“El crecimiento crea complejidad, lo que requiere simplicidad” – Mike Krzyzewski.
Existe la idea errónea de que cuantas más herramientas de seguridad tenga, mejor será la postura de seguridad de su organización. No es de extrañar, entonces, que las empresas promedien más de 70 ofertas de puntos de seguridad, y no debería sorprender que con cada oferta que se agrega a la mezcla, la complejidad aumenta y la eficiencia disminuye. Si bien esto puede no ser un gran problema para las empresas de Fortune 100, con sus presupuestos de seguridad casi ilimitados, todos los demás sufren.
Uno de los problemas subyacentes que impulsan la complejidad es que, a lo largo de los años, las organizaciones adoptaron un enfoque de seguridad en capas para protegerse del panorama de amenazas en constante cambio y la creciente sofisticación de los ataques.
Sin embargo, cada capa constaba de múltiples ofertas inconexas, lo que resultó en que los investigadores de seguridad se convirtieran en ingenieros de integración, tratando de conectar todos los puntos. ¿Cómo recopila y correlaciona con precisión señales e indicadores de diferentes sensores, los filtra, normaliza los datos, busca falsos positivos y evalúa la relevancia de los datos para sus necesidades y más? ¿Cómo se ingieren, priorizan y prueban múltiples fuentes de amenazas para detectar falsos positivos? ¿Cómo puede asegurarse de que todo funcione en conjunto para una postura de seguridad que sea lo más perfecta posible?
no puedes La prueba está en lo que se denomina tiempo de permanencia: la mayoría de los actores de amenazas residen dentro de las redes de las organizaciones durante semanas (si no meses) antes de lanzar su ataque.
Durante este período crítico del ataque, TI tiene muchas oportunidades para detectar, mitigar e incluso prevenir un ataque. Mientras están en la red de la organización, los atacantes recopilan contraseñas y aseguran su persistencia en la red utilizando todo, desde herramientas que ya están en el sistema, como WMI o PowerShell (o lo que se llama LOL, que significa vivir de la tierra) hasta herramientas personalizadas. realizando escalada de privilegios, movimiento lateral para identificar las joyas de la corona, preparando túneles de exfiltración y mucho más, todo mientras evade los controles de seguridad.
Esto acaba con otro viejo mito de la seguridad cibernética que dice que “los atacantes tienen que tener razón solo una vez y los defensores tienen que tener razón todo el tiempo”. Este mito es una simplificación excesiva de lo que realmente sucede durante una brecha. De hecho, exactamente lo contrario es cierto. Los atacantes deben estar en lo correcto en todos y cada uno de los pasos para alcanzar su objetivo, mientras que TI tiene múltiples cuellos de botella potenciales en los que podrían haber detectado, mitigado o prevenido el ataque. Entonces, ¿por qué los defensores siguen perdiendo esas señales?
En muchos de esos casos, todas las señales estaban allí pero de alguna manera se pasaron por alto. Esto plantea la pregunta: con cada nueva herramienta agregada a la pila de seguridad de una organización, ¿estamos agregando grasa o fuerza a nuestras operaciones de seguridad? ¿Estamos ayudando y capacitando al analista de seguridad para que realice su trabajo de manera fluida y optimizada o estamos agregando otra pantalla que necesitarán monitorear con la esperanza de captar una señal o alerta? ¿Estamos agregando otro proyecto de integración que no solo llevará años, e incluso más si algunos de los empleados se van, sino que también moverá el enfoque del equipo de las operaciones de seguridad a la integración y las pruebas?
Los actores de amenazas tienen múltiples ventajas sobre los defensores: tienen la iniciativa, son mucho más ágiles, se adaptan y cambian rápidamente y más. Sin embargo, una mirada de cerca a muchas de las infracciones reveló que todavía usan las mismas herramientas y técnicas: phishing, descifrado de contraseñas y escaneo de vulnerabilidades. No es el ‘qué’ lo que han cambiado, sino el ‘cómo’.
Lo mismo debe aplicarse a nuestras defensas: en lugar de intentar constantemente agregar nuevas características y funciones a nuestras defensas cibernéticas, debemos poder usar las que ya tenemos de una manera más simple (pero no simplista), más completa y más forma manejable.
Sabes, cuando serví en el ejército, había un viejo dicho que mi oficial al mando solía repetir: “Si no va a ser simple, simplemente no será”. Se aplica tan brillantemente a la seguridad cibernética como a la seguridad física.
Etay Maor es el director sénior de estrategia de seguridad en Cato Networks y un investigador de seguridad cibernética reconocido en la industria. Anteriormente ocupó altos cargos de seguridad en IntSights, IBM y RSA, y es profesor adjunto en Boston College. También forma parte de los comités Call for Paper para la Conferencia RSA y la Conferencia QuBits.