El9 de febrero de 2023, se celebró un hito en la asociación entre Vectra y KPMG, y tenían mucho que compartir. El debate se centró en el valor de la Observabilidad Eficaz de la Seguridad (ESO), impulsada por la Inteligencia de Señales de Ataque de Vectra (Attack Signal Intelligence™).
ESO tiene objetivos claros para las organizaciones: mejorar la visibilidad de su postura de seguridad, reducir el riesgo de que los incidentes se conviertan en crisis y garantizar la protección de sus datos críticos.
El seminario web fue muy oportuno, ya que tuvo su origen en un reciente ciberataque DDoS contra infraestructuras críticas en Europa. Este ataque se originó probablemente en Killnet, un grupo de piratas informáticos prorruso que atacó a varias empresas y compañías en Europa, incluidos hospitales en los Países Bajos. Para arrojar más luz sobre el tema, Jordi van den Breekel, Red Team & TIBER lead en KPMG Países Bajos, se unió al panel moderado por Henrik Smit, Director de Ciberseguridad en KPMG.
La conversación exploró los riesgos que las ciberamenazas suponen para las infraestructuras críticas y las organizaciones. Con el reciente repunte de los ciberataques en las últimas semanas, el tema no podía ser más pertinente. Una de las amenazas debatidas fue el ransomware, que resultó ganador en una de las encuestas de los asistentes como el mayor temor de la audiencia. El debate puso de manifiesto que las infraestructuras críticas no se limitan a los hospitales, sino que incluyen servicios gubernamentales, bancarios y energéticos, e incluso la alimentación y otros sectores que forman parte de la cadena de suministro.
Esto es lo que descubrimos durante nuestro sondeo entre el público:
¿Qué ciberamenazas le preocupan más?
La conclusión anterior -que el impacto de un ataque DDoS es muy visible, pero no causa daños permanentes e irreversibles- fue claramente confirmada por el público, que sólo puntuó un 6%. Durante el debate posterior, los panelistas aclararon que el ganador absoluto era APT (Advanced Persistent Threat). Las APT suelen culminar en un ataque de ransomware, que suele ir acompañado de una filtración de datos. A menudo, vemos phishing y DDoS como punto de partida de campañas de ransomware para distraer u obtener acceso al sistema de una víctima.
La siguiente encuesta se centró en los participantes que trabajan con y en infraestructuras críticas: nos preguntamos hasta qué punto es real la ciberamenaza para este grupo.
Los ataques a infraestructuras críticas van en aumento. Lo reconoce en el contexto de su propia organización?
Cuando profundizamos en las respuestas de quienes trabajan en infraestructuras críticas, queda claro que el 100% de esas organizaciones reconocen nuestra afirmación. Incluso he reflexionado sobre la posibilidad de que algunas de las otras también formen parte del debate ampliado sobre infraestructuras críticas. Un ejemplo podría ser un impacto en la cadena de suministro de nuestra industria alimentaria, que también podría tener graves repercusiones.
A partir de aquí, queríamos conocer la importancia de la digitalización en las organizaciones de nuestra audiencia. La relevancia de esta pregunta viene dada por el posible impacto de un ciberataque en la continuidad de dicha organización.
¿Hasta qué punto se ha convertido la digitalización en la piedra angular de sus procesos de producción?
Los resultados no fueron sorprendentes. La digitalización es importante y, aunque no podemos llegar a una conclusión irrefutable, creemos firmemente que es importante tanto para las infraestructuras críticas como para las no críticas.
KPMG y Vectra pueden confirmar la importancia de la digitalización, como se observa en su base de clientes instalados. Así pues, la respuesta a la encuesta anterior justificó inmediatamente la siguiente, en la que buscábamos saber hasta qué punto "la empresa" participa en la definición de la estrategia de seguridad. El contexto para esta pregunta también es que hoy en día, las TI y la ciberseguridad son (y deberían ser) temas relevantes también para la junta directiva. Los CISO deben ser escuchados.
¿Hasta qué punto participa la empresa en la definición de una estrategia de seguridad?
El resultado de esta pregunta suscitó distintas opiniones. Por un lado, es estupendo ver que "en absoluto" no registró respuesta. Sin embargo, 1 de cada 3 cree que no hay una implicación real y 1 de cada 5 probablemente no está seguro. Sin embargo, la ciberseguridad ya no es una ocurrencia tardía, y con tanta digitalización, esto también debería importar a la junta directiva. No sólo debe discutirse la estrategia de defensa, sino también la estrategia de violación. ¿Qué pasa si el ransomware -que se percibe como un gran riesgo, como hemos aprendido antes- tiene éxito? ¿Está la empresa dispuesta a pagar? En caso afirmativo, ¿cuánto y quién recibirá el mandato de negociar?
En caso de que se produjera un ciberataque, el impacto podría ser significativo. El primer reflejo, por supuesto, es la disponibilidad, la continuidad y la marca, por nombrar algunos. Pero, ¿ha pensado en el impacto para los empleados? Nos preguntamos hasta qué punto se tiene esto en cuenta.
¿Tiene en cuenta su empresa el impacto mental de un ciberataque para el empleado?
El resultado de esta encuesta es preocupante. Deberíamos esforzarnos por mejorar en este ámbito.
A medida que profundizamos en el tema, se hace evidente que hay dos áreas críticas que requieren nuestra atención inmediata. En primer lugar, los empleados suelen ser presa de correos electrónicos phishing y documentos maliciosos de forma involuntaria, y el personal de seguridad no debe ser el único responsable de estos incidentes. En segundo lugar, después de un ataque, los equipos de seguridad se ven a menudo llevados al límite de sus posibilidades, trabajan muchas horas y cargan con el peso de la culpa y la sensación de fracaso. Este problema es tan grave como la fatiga por alerta y el agotamiento asociado, si no más.
Una vez identificados estos retos, ha llegado el momento de explorar posibles soluciones y sacar algunas conclusiones. Como ya hemos hablado en detalle de la Observabilidad Efectiva de la Seguridad (ESO), podemos pasar directamente a las conclusiones. Como la ESO ya está claramente descrita en el blog al que he hecho referencia anteriormente, puedo pasar directamente a las conclusiones:
Dado que tantoVectra AI como KPMG están familiarizados con estos retos, las conclusiones que se presentaron están en línea con las mejores prácticas que ambas organizaciones siempre presentan:
- Utiliza la autenticación multifactor (MFA) para todas las cuentas, pero ten en cuenta que no es infalible y que puede ser eludida. Para evitar la fatiga de la AMF, mantente alerta y revisa y actualiza periódicamente tus prácticas de seguridad.
- Asegúrese de que sus herramientas de seguridad, como la detección y respuesta en puntos finales (EDR) y la detección y respuesta en red (NDR), están correctamente integradas y cubren los casos de uso adecuados. Pruebe y evalúe periódicamente su eficacia en conjunto: Personas, Procesos y Tecnología.
- Evite crear silos de ruido innecesario reenviando únicamente señales de ataque de alta fidelidad al Centro de Operaciones de Seguridad (SOC). Esto ayudará a su equipo a centrarse en las amenazas más críticas.
- Utilice la tecnología para apoyar a su personal de seguridad y ayudarle a mantenerse mentalmente bien. Implemente herramientas junto con procesos que permitan a su equipo trabajar de forma más eficiente y eficaz, y compruebe periódicamente que no sufren agotamiento u otros efectos negativos.
Para terminar, mi conclusión sobre el formato es que fue agradable de hacer y pareció mantener al público alerta e interactivo. El hecho de que el desenlace de la conversación y el análisis de los resultados estuvieran totalmente dirigidos por el público, lo hizo bastante singular.
¿Experimentos = Éxito? ¡Compruébelo!
Para más información, visite