Sería una subestimación extrema decir que 2020 ha sido un año difícil. En muchos sentidos, será el año decisivo que marcará un cambio repentino en una sociedad global por varias razones. Lo que está al otro lado de ese cambio aún no está claro.
Lo que está claro es que el viaje en el que todos estamos es desafiante de muchas maneras, pero a través de él, todos nos volveremos más fuertes. Es comparable con el viaje de una oruga, un símbolo literario clásico de evolución y transformación, que atraviesa un período de cambio (y confinamiento) extrañamente similar antes de transformarse en algo nuevo.
Esperamos que esta publicación ayude a proporcionar una guía sobre cómo los profesionales de la seguridad pueden adaptarse a los cambios que enfrentan al ingresar y, finalmente, volver a emerger de sus capullos.
Indice
Phase Zero – los tiempos anteriores
Esta fase es simplemente el status quo que estábamos experimentando antes de que una pandemia global desarraigara nuestra forma de hacer las cosas. La fase cero, en este sentido, probablemente comenzó en la década de 1970 cuando Bob Thomas escribió Creeper, el primer virus informático. Desde entonces, hemos visto oleadas sucesivas de nuevas tecnologías seguidas de controles de seguridad para ayudar a evitar que se abuse de esas tecnologías con fines nocivos.
A lo largo de los años, estos controles de seguridad y las mejores prácticas han incluido el uso de firewalls, antivirus, detección y respuesta de endpoints (EDR), sistemas de prevención de intrusiones (IPS), proxies web, autenticación, monitorización de cuentas privilegiadas (PAM), información de seguridad. y monitoreo de eventos (SIEM) y más.
En resumen, Phase Zero fue una época relativamente próspera en la que los equipos de seguridad disfrutaron de una visibilidad cada vez mayor en la C-suite , y sus presupuestos aumentaron para reflejar esa visibilidad.
Fase 1: reaccionar y responder
Cuando comenzó la pandemia de COVID-19, el mundo experimentó un cambio sin precedentes. Este cambio se sintió profundamente de varias maneras, pero un punto importante relacionado con esta conversación fue el cambio repentino e inesperado del personal corporativo al trabajo completamente remoto, si es posible. Esto presentó a los equipos de TI y a los profesionales de la seguridad una serie de desafíos que superar y poco tiempo para hacerlo.
La fase 1 se trata de comprender qué ha cambiado y cómo reaccionar. Algunos de los desafíos comunes que enfrentan los equipos de seguridad mientras buscaban adaptarse a estas nuevas circunstancias pueden incluir los temas que se enumeran a continuación.
Si aún te encuentras en esta fase, hemos preparado los siguientes recursos para ayudarte a navegar por algunos de los principales desafíos con los que probablemente te enfrentas:
Suplantación de identidad
No es que el phishing haya aumentado per se, es que el phishing cambió su «cebo» mediante el uso de campañas relacionadas con COVID-19 que explotaron la inquietud y el miedo de la situación.
En el rápido cambio hacia una fuerza laboral completamente remota, los líderes de seguridad deben encontrar un equilibrio entre la productividad y la seguridad.
Desafortunadamente, al mismo tiempo, la configuración manual de reglas y defensas capaces de manejar estas nuevas condiciones podría llevar semanas. Afortunadamente, algunos enfoques de seguridad, como los que utilizan el aprendizaje automático o el análisis de comportamiento, pueden adaptarse automáticamente a los cambios ambientales de esta nueva estructura de trabajo y, por lo tanto, aliviar el trabajo pesado de los equipos de seguridad.
La ventaja del análisis de comportamiento es su capacidad para establecer una línea de base de la actividad normal de los usuarios y las máquinas en una organización y luego encontrar automáticamente desviaciones de esa actividad normal que puedan indicar un compromiso.
Desafíos de VPN
Incluso antes de la pandemia de COVID-19, VPN era una tecnología esencial. Sin embargo, con el cambio repentino a fuerzas de trabajo completamente remotas, la infraestructura de VPN se vio repentinamente sujeta a un nivel de uso nunca antes visto.
Existen vulnerabilidades en las VPN. Estas lagunas de VPN permiten a los atacantes recuperar datos corporativos confidenciales, incluidas las credenciales de autenticación. Los adversarios pueden usar estas credenciales robadas para conectarse a la VPN y cambiar los ajustes de configuración, o conectarse a otros recursos internos. Las conexiones no autorizadas a una VPN también pueden proporcionar al atacante los privilegios necesarios para ejecutar exploits.
Software malicioso
El malware siempre es un problema. Sin embargo, en un mundo COVID-19, los empleados a menudo se encuentran en situaciones en las que deben aprender a hacer su trabajo utilizando nuevas herramientas y programas debido a la naturaleza remota de su entorno de trabajo actual. Esto presenta amplias oportunidades para que los delincuentes creen malware disfrazado de herramientas de productividad.
Si bien la detección e investigación de hosts infectados con malware es una tarea común para los equipos de operaciones de TI, hoy en día, es fundamental para la empresa fortalecer esta práctica y mejorar su postura de seguridad.
Inicios de sesión fraudulentos
Con la fuerza laboral repentinamente remota y los piratas informáticos que continúan su búsqueda de credenciales para usar en sus exploits, los inicios de sesión fraudulentos son un área a la que se debe prestar especial atención.
Ayudar a los usuarios finales a mantenerse protegidos
Con todos estos controles de seguridad implementados, existe otro eslabón débil potencial en tu programa de seguridad que necesita ser actualizado: tu personal.
El negocio ya no es «como de costumbre», y con el cambio en el entorno de trabajo, la tecnología en juego, las amenazas a las que se somete y una gran cantidad de otras cosas que se lanzan a los empleados, es imperativo que ayudemos a nuestros usuarios también en esta transición.
Administrar un SOC remoto
Hemos cubierto los controles de seguridad y la educación para los usuarios finales, ahora debemos centrar nuestra atención en el SOC en sí. En muchas empresas, el personal de SOC también trabaja de forma remota.
En las últimas semanas, los eventos globales han experimentado un gran cambio hacia el trabajo desde casa, tanto para los empleados como para el personal de operaciones de seguridad. Equilibrar las necesidades comerciales con la seguridad y la gestión de riesgos en el clima actual presenta desafíos de detección y respuesta sin precedentes para los equipos de SOC recientemente distribuidos.
Tanto como profesionales de la seguridad como en general como seres humanos, la fase 1 nos vio agachándonos en busca de refugio para capear la tormenta de cambio que la pandemia nos arrojó.
Fase 2: redirigir a nuevas realidades
Esta fase se caracteriza por «grandes intentos de reducción de costes para compensar la escasez de ingresos». Para los equipos de seguridad, esto se traduce en la priorización de proyectos de seguridad y la búsqueda de rentabilidad.
La seguridad tendrá que ajustarse el cinturón al igual que todos los demás. En los últimos años, los presupuestos corporativos de ciberseguridad a menudo se protegieron de los recortes en otras áreas comerciales, pero esto probablemente cambiará para algunas empresas.
Si te encuentras en esta fase, hemos preparado algunos consejos que pueden ayudarte a hacer más con menos:
Optimiza tus costes de inicio de sesión
Durante años, SIEM ha sido un drenaje para los presupuestos debido a su uso de modelos de precios basados en el volumen. Hoy en día hay varios proveedores que ofrecen modelos de precios alternativos que son planos o al menos predecibles.
Cambiar parte o todo tu registro a un coste menor o un SIEM o plataforma de registro más predecible es una excelente manera de liberar dinero para otros proyectos de seguridad.
Identificar y minimizar la superposición de productos de seguridad
A medida que los equipos de seguridad crecen y evolucionan, es posible que se encuentren en una situación en la que tengan que administrar docenas de productos específicos.
La administración de muchas herramientas no solo consume recursos, sino que, a menudo, el alcance de varias herramientas se superpone; lo que significa que hay múltiples capas de ineficiencia en efecto. Cuando los presupuestos son ajustados, reducir la redundancia puede ser una excelente manera de liberar recursos.
Incrementar la productividad del personal existente
Si bien esta recomendación no ayuda a reducir los presupuestos directamente, puede aliviar la necesidad de contratar nuevos analistas al sacar más provecho de su equipo existente. Esto, a su vez, puede reducir la necesidad de nuevos recuentos de personal, que pueden ser una parte importante del presupuesto de seguridad.
Varias herramientas pueden ayudar a aumentar la productividad, incluido el análisis de entidades de comportamiento y usuarios (UEBA) y la orquestación, automatización y respuesta de seguridad (SOAR).
UEBA combina datos de todas las fuentes de datos contextuales y de seguridad para determinar el comportamiento normal de todos los usuarios y máquinas en una red. Una vez que se alcanza una línea de base de comportamiento, UEBA identificará la actividad de alto riesgo y le asignará una puntuación de riesgo.
Este enfoque proporciona varias mejoras de productividad:
- Reducción de la sobrecarga de mantenimiento porque se sintoniza solo (no más simulaciones con las reglas de correlación).
- La priorización basada en riesgos apunta los esfuerzos de los analistas directamente a los usuarios y dispositivos que exhiben el comportamiento más inusual. Esto puede enfocar su atención donde más se necesita.
- La creación de una línea de tiempo de incidentes construida por máquina puede automatizar los pasos manuales de recopilación de pruebas.
Las herramientas SOAR proporcionan más multiplicadores de fuerza para los equipos SOC mediante el uso de conectores prediseñados y guías de respuesta para automatizar los flujos de trabajo de respuesta a incidentes. Con SOAR, los analistas de todos los niveles pueden responder rápidamente a los incidentes con solo hacer clic en un botón.
Fase 3: rebote hacia el futuro
La fase 3 se trata de hacer ajustes en el negocio que lo preparen para el futuro. Incluso antes de la pandemia, la fuerza laboral se estaba trasladando a la nube, pero el cambio repentino a una fuerza laboral completamente remota le dio a esta transformación digital un proverbial golpe en el brazo.
Los CIO esperan reducir su combinación de cargas de trabajo locales del 59% en 2019 al 35% en 2021. Después de la pandemia de COVID-19, estos números sin duda aumentarán. Una de las principales formas en que los equipos de seguridad pueden reaccionar a esta tendencia es acelerar la transición de sus controles de seguridad a la nube.
Una conclusión valiosa de la pandemia es que hemos pasado el momento adecuado para adoptar la nube mediante la implementación de estrategias basadas en la nube y nativas de la nube.
Incluso si las personas regresan a la oficina en un futuro cercano, las primeras estrategias en la nube nos preparan para eventos similares en el futuro. Ayudan a los equipos de seguridad a patinar hacia donde va el disco implementando la visibilidad y el control que serán necesarios cuando la mayoría, si no todos, de nuestros servicios comerciales críticos se obtengan de la nube. ¿Por qué no comenzar ahora, ya que estás buscando preparar tu negocio para un mundo posterior al COVID-19?
Fase 4: acelerar las oportunidades
Aquí es donde nos ajustamos por completo a la nueva normalidad de un mundo pospandémico. Queda por ver cómo se verá esto, pero es poco probable que sea como era antes.
Este es un buen momento para revisar tus estrategias y tecnologías de seguridad recientemente implementadas y asegurarte de que coincidan con los requisitos de la nueva normalidad de tu organización.
Antes de la pandemia de COVID-19, éramos empresas devorando herramientas de seguridad y adhiriéndonos a las mejores prácticas. Actualmente estamos en la fase capullo, reconstruyendo a nuestra gente, procesos y tecnología, repensando nuestras estrategias y evaluando nuestras inversiones. Algún día saldremos de este capullo pandémico más fuertes que antes a un mundo nuevo y cambiado que podremos abrazar juntos.