Es humano centrarse en las amenazas externas a su bienestar. Esto suele aplicarse también a las organizaciones y a sus enfoques de la seguridad; por eso se suele poner tanta energía en la seguridad del perímetro. Sin embargo, este enfoque es contrario a la metodología de confianza cero: Las organizaciones también deben prestar atención al tráfico interno-interno e interno-externo tanto como al tráfico entrante.
La misión del equipo MDR de Sidekick es vigilar las amenazas en estos tres ejes. El impacto en la reputación de una organización sorprendida como fuente de actividad maliciosa es tan malo como ser el objetivo. Las organizaciones pueden verse rápidamente incluidas en listas negras que bloquean la comunicación, impidiendo su capacidad para realizar negocios. Y si el ataque tiene éxito, pueden verse expuestas a responsabilidades legales o a represalias técnicas. Estas situaciones exigen una respuesta rápida.
Cómo los acontecimientos externos se convierten en amenazas internas
Recientemente, el equipo de MDR de Vectra Sidekick descubrió un tráfico interno que condujo precisamente a un hallazgo de este tipo. Un empleado de una empresa de servicios, llamémosla Acme Inc, se encargó de involucrar a Acme en el conflicto entre Rusia y Ucrania. El empleado utilizó la infraestructura de Acme para llevar a cabo un ataque de denegación de servicio (DoS) contra organizaciones bielorrusas y rusas. Los objetivos del ataque eran una empresa de servicios financieros y una empresa de transporte y logística. El equipo de Sidekick identificó esta actividad y lo notificó a Acme, que interrumpió rápidamente el ataque saliente.
Muchos se apresuran a señalar que el elemento humano es el eslabón más débil de la cadena de seguridad, pero no ven las cosas desde la perspectiva de que las personas son también la herramienta más fuerte que ellos (o sus adversarios) tienen. En este caso, un solo usuario deshonesto podría haber tenido un impacto muy significativo. En estos conflictos, es probable que los empleados tengan emociones muy fuertes. Y debido a estas emociones, sus acciones pueden ser más fuertes que la política de una empresa o las medidas de seguridad existentes.
Incluso antes del reciente conflicto, Sidekick MDR identificó múltiples casos de usuarios (a veces incluso administradores) que instalaban criptomineros en activos corporativos. Esto suele verse en universidades y entornos de laboratorio con máquinas compartidas y abiertas. La motivación económica, con la percepción de que sólo se utilizan recursos gratuitos, movió a los usuarios a abusar de estos recursos. Entonces, ¿qué estarán dispuestos a hacer los usuarios si sienten una obligación moral real y tienen acceso a "recursos gratuitos"?
Conozca su red y siga los principios básicos
Necesitamos una comprensión y un enfoque holísticos para mitigar adecuadamente las amenazas. Los informes de noticias, los feeds de amenazas de alta fidelidad y las entradas de blog siguen siendo la mejor forma de estar al tanto de las amenazas externas. Sin embargo, al igual que el aprendizaje no supervisado es necesario para conocer los detalles de tu red, estas fuentes de noticias no pueden decirte cómo responderán las personas.
Seguir pasos básicos, como los descritos por CISA, puede ayudar mucho a proteger a las organizaciones de los ciberataques. Pero debemos recordar que no todas las amenazas ocurren fuera de la organización, y que las amenazas que emanan del interior de su entorno siguen siendo muy reales. Es demasiado fácil centrarse por completo en las amenazas externas en momentos como éste y ver las grandes campañas DDoS como algo que sólo ocurre a otras personas. Pero las redes que protegemos pueden convertirse -voluntariamente o no- en herramientas de una campaña de este tipo. Garantizar que disponemos de una supervisión fiable para ofrecer la mejor cobertura posible es primordial.