Deriva de seguridad – El asesino silencioso

desviación de seguridad

Se prevé que el gasto mundial en productos y servicios de ciberseguridad supere el billón de dólares durante el período de cinco años, entre 2017 y 2021, y diferentes analistas pronostican una tasa de crecimiento anual compuesta (CAGR) entre el 8 y el 15 %.

No sorprende ver este crecimiento en el gasto, que se debe principalmente a la evolución de la sofisticación y el volumen de los ataques, así como a los costos crecientes de una filtración de datos exitosa.

Y, sin embargo, las filtraciones de datos continúan.

La triste noticia es que alrededor del 80 % de las violaciones de datos se pueden prevenir con acciones básicas; tales como evaluaciones de vulnerabilidad, parches y configuraciones de seguridad adecuadas.

Las razones específicas varían; pero incluyen problemas de personal y recursos, falta de experiencia para optimizar sistemas de seguridad complejos y de múltiples proveedores, y una serie de otras razones. Cualquiera que sea la causa específica, el tema común es que la seguridad se retrasó con los cambios internos de TI o con los cambios en el panorama de amenazas externas.

El fenómeno es bien conocido en las esferas de la tecnología: desde cambios en la configuración a medida que las aplicaciones y las plataformas cambian sin reorganización; a la deriva de la nube a medida que los nuevos recursos sin servidor evolucionan a problemas puntuales de la suite, pero no se tienen en cuenta en las estimaciones generales de crecimiento de la infraestructura.

Debido a esto, estamos viendo una nueva forma de deriva centrada principalmente en los cambios que afectan la seguridad cibernética, esencialmente una deriva de seguridad.

Los equipos de TI y seguridad se enfrentan a un doble golpe

Por un lado, los equipos de seguridad tienen que abordar continuamente las amenazas en evolución y la sofisticación de los adversarios y, por otro lado, los equipos de TI se adaptan continuamente a los cambios y realizan modificaciones en los entornos que pueden crear derivas en la seguridad, algunas abordadas y otras invisibles.

Al final del espectro se encuentran los cambios de alta visibilidad que giran en torno a temas candentes como la convergencia de la tecnología de la información y la tecnología operativa (TI/OT), y estos generalmente (aunque no siempre) reciben la atención simultánea de los equipos de seguridad cibernética.

En el otro extremo del espectro de desviación de la seguridad, son las operaciones de mantenimiento diarias las que pueden no recibir la atención que merecen de los equipos de seguridad. Estos incluyen actividades de rutina, como actualizaciones de software para nuevas funciones, corrección de errores y parches de vulnerabilidades, y la actualización o reemplazo de software básico que no requiere una planificación importante.

No importa si los cambios están ocurriendo en los nuevos sistemas que entran en producción o en los sistemas existentes en producción, la deriva se crea a medida que los cambios se realizan sin supervisión de seguridad o con una supervisión de seguridad insuficiente.

Desafortunadamente, hay muchos ejemplos de situaciones de desviación de la seguridad en las que las actualizaciones de software de rutina y los cambios de TI introducen vulnerabilidades que requieren detección y aplicación de parches.

Una empresa de alta tecnología que tenía una solución A/V robusta (o eso pensaban) permitió una deriva de parches de tres semanas para el 2% de sus sistemas. Esto se debió a que algunos sistemas requerían pruebas antes de parchear (debido a problemas con el sistema operativo y la aplicación), y otros se retrasaron debido a restricciones operativas. La empresa fue atacada por un gusano que se propagó a casi todos los sistemas sin parches, cerca de 3000 máquinas.

La consecuencia fue una denegación de servicio interna que interrumpió el negocio y obstaculizó la remediación y restauración de los sistemas de TI de la empresa.

Una empresa multinacional de subcontratación implementó servidores FTP con el fin de compartir archivos dedicados con su cliente. Su procedimiento para incorporar a un nuevo cliente consistía en clonar un servicio existente, cambiar las credenciales predeterminadas, excluir el nuevo sistema del DNS y probar el nuevo sistema dentro de la semana posterior a la implementación.

Desafortunadamente, en un caso, el retraso entre la implementación y la prueba fue suficiente para que un pirata informático encontrara un sistema que se quedó sin darse cuenta con las credenciales predeterminadas y penetró los datos del cliente a un gran costo para la empresa de subcontratación. La deriva de seguridad creada por la nueva instancia creó la apertura que un adversario necesitaba para iniciar y completar con éxito un ataque.

Estos ejemplos son significativos en tamaño e impacto, pero son los pequeños ejemplos de desviación de la seguridad los verdaderos asesinos silenciosos, la pérdida proverbial de un clavo en una herradura que hace perder el reino.

Por ejemplo, un firewall de aplicaciones web que se configuró incorrectamente y se colocó en modo de aprendizaje (solo monitoreo) y un caso en el que TI cambió el nombre de un servidor que tenía acceso restringido. El cambio de nombre inadvertidamente hizo que el servidor fuera accesible para todos. Afortunadamente, esto se detectó antes de que se produjera ningún daño y se actualizó la regla que aplica la política de acceso.

Hay una cosa que une todos estos incidentes. La desviación de la seguridad es la consecuencia del cambio, y las operaciones de seguridad desconocen el cambio o su importancia. En algunos casos, creará un riesgo manejable y, en otros casos, el riesgo exige atención inmediata; pero en todos los casos, la deriva existe y pone en riesgo a la organización. Esta falta de perspicacia hace que la seguridad se convierta en el asesino silencioso.

Evitando al asesino silencioso

La práctica tradicional para identificar y tratar la deriva de seguridad es una combinación de procedimientos y políticas de TI, sistemas de gestión de vulnerabilidades y pruebas de penetración. Si bien el análisis de vulnerabilidades proporciona resultados casi en tiempo real; la prueba de la pluma no lo hace. Esto puede proporcionar una ventana prolongada para que ocurra una deriva de seguridad que es inaceptable.

Un nuevo paradigma de validación de seguridad está cada vez más disponible para la seguridad del Equipo Azul, que automatiza la validación de seguridad en entornos de producción. Como complemento de las pruebas de penetración periódicas al llenar el vacío entre las pruebas, la validación de seguridad continua se convierte en una forma poderosa de reducir el impacto de la desviación de seguridad al detectar e identificar instancias de desviación casi en tiempo real.

La validación continua de la seguridad con las plataformas Breach and Attack Simulation puede hacer coincidir la tasa de cambio interno y externo con la capacidad de la organización para detectar cambios que crean debilidades y brechas para ayudar a administrar mejor la desviación de la seguridad. No dejes que el asesino silencioso te pille.

Para obtener más información, visite www.cymulate.com y regístrese para una prueba gratuita.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática