Como profesionales de la seguridad de la información debemos implementar controles que nos ayuden a ser proactivos, revisarlos constantemente, mejorarlos, probarlos, con el objetivo de minimizar al máximo el impacto que pudiera tener que un riesgo se vuelva una realidad.
Cuando se habla del tema de ciberseguridad, la prevención sigue siendo la estrategia eficaz. No sólo se trata de ahorros en costos, es la posibilidad de eludir cualquier intento de ataque. No tomar las acciones necesarias le ha costado a muchas organizaciones más que la pérdida de dinero. De ahí la conveniencia de revisar las principales tendencias en ciberseguridad.
1.- Ataques Ransomware.
El Ransomware se ha convertido en el método más utilizado por ciber delincuentes para obtener ingresos y con ellos, financiar sus organizaciones, estados, etc.
Esto, debido a que es difícil rastrear el pago que las empresas realizan, pero también debido a que el monto solicitado regularmente es grande, y en algunos países la ley tiene vacíos por los cuales es difícil que estos actos ilícitos tengan consecuencias.
Hemos descubierto que antes de cifrar los datos, los atacantes obtienen y ex filtran datos sensibles, confidenciales y de algo valor para las empresas, con el objetivo de asegurar el pago del rescate, ya que la mayoría de las empresas que se han negado a pagar por el descifrador, han reportado que se pierde más tiempo, recursos humanos y tecnológicos en recuperarse, que si hubieran pagado y los datos cifrados hubieran sido descifrados.
Esto lo logran sin arriesgarse y con alta efectividad utilizando servicios como Ransomware as a service (RaaS).
2.- Protección al trabajo remoto.
La seguridad en el trabajo remoto es otro de los retos a afrontar, de acuerdo a Gartner, "la cantidad de incidentes internos ha aumentado en 47% en solo dos años, y los empleados tienen 85% más de probabilidades de filtrar archivos ahora que antes de la pandemia".
Salvaguardar la información crítica de toda organización debe ser lo más importante. Se trata de ser proactivo, a través de la combinación correcta de políticas, capacitación, sistemas y supervisión.
En este sentido se vuelve de suma importancia asegurar que los usuarios remotos sean habilitados de tal manera que cumplan con los requerimientos mínimos de seguridad establecidos por las organizaciones, y ayuden a su cumplimiento. Particularmente se ha hecho énfasis en la estrategia de Zero Trust y soluciones SASE y MFA.
3.- Seguridad en Cloud
Es un hecho que las organizaciones deben mantenerse resilientes, ante la adopción y crecimiento de aplicaciones desplegadas en las distintas nubes públicas y/o privadas, ya que los actores maliciosos aprovechan la expansión de la superficie de ataque.
Las tácticas son tan importantes como las herramientas y el talento. De ahí la importancia de extender al Cloud los resultados exitosos en las operaciones de seguridad (SecOps) que basan en la tríada: personas, procesos y tecnología.
Para gestionar eficazmente el ciclo de vida de detección, investigación y respuesta de amenazas (TDR), es necesario establecer los resultados deseados, las acciones a seguir para lograrlos y asignar las herramientas, técnicas y procedimientos específicos.
La gestión de permisos en la nube es un tema que está cobrando relevancia como parte de los esfuerzos de seguridad en Cloud. Básicamente es el enfoque de confianza cero para los accesos (también conocidos como permisos) que los empleados, contratistas y socios de una organización tienen para sus activos en la nube.
Otro aspecto primordial de la seguridad en Cloud son los controles de seguridad aplicados a la infraestructura, aplicaciones y usuarios de la misma manera que los existentes en la infraestructura On Prem.
4.- Seguridad en DNS
No se está prestando suficiente atención a los DNS siendo que en los DNSaaS -DNS as a Service- (como R53, GCP, etc.), se puede obtener información sensible, pues para utilizar estos servicios se deben de agregar ciertos name servers pertenecientes a los proveedores de servicio DNS administrado.
Los proveedores de servicio DNS administrado, no están incluyendo en un blacklist sus propios servidores DNS en los blackend. Se ha visto que luego de 14 horas de pruebas, se logra obtener las actualizaciones DNS de más de 15,000 organizaciones, incluyendo 130 agencias gubernamentales y muchas compañías del Fortune 500, dentro de los datos obtenidos, se encontraron IPs internas y externas de cada sistema, nombres de computadoras y hasta nombres de empleados.
5. Amenazas internas y Brechas
En los últimos informes respecto a las brechas de datos señalan un aumento de las amenazas internas a lo largo de los años. Una serie de encuestas han revelado que más de la mitad de los encuestados han experimentado ataques internos más de 20 veces en un año.
Lo preocupante es que la mayoría de las empresas admiten que se sienten vulnerables, y que no cuentan con las herramientas necesarias para poder detectar dónde o cuándo podrían originarse estos ataques.
Un factor clave en una estrategia de seguridad es convertir a los usuarios no capacitados en aliados, a través de una educación en ciberseguridad que les permita reconocer las posibles amenazas.
Conclusión
La prevención siempre será lo más prudente y eficaz para las organizaciones. Más allá de los ahorros en costos, lo más valioso es la posibilidad de eludir un ataque interno, o cualquier intento de ataque cibernético tanto para la infraestructura y aplicaciones On prem y/o en Cloud.
Como profesionales de la seguridad de la información debemos implementar controles que nos ayuden a ser proactivos, revisarlos constantemente, mejorarlos, probarlos, con el objetivo de minimizar al máximo el impacto que pudiera tener que un riesgo se vuelva una realidad.
Es fundamental que incluyamos la seguridad desde un inicio, desde que diseñamos, para poder anticipar y actuar a tiempo. El contar con planes de acción para determinadas circunstancias, respaldos, planes de continuidad de negocio, puede ser la diferencia entre enfrentar un problema por unas horas o desaparecer del mercado.