La seguridad debe probarse, probarse y volver a probarse. Ahora es más fácil que nunca para los ciberdelincuentes encontrar nuevas formas sigilosas de acceder a los sistemas y navegar lateralmente por ellos, aprovechar las brechas en los flujos de trabajo híbridos o secuestrar cuentas cloud para acceder a un objetivo. Es vital que cada CISO pueda ofrecer una imagen clara de cómo su seguridad está resistiendo realmente las últimas tácticas, técnicas y procedimientos. Sin embargo, con demasiada frecuencia he visto a mis colegas CISO caer en un ciclo de preparación de pruebas de penetración anuales de sistemas puntuales para estar "en conformidad", lo que de hecho sólo los convierte en blancos fáciles a la espera de que se produzca una brecha.
La exploración de vulnerabilidades no es suficiente
La verdad es que muchos CISO simplemente no van lo suficientemente lejos al optar sólo por una prueba de penetración básica. Esto implica una breve prueba técnica de un componente o sistema específico, con el objetivo de encontrar y explotar vulnerabilidades técnicas. A menudo, sin embargo, es poco más que un escaneo automatizado, que demuestra las vulnerabilidades pendientes, pero sin ningún contexto relativo a las amenazas reales a las que se enfrenta su negocio - o cómo los atacantes podrían explotarlas.
En cambio, un ejercicio de equipo rojo dirigido por amenazas es más exhaustivo, al considerar múltiples escenarios utilizados habitualmente por atacantes reales que abarcan personas, procesos y tecnología. Ofrece una visión considerablemente mejor de cómo los ciberdelincuentes pueden intentar identificar y explotar los eslabones más débiles de la cadena para lograr sus objetivos (por ejemplo, la filtración de datos de clientes).
En un ejercicio de equipo rojo puede que ni siquiera sea necesario explotar ninguna vulnerabilidad relacionada con la tecnología; en su lugar, los encargados de las pruebas pueden recurrir a la ingeniería social, el phishing o la identificación de TI en la sombra como punto de entrada. Los equipos rojos pueden incluso recurrir a dejar memorias USB maliciosas fuera de las oficinas y esperar a que los empleados las conecten.
Esta información vale su peso en oro. Permite a la organización mejorar sus defensas de forma incremental, abordando la ruta más sencilla pero más probable para entrar en la organización desde la perspectiva del atacante. ¿Por qué centrar su tiempo y atención en solucionar alguna vulnerabilidad técnica compleja (pero teórica) cuando un hacker siempre elige la opción fácil?
Después de un ejercicio del Equipo Rojo
Con los conocimientos adquiridos en un ejercicio de equipo rojo, el CISO puede priorizar los programas de mejora para actuar eficazmente contra los riesgos de la vida real, detectando lagunas que de otro modo pasarían desapercibidas en un pen-test estándar. Por supuesto, el CISO estará bajo una presión considerable para mitigar rápidamente los riesgos más graves, y la transformación de TI no se produce rápidamente.
Los responsables de la seguridad de la información (CISO, por sus siglas en inglés) deberían centrarse en primer lugar en las ventajas fáciles para reforzar la seguridad de forma inmediata y, a continuación, considerar la posibilidad de añadir capacidades preconfiguradas de detección y mitigación de amenazas basadas en la red. Este enfoque aumenta significativamente la capacidad de detección de amenazas para la seguridad. También ofrece una rentabilidad mucho más rápida que la detección y respuesta en el punto final, al tiempo que mejora inmediatamente la visibilidad, pero sin requerir un cambio total en los entornos de escritorio o servidor. Además, reduce el tiempo dedicado a examinar numerosas alertas, priorizándolas para detectar -y detener- las amenazas más urgentes antes de que se conviertan en una brecha en toda regla.
Probando hasta la enésima potencia, los CISO pueden tanto reducir su riesgo como identificar las formas más impactantes de mejorar su seguridad. Este procedimiento debería ser una de sus prioridades en los próximos meses.
Este blog se publicó por primera vez en The Register.