¿Qué es más sorprendente, que incluso con la adopción generalizada de la autenticación multifactor (MFA ), en el último año el 71% de las empresas hayan sufrido robos de cuentas SaaS o que, a pesar de ello, cerca del 90% hayan acelerado su transformación digital y cloud ? Tal vez ninguna de las dos cosas resulte especialmente asombrosa si se han notado los efectos transformadores del último año (pandémico) y se ha estado atento tanto a los riesgos como a las oportunidades presentes. Para obtener una visión del pasado, presente y futuro de ese viaje, hemos encuestado a más de 1.000 responsables de la toma de decisiones de seguridad en empresas medianas y grandes que utilizan Microsoft Office 365.
Al principio todo parece ir bien
Nada más empezar, era obvio que había una sensación de optimismo en varios temas, y hasta cierto punto debería haberla. La adopción y transformación Cloud ofrece a las organizaciones la oportunidad de pulsar el botón de reinicio en muchos supuestos defectuosos y fallidos codificados en la arquitectura de seguridad heredada, y de modernizarse en busca de una arquitectura de confianza cero. Pasar de la prevención como estrategia de seguridad principal (¡y fallida!) a una centrada en la resiliencia ha sido el objetivo de los profesionales de la seguridad avanzada durante la mayor parte de la última década, por lo que ver cómo aumenta ese sentimiento es algo netamente positivo.
El optimismo deja paso a la realidad
Sin embargo, a pesar de ese optimismo, más del 80% de los encuestados reconocieron que los riesgos de ciberseguridad de su propia organización habían aumentado en el último año, y cerca del 60% consideraba específicamente que las diferencias entre sus capacidades defensivas y las capacidades ofensivas de sus adversarios se estaban ampliando, lo que les amenazaba con dejarles aún más rezagados en lo que ya parecía una carrera armamentística perdida.
¿Qué explica la brecha entre ese sentimiento optimista y la evaluación de los retos reales que se avecinan cuando las organizaciones consideran sus riesgos y capacidades? Yo diría que, como mínimo, incluso cuando los defensores reconocen las oportunidades y la evolución, reconocen que cloud y la transformación digital implican lagunas de transición, ruido organizativo y oportunidades para que los adversarios se beneficien de la velocidad y la escala de la cloud durante la transición.
La transformación implica transición
En primer lugar, las transiciones tecnológicas a escala empresarial a menudo exigen mantener una arquitectura orientada al futuro y la disponibilidad de los sistemas heredados. Por desgracia, esto aumenta la superficie de ataque disponible para un adversario. Por ejemplo, ejecutar Azure AD en un modo híbrido no sólo implica protegerse contra ataques a Active Directory heredado y Azure AD, sino también contra una tercera clase de ataques heredados de tener que dar soporte a ambos al mismo tiempo y de la necesidad de mantener los dos directorios sincronizados. Desde la perspectiva de un adversario, ¡es mejor que lo mejor de ambos mundos!
Cuando se trata de periodos de transición como éste, los defensores de la empresa deben estar preparados para arrancar la tirita y apoyar al departamento de TI en la tarea de acelerar la migración al estado futuro deseado, al tiempo que comprenden las implicaciones de la postura y cómo priorizar el riesgo y la corrección. Prolongar la transición no sólo pone a prueba los recursos técnicos de la organización, sino que crea nuevas brechas que los adversarios pueden explotar.
La transformación puede ser ruidosa
En segundo lugar, la transformación de cloud implica establecer una línea de base en "la nueva normalidad", pero encontrar esa línea de base de comportamiento es confuso, ruidoso y propenso a la incertidumbre y la falta de familiaridad para los defensores. Mientras tanto, el ruido y la incertidumbre son condiciones que los adversarios saben explotar a la perfección, y están disponibles en abundancia en este viaje transformador. Nuestro informe Spotlight sobre Office 365 descubrió que el 96% de los clientes mostraban comportamientos de movimiento lateral sospechosos en cuentas de Office 365. Este volumen de alertas sería imposible de analizar sin la aplicación de inteligencia artificial o aprendizaje automático para separar la señal del ruido.
Afortunadamente, el 60% de los encuestados está aplicando específicamente una combinación de expertos en la materia y tecnología para abordar este problema durante el próximo año. Esta es una buena señal, y los defensores prudentes identificarán las tareas en las que destacan (por ejemplo, contextualizar comportamientos) y las que son más adecuadas para las máquinas (por ejemplo, cribar grandes conjuntos de datos ruidosos).
cloud pública presenta una gran oportunidad [para los atacantes]
En tercer lugar, la cloud no sólo permite a las empresas operar a velocidades y escalas antes inalcanzables, sino que también proporciona esas ventajas a los adversarios. A menos que las inversiones en seguridad se destinen a las capacidades de respuesta, la brecha en las capacidades de seguridad crecerá. Esta idea se hace evidente cuando se considera que en la cloud los atacantes realizan su descubrimiento a través de API bien definidas que convenientemente enumeran cosas como el acceso y los permisos a través de regiones y cargas de trabajo, y son capaces de encadenarse para ejecutar rápidamente a velocidad y escala. Esto significa que los defensores deben actuar con rapidez para tener alguna posibilidad.
Es probable que esta sea la razón por la que más del 50% de los encuestados planean invertir en automatización y orquestación durante el próximo año; sin embargo, la respuesta es sólo la mitad de la historia. Sin una señal de alta fidelidad que provoque la respuesta, los usuarios autorizados pueden ser víctimas tanto de los adversarios como de una automatización defensiva demasiado entusiasta. Este es otro ejemplo en el que las organizaciones harían bien en invertir en detecciones procesables (mejoradas con IA/ML) de comportamientos de atacantes como conducto para la orquestación posterior.
El futuro es brillante
Aun así, a pesar de estos retos, el futuro es brillante para las organizaciones dispuestas a emprender este viaje. Como fuerza transformadora, la cloud es poderosa. Está reconfigurando fundamentalmente el negocio, incluso al permitir una modernización de la seguridad como nunca antes. Quizás si esta transformación no se hubiera producido con el telón de fondo de los beneficios tangibles que las capacidades basadas en IA/ML aportan a la cartera de seguridad de una organización, no compartiría el sentimiento de algunos de los participantes más optimistas de nuestra encuesta. Pero desde nuestro punto de vista, es difícil no mirar el camino que tenemos por delante y pensar que aceptamos el reto.