos digitales que podrían ser comprometidos por actores de amenazas remotas o locales. Esto incluye:
- Portátiles y PCs.
- Endpoints de IoT.
- Aplicaciones móviles/web y sitios web.
- Endpoints de protocolo de escritorio remoto (RDP).
- Redes privadas virtuales (VPN).
- Servidores.
- Servicios en la nube.
- Infraestructura y servicios de la cadena de suministro.
Los ataques se dirigen a ellos a través de una amplia variedad de herramientas y técnicas, desde el phishing hasta la explotación de vulnerabilidades. Y una vez dentro de las redes, pueden desplazarse lateralmente a otras partes de la superficie de ataque. El informe general de 2021 de Trend Micro revela lo expuestas que están las organizaciones en la actualidad.
La visibilidad es difícil
Hay un dicho en ciberseguridad que es relevante en este caso: no puedes proteger lo que no puedes ver. Esto hace que obtener visibilidad de todos estos activos de la superficie de ataque digital sea un primer paso vital en el camino para mitigar el riesgo de un compromiso grave. Pero esto no es tan fácil como parece. Los encuestados en nuestro nuevo estudio estiman que solo tienen visibilidad sobre el 62% de su superficie de ataque total. La cifra real podría ser mucho menor.
¿Cuál es la causa del problema? Hay varias razones, entre ellas:
- Falta de herramientas adecuadas.
- Demasiadas herramientas, que crean silos de información.
- Cadenas de suministro opacas.
- Entornos de nube dinámicos y efímeros.
- El tamaño, la complejidad y la naturaleza distribuida de los entornos de TI modernos.
- Un aumento de los endpoints de trabajo remoto y del shadow IT durante la pandemia.
Un enfoque basado en la plataforma La falta de visibilidad se ve agravada por la escasez de competencias en materia de ciberseguridad, lo que dificulta cada vez más la gestión de la creciente superficie de ataque; no es de extrañar que casi tres cuartas partes (73%) de los responsables de TI y de empresas encuestados estén preocupados por el tamaño de su superficie de ataque digital. Casi la mitad (43%) admite incluso que está “fuera de control” y más de la mitad (54%) admite que su método para evaluar la exposición al riesgo no es lo suficientemente sofisticado.
Los CISO deben encontrar una manera de obtener visibilidad de todos sus activos de superficie de ataque digital, utilizar esa información para calcular continuamente la exposición al riesgo y, a continuación, disponer de las herramientas adecuadas para prevenir, detectar y responder a las amenazas en todos esos activos sin sobrecargar a los desbordados equipos de seguridad.
Esto no es una tarea fácil, ya que la mayoría de las organizaciones tienen múltiples herramientas superpuestas o desconectadas que crean silos de datos y lagunas de visibilidad, lo que conduce a un número abrumador de falsos positivos.
El hecho de que los equipos de seguridad se vean sobrecargados con la criba de las alertas provoca retrasos en la detección, investigación y respuesta de las vulnerabilidades más importantes, lo que da a los ciberdelincuentes más tiempo para lanzar su ataque desde dentro.
Aquí es donde un enfoque basado en la plataforma puede cosechar importantes dividendos. Una plataforma de ciberseguridad unificada ofrece una única visión holística de la superficie de ataque que puede evaluar la exposición al riesgo y, a continuación, desplegar automáticamente controles para mitigarlo. Un menor número de alertas, pero de mayor fidelidad, libera al personal de seguridad para que trabaje en tareas estratégicamente importantes. También puede ayudarle a alinear la seguridad con los objetivos de la empresa reduciendo el coste de la gestión de múltiples soluciones puntuales.
En un mundo en el que la inestabilidad geopolítica ha dado una nueva urgencia a la mitigación del ransomware, es hora de cambiar.