La última compra al por menor que he hecho han sido unas gafas de sol. Nunca había oído hablar de la marca, pero me encantan las gafas y me atrajo un anuncio con un escalador (algo que no hago) que apareció en mi cuenta de Instagram. ¿Por qué no? Un par de clics, la introducción del número de mi tarjeta de crédito en una empresa que decía tener su sede en Suiza... y un par de gafas de sol frescas encontraron su nuevo hogar bloqueando el sol del invierno californiano.
Es increíble lo accesible que es el comercio minorista. Está ahí incluso cuando no lo buscamos. Basta con meter la mano en el bolso o el bolsillo como Mary Poppins y hacer clic en "comprar ahora" para que aparezca casi cualquier cosa que podamos necesitar. La facilidad es innegable, pero hay otro lado. ¿Un lado oscuro? Claro, pero hay algo más. Cuando introducimos nuestros nombres, direcciones, números de teléfono, correos electrónicos y datos de la tarjeta de crédito -información personal identificable (IPI )-, ¿de quién es la tarea de asegurarse de que la información permanece segura y no cae en malas manos? ¿El minorista? ¿El consumidor? ¿El proveedor de seguridad contratado para evitar que nuestra información sea incluida en una filtración de datos?
La respuesta corta es todos los implicados. Después de haber trabajado en ciberseguridad durante más de una década, soy muy consciente de la posibilidad de que se produzca una filtración de datos en el sector minorista y de que puedan robar mi información, pero también sé que soy responsable de dónde decido introducir mis datos. La responsabilidad que tienen las marcas minoristas y de comercio electrónico de mantener a salvo los datos de los consumidores se ha puesto bajo la lupa con la entrada en vigor del GDPR en Europa y la Ley de Privacidad del Consumidor de California (CCPA) aquí en la Costa Oeste. Pero, por supuesto, cuando nos limpiamos los ojos por la mañana y descubrimos que se ha producido otra brecha en el comercio minorista, a menudo son los datos de los consumidores los que han desaparecido y quedan muchas preguntas para los minoristas y los proveedores de seguridad.
¿Qué les espera a los equipos de seguridad para defenderse de los ciberataques al comercio minorista?
Es fácil señalar con el dedo cuando las cosas van terriblemente mal, pero en lo que respecta a una infracción, a menudo se trata menos de quién es el responsable y más de qué se puede hacer para que no siga ocurriendo en el futuro. ¿Quizá podamos encontrar algunas respuestas?
Desde mi punto de vista de color de rosa en Vectra, oigo las palabras " cloudhíbrida" más veces al día que los nombres de mis hijos, así que con toda la gente inteligente que vive y respira la detección de amenazas y la respuesta por aquí - debe haber algo que hacer. ¿Qué tiene que ver exactamente la cloud híbrida con el futuro de la ciberseguridad en el comercio minorista? Bueno, es el mundo en el que vivimos y el que los equipos de seguridad se enfrentan ahora al reto de defender.
Gartner lo define como "aprovisionamiento, uso y gestión de servicios basados en políticas y coordinados a través de una mezcla de servicios cloud internos y externos". De lo que se trata es de que los minoristas (o en realidad cualquier organización) operan ahora en entornos en los que cloud pública, SaaS, identidad, red, puntos finales y todo lo demás se conecta y trabaja conjuntamente: la red está en todas partes. Es cómoda, rápida, eficiente, siempre disponible y una de las principales razones de la expansión de la superficie de ataque, o una pista de baile más grande para que los ciberatacantes muestren sus últimos movimientos. De hecho, Gartner enumeró la "expansión de la superficie de ataque" como la tendencia número uno en ciberseguridad este año, afirmando que "deja a las organizaciones más vulnerables a los ataques".
Las organizaciones no sólo son más vulnerables debido a la ampliación de la superficie, sino que Kevin Kennedy, vicepresidente senior de productos de Vectra, señala en un blog reciente que los equipos de seguridad operan ahora en una "espiral de más".
- Una mayor exposición de la superficie de ataque implica más herramientas, lo que significa más complejidad.
- Más atacantes evasivos significan más reglas, lo que significa más alertas y más ajustes.
- Más reglas de alerta que ajustar y mantener significa más analistas, más trabajo y más agotamiento.
Los equipos de seguridad, ahora encargados de "más", tienen que defenderse de amenazas que no saben que existen en sus redes. Amenazas desconocidas causadas por el "más" al que se enfrentan cada día en el SOC. ¿Es la amenaza desconocida el mayor riesgo de ciberseguridad al que se enfrentan las organizaciones hoy en día? Nosotros creemos que sí.
¿Qué significan estas incógnitas para las empresas minoristas (o para cualquier empresa)? Bueno, como señala Kevin, "las amenazas desconocidas, ya sean cloud, tomas de control de cuentas o ataques a la cadena de suministro, simplemente tienen más formas de infiltrarse y moverse lateralmente dentro de una organización". Así que, mientras los ciberatacantes idean planes para escabullirse con la valiosa información personal de los clientes, ahora tienen más formas de entrar, más formas de esconderse una vez dentro y, a su vez, crean más trabajo y retos para los equipos de seguridad.
¿Qué contramedidas de ciberseguridad pueden adoptar los equipos de seguridad del comercio minorista?
Dos recursos comúnmente citados en torno a Vectra son MITRE ATT&CK y MITRE D3FEND como herramientas valiosas que los profesionales de la seguridad pueden utilizar para ayudarles a entender lo que hacen los atacantes durante un ataque(ATT&CK), y las contramedidas(D3FEND) que se pueden utilizar para hacer frente a las técnicas de ataque. Por ejemplo, las detecciones de Vectra en cloud pública, SaaS, identidad y redes se asignan a MITRE ATT&CK para ayudar a los equipos de seguridad a debatir y presentar los resultados de las investigaciones. MITRE parece ser un recurso inteligente para los responsables de seguridad, pero ¿cómo pueden los proveedores ayudar también a los equipos minoristas a anticiparse al próximo ataque?
Dado que el déficit mundial de competencias en ciberseguridad asciende ahora a la alarmante cifra de 3,4 millones de personas, existe una limitación evidente en cuanto a los recursos de seguridad disponibles, especialmente en la era de cloud híbrida. Un déficit de cualificación significa que hay más trabajo que hacer con menos gente: ¿quizás es aquí donde el sector de la seguridad puede echar una mano? Uno de los catalizadores de las incógnitas sigue siendo la cantidad de trabajo a la que se enfrentan los equipos de seguridad y gran parte de ella es tener que ajustar constantemente las alertas de seguridad para mitigar los falsos positivos que no hacen más que generar más trabajo. ¿Tiene que ser así?
Depende en gran medida de cómo pueda gestionar las distintas responsabilidades de seguridad y de si dispone de recursos propios o necesita formas de aumentar parte del trabajo. Este es otro tema de conversación por aquí, concretamente entre el equipo de Vectra MDR, donde nuestros expertos en seguridad trabajan junto a clientes que aumentan su equipo de seguridad interno con recursos adicionales. Los clientes minoristas utilizan Vectra MDR por diferentes razones, dependiendo de la naturaleza de su entorno, para ayudar a abordar retos como la escasez de personal cualificado, el agotamiento de los analistas, la caza y la investigación o la optimización de la plataforma Vectra , lo que en última instancia permite a los clientes compartir la responsabilidad con Vectra.
Recientemente documentamos un escenario con uno de nuestros clientes minoristas, una empresa Global 2000 que se enfrentaba a crecientes desafíos de visibilidad de amenazas debido a diversas complejidades de cloud , específicamente con Microsoft 365. En este caso, desplegaron la plataforma Vectra aprovechando la Attack Signal Intelligence basada en IA para gestionar las amenazas urgentes, pero con un pequeño equipo de seguridad a mano decidieron aprovechar Vectra MDR para asegurarse de que tienen los recursos para la cobertura de amenazas 24/7/365.
"Tenemos un equipo de tres personas, principalmente vigilantes de seguridad, que investigan o hacen un seguimiento de las detecciones y alertas. También utilizamos los servicios MDR de Vectra , que ayudan mucho al proporcionar un conjunto de personas cualificadas que investigan las cosas con una gran perspectiva de cliente". - Jefe de seguridad informática.
Este equipo conocía los riesgos y sabía lo que podía hacer por sí solo, por lo que actuó en consecuencia, pero por cada empresa como este minorista puede haber el doble que no tenga las respuestas. ¿Los equipos de seguridad del sector minorista lo tienen peor que los de otros sectores? No sé si se podría cuantificar, pero parece que hay mucho que hacer si uno se enfrenta a ello en solitario. El 80% (263 millones de personas ) de la población estadounidense compra por Internet y puedo dar fe de la naturaleza exigente de los consumidores: todavía no entiendo cómo mis nuevas gafas de sol tardaron más de una semana en llegar.
Dejando a un lado la gratificación instantánea, los equipos de seguridad del sector minorista tienen temas más urgentes en la cabeza. Los retos no van a desaparecer, especialmente en la cloud. El informe de IBM Cost of Data Breach 2022 cita que casi la mitad (45%) de todas las filtraciones de datos se producen en la cloud. Ese mismo informe cita que la IA y la automatización ofrecen el mayor ahorro de costes, afirmando que "las organizaciones que tenían un programa de IA y automatización totalmente desplegado fueron capaces de identificar y contener una brecha 28 días más rápido que las que no lo tenían". No solo nos dirigimos hacia una era en la que la inteligencia humana y la inteligencia artificial pueden trabajar juntas para superar grandes retos, sino que ya estamos ahí. La buena noticia para los equipos de seguridad del sector minorista es que cuando los atacantes atacan sus datos cloud o sus entornos SaaS, ahora tienen formas de saberlo.
Obtenga más información sobre cómo Vectra MDR y Vectra Attack Signal Intelligence pueden ayudarle a detener amenazas desconocidas en cloud híbrida.