¿Alguna vez te ha preguntado un proveedor de seguridad qué 16.000 activos quieres proteger? ¿Un proveedor que, cuando se le pregunta por qué lo pregunta, te informa tranquilamente de que es porque eso es todo lo que puede cubrir para ti?
Todos tenemos ya suficientes listas largas de "cosas" que producir y mantener al día como para querer añadir más. Incluso si esto es algo que quieren asumir, la mayoría de las organizaciones ni siquiera pueden decirle lo que hay en su entorno. Puede que piensen que no tienen ese servidor Windows 2000 conectado a la red en el armario del laboratorio, pero lo tienen. Los atacantes encontrarán estos sistemas y aprovecharán cualquier cosa de su red para conseguir lo que quieren.
La gestión de activos es uno de los retos más difíciles a los que pueden enfrentarse las organizaciones de TI. Aunque ya tiene un par de años, este blog sobre activos fantasma aterradores ofrece una excelente visión general de las complejidades y los retos de seguridad que implica, muchos de los cuales todos podemos identificar. En muchos casos, durante las actividades de respuesta a incidentes, se identifican activos comprometidos que figuran en los inventarios de gestión de activos como retirados del servicio años antes. Nadie desconectó el servidor. Seguía encendido, conectado, sin mantenimiento y aprovechado con éxito por el atacante.
Aunque disponga de un inventario perfecto de todos sus sistemas, es poco probable que sepa con exactitud cuáles de esos 16.000 activos son críticos para su empresa. Si a las organizaciones les cuesta entender qué sistemas hay en su red, ¿cómo se puede esperar que marquen cuáles de ellos son explícitamente críticos?
A este respecto, ¿qué se entiende exactamente por "crítico"? ¿Es algo que contiene datos importantes para su empresa? Esa definición incluiría casi todos los sistemas de su entorno. A modo de ejemplo, considere todas las filtraciones de datos personales que se han producido sólo por la pérdida de ordenadores portátiles a lo largo de los años. ¿Estaban estos sistemas etiquetados como críticos? ¿O eran "un portátil más" que alguien se llevó a casa para terminar después de una larga semana? ¿Qué ocurre cuando se pone en marcha un sistema de desarrollo para validar el procesamiento de datos, se carga con datos confidenciales y luego se deja en la red y se olvida?
Si usted es como mucha gente y piensa que su infraestructura de red principal soporta la mayor parte de los dispositivos críticos, este informe de marzo de 2020 de FireEye sobre APT41 es de lectura obligatoria. El informe muestra que APT41 explota activamente la infraestructura de enrutamiento de Cisco de una organización. Si puede controlar el enrutamiento del tráfico, podrá acceder a cualquier dato que atraviese un dispositivo sin tener que comprometer el punto final crítico.
En lo que respecta al Internet de las cosas (IoT) y los activos no críticos que aprovechan las amenazas persistentes avanzadas, el mejor ejemplo sigue siendo APT28 -también conocida como Fancy Bear o Strontium-, que se detalla en este artículo de ZDNet sobre un informe publicado por Microsoft. Un aspecto importante en el que centrarse es la amplitud de dispositivos IoT que APT28 aprovecha -que incluye teléfonos con protocolo de voz sobre Internet (VoIP), impresoras y descodificadores de vídeo- para llevar a cabo el ataque. Esto expone el deseo de los ciberdelincuentes de utilizar dispositivos IoT de forma más amplia en un ataque organizado y demuestra que a los atacantes les importa poco lo que es "crítico" según su definición, centrándose en cambio en aprovechar cualquier cosa que les permita alcanzar sus objetivos.
Mi última observación es la siguiente: Como defensor, no deberías verte obligado a tomar decisiones arbitrarias basadas en información imperfecta sobre qué activos defenderás y cuáles no con las capacidades de seguridad que aportas a una lucha. Sus soluciones de seguridad deberían permitirle, como equipo de seguridad, detectar amenazas en una fase temprana sin limitaciones arbitrarias y con gran confianza, independientemente de dónde decidan operar los atacantes. Merece supervisar y proteger todo su entorno, no sólo unos pocos puntos finales seleccionados.
Es el mes de la concienciación sobre la ciberseguridad, proteja su red y reduzca el riesgo de su empresa con la detección y respuesta de red (NDR). Si quiere ver cómo, programe una demostración.