Construyendo una protección educada frente a amenazas: conoce a tu enemigo, tu campo de batalla y a ti mismo
Publicado: 2021-12-28
En el panorama reciente de amenazas cibernéticas, comprender de dónde podrían provenir los posibles ataques y cómo podrían afectar a su empresa es más importante que nunca.
El ciberdelito a nivel mundial ha crecido hasta generar un arrastre de alrededor de un billón de dólares en la economía mundial, una cifra más alta que el PIB de Bélgica.
Con las empresas digitalizando la gran mayoría de sus datos y procedimientos, toda esa propiedad electrónica presenta ahora una posibilidad concentrada que tiene una superficie de ataque más grande que nunca.
La productividad, la comodidad y el rendimiento han sido los impulsores de la revolución electrónica, dando forma a un mundo en el que todos estamos interconectados y la web se combina a la perfección con la de fuera de línea. El ataque del ransomware a los oleoductos coloniales a principios de este año fue un claro recordatorio de cómo un ataque cibernético puede tener un impacto en el planeta al tener fuera la fuente de gasolina en la costa este de los Estados Unidos.
Los gurús de la seguridad han advertido recientemente que los piratas informáticos podrían concentrarse en los marcapasos, las bombas de insulina o los automóviles conectados. Los puntos finales se vuelven cada vez más diversos y dispersos. Ya no son solo PC y servidores, sino también teléfonos, cámaras, alternativas de HVAC, impresoras, relojes, parlantes inteligentes y mucho más. El riesgo de ransomware ahora es endémico. Y el aumento de las criptomonedas ha presentado los medios para que los ciberdelincuentes realicen transacciones anónimas y sin riesgos.
Todo esto tomado en conjunto ha hecho probable un ecosistema de peligro catastrófico. Los ataques cibernéticos son cada vez más difíciles de recuperar y tienen repercusiones aún mayores. las empresas deberán volverse más inteligentes y actuar con mayor rapidez para hacer frente de manera proactiva a las amenazas con las que están luchando.
La inversión en tecnologías de seguridad no es suficiente. Actualmente hemos observado un despertar de 'asumir incumplimiento' entre las empresas: una transformación en la dirección de aumentar las capacidades de respuesta y recuperación además de los planes regulares de protección cibernética. Al ser conscientes de que un asalto no es un tema de 'si', sino de 'cuándo', las organizaciones deben tener planes confiables de reacción ante incidentes, gestión de crisis y recuperación ante desastres.
Es imperativo estar en condiciones de determinar, proteger, detectar, reaccionar y mejorar frente a las amenazas: estas capacidades son los bloques de configuración de un sistema integral de resiliencia cibernética. Pero la resiliencia cibernética también se trata de disminuir la amenaza: comprender qué actividades de seguridad cibernética tendrían los efectos más significativos en su negocio y priorizar sus medidas de protección de manera adecuada. Debe tener un muy buen conocimiento de sus posibles atacantes y sus técnicas para establecer un plan de seguridad dependiente de amenazas y con conocimiento de amenazas.
Sé un campo de batalla cibernético listo
El azar es una función de probabilidad y efectos adversos. Una función que es muy probable que se materialice, pero tiene efectos mínimos, ofrece un total de posibilidades considerablemente menor que una función que no es probable, pero que conduciría a una lesión principal.
En consecuencia, las empresas quieren evaluar, en primer lugar, cuáles de sus propiedades tienen la mayor probabilidad de ser atacadas y, en segundo lugar, qué valor tienen estos activos para ellas. Solo puede reconocer totalmente su área explotable si comprende la probabilidad de ser atacado mediante el uso de un vector de ataque individual. Estudiar a su adversario y cómo corre es, por lo tanto, una parte crucial de este enfoque basado en amenazas.
Necesitarás conocer a tu enemigo, tu campo de batalla y por tu cuenta. Las empresas deben tener que analizar con cautela su stock individual (información, métodos y personas en su campo de batalla), la comunidad y sus atacantes potenciales.
Darse cuenta del enemigo es la sección más difícil. ¿Quiénes son los actores de peligro que están fascinados en su empresa y por qué lo ven como un objetivo llamativo? ¿Cuáles son sus motivaciones y objetivos? ¿Cómo hacen el trabajo? ¿Qué métodos, enfoques y tratamientos (TTP) utilizan y cómo se aplican a su entorno natural individual? ¿Exactamente dónde atacarían más probablemente y cómo comprometerían su negocio o sus consumidores?
Una vez que una organización ha adquirido este conocimiento profundo, puede decidir sobre las prioridades modificadas por amenazas para los controles e inversiones de seguridad correctos. Anticipar lo que podría hacer el atacante ayudará a identificar brechas en sus defensas y ayudará a decidir el lugar para aumentar la seguridad. Por el contrario, es extremadamente difícil crear un software productivo de resiliencia cibernética si nunca comprende los métodos que los atacantes utilizarán en su contra.
Tomar una postura ofensiva comienza con entender a tu enemigo
Entonces, ¿cómo hace para identificar y familiarizarse con su posible atacante? Las herramientas de Threat Intelligence generalmente aseguran brindar las soluciones, pero cuando pueden desempeñar una parte crítica en cualquier sistema de seguridad, eventualmente son respuestas reactivas basadas principalmente en indicadores de compromiso. Tienden a contener demasiada información sin filtrar, con indicadores de amenazas que cambian constantemente. Por otro lado, estudiar los TTP de un adversario debe ser un curso de acción proactivo y específico. Afortunadamente, hay una serie de recursos de código abierto accesibles para ayudar a las corporaciones a comprender cómo operan los actores de amenazas.
Las bases de datos MITRE ATT&CK son una buena posición de partida, ya que son una biblioteca bastante accesible de formas y estrategias adversarias reconocidas. Incluye detalles sobre la conducta de los ciberadversarios, reflejando las diferentes fases del ciclo de vida de un ataque y las plataformas a las que se sabe que apuntan, y ofrece un marco que comúnmente utilizan los cazadores de peligros, los equipos rojos y los defensores para clasificar y evaluar los ataques.
El ThaiCERT ofrece una enciclopedia útil diferente de los actores de peligro. Sin embargo, no existe un inventario único e integral de todos los atacantes, y los adversarios a menudo pueden funcionar bajo diferentes formas.
Para obtener algunos de los conocimientos más actualizados, los proveedores de protección monitorean a los actores y publican esta información. Por ejemplo, los perfiles de amenazas se ofrecen sin costo en el foro de discusión cibernética de administración de peligros de Datto, donde su equipo de administración de amenazas comparte perfiles de peligro, firmas y detalles sobre amenazas que se concentran en la comunidad local de MSP y sus clientes SMB. La mayoría de los perfiles adicionales recientemente involucran al equipo de piratas informáticos patrocinado por el estado ruso APT29, también conocido como Cozy Bear y Darkish Halo, los familiares de LockBit del ransomware y el infame grupo de ciberdelincuencia Wizard Spider.
Todos y cada uno de los perfiles incluyen una descripción general de los actores, sus motivos, TTP, mitigaciones o defensas factibles, opciones de detección y activos adicionales. Los científicos también mapearon a los actores en el marco MITRE ATT&CK y CIS Vital Protection Safeguards para que la información sea fácilmente procesable.
Coloque a los ciberadversarios en su área: comprenda, priorice, proteja, pruebe
Una vez que haya obtenido la información necesaria sobre qué actores de riesgo podrían estar al acecho, simular sus métodos lo ayudará a descubrir dónde tiene la mayor oportunidad de exposición en su empresa, y qué puede hacer para mitigar este riesgo. Mediante la ingeniería inversa de sus infracciones anteriores, puede priorizar con confianza y llevar a cabo los controles de seguridad más eficientes contra los distintos actores.
Para ayudar a examinar sus configuraciones, hay una gama de herramientas gratuitas de código abierto que emulan adversarios específicos, como Caldera (que aprovecha el producto ATT&CK) o Atomic Pink Group de Pink Canary.
La emulación del adversario se diferencia de las pruebas de penetración y los equipos carmesí en que utiliza un escenario para probar los TTP de un adversario único. ¿Se pueden prevenir o detectar técnicas de personas en su entorno? Es vital probar los conocimientos tecnológicos, los procesos tan bien como las personas para reconocer absolutamente cómo funcionan todas sus defensas juntas. Repite este sistema hasta que finalmente estés preparado para ganar la batalla contra este adversario.
Las pymes deben hacer esto como mínimo cada año calendario o cada vez que haya una nueva amenaza principal, corporaciones mucho más grandes y MSP trimestralmente, aunque para las empresas, un programa de defensa informado sobre amenazas es un esfuerzo continuo y un trabajo arduo.
Además, cualquier empresa debe cumplir con los controles de seguridad vitales de CIS, como mínimo, dedicando suficiente tiempo a los controles del Grupo de implementación 1 (IG1) para la limpieza cibernética crucial.
El factor principal es simplemente empezar. No hay necesidad de sentirse confundido por la empresa. Comience con una evaluación de hoyo movimiento por acción hacia CIS IG1: Incluso invertir una hora cada 7 días en una solución basada en riesgos y amenazas ayudará a aumentar su estabilidad general.
Un buen conocimiento de los actores pobres en el perfil de riesgo de una empresa es vital para configurar un software de seguridad educado en amenazas productivo que asegure la resiliencia cibernética. A medida que las empresas comiencen a sentirse más como piratas informáticos, estarán listas para tomar mejores decisiones informadas sobre riesgos y estarán mejor equipadas para protegerse por sí mismas.
Ryan Weeks, CISO, Datto