Defensa física / ciberseguridad: despertar a la realidad del ataque híbrido

Para empezar, hazme un favor y busca en Google “ataques híbridos”.

Cybrary define un ataque híbrido como “una combinación de un método de ataque de diccionario y un ataque de fuerza bruta. Esto significa que, si bien un método de ataque de diccionario incluiría una lista de palabras de contraseñas, el ataque de fuerza bruta se aplicaría a cada posible contraseña de esa lista «.

¿Estás de acuerdo? ¿Qué significa realmente híbrido cuando se trata de seguridad? Físico, cibernético, información, datos, red, etc., todo es solo seguridad al final del día … ¿no es así? Me gustaría abordar la enorme brecha entre los ataques físicos y los ciberataques y la convergencia entre los dos.

Las brechas de seguridad cibernética se están volviendo más comunes que nunca. Dado que la brecha promedio cuesta US $ 3,62 millones en daños, no es de extrañar que las empresas globales estén luchando para proteger sus redes y evitar que los atacantes obtengan acceso a sus activos digitales. Los ataques de ciberseguridad son cada vez más sofisticados, y los atacantes pueden piratear, escuchar a escondidas, suplantar y diseñar socialmente su camino hacia valiosos datos corporativos y de clientes. Si bien los incidentes de piratería digital van en aumento, muchos profesionales de TI han perdido el enfoque en el método probado y verdadero de atacar la seguridad física.

Una organización puede implementar todos los IDS, SIEM y antivirus que desee, pero un firewall no lo hará.
evitar que alguien derribe tu puerta a patadas.

¿Cómo pueden los ataques físicos desmantelar la ciberseguridad y los controles digitales?

Los líderes de la industria han estado diciendo durante años que el acceso físico siempre triunfará sobre los controles digitales; en otras palabras, una vez que un atacante tenga acceso físico a sus dispositivos, se acabó el juego. A pesar de estos recordatorios continuos, la seguridad física es a menudo una de las áreas más descuidadas en una defensa por lo demás sólida.

A continuación, se muestran algunos ejemplos comunes de cómo los vectores de amenazas físicas pueden comprometer la seguridad digital:

* Una unidad USB infectada se coloca en un estacionamiento, vestíbulo, etc., que un empleado recoge y carga en la red.

* Un atacante irrumpe en una sala de servidores e instala dispositivos fraudulentos que capturan datos confidenciales.

* La línea de conexión a Internet es accesible desde el exterior del edificio, lo que permite a un atacante interceptar datos o cortar la línea por completo.

* Un atacante finge ser un empleado y cuenta con la cortesía de un empleado real para sostenerle la puerta cuando entran juntos.

* Un actor interno mira por encima del hombro de un ingeniero de sistemas mientras escribe credenciales administrativas en un sistema.

En 2017, el número total de violaciones de datos en los Estados Unidos alcanzó un nuevo récord de 1,579 incidentes que abarcan 171 millones de registros en conjunto, según el Centro de recursos de robo de identidad. Este número representa un aumento en la ocurrencia del 44.7 por ciento en comparación con 2016, y se prevé que las ocurrencias aumenten un 20 por ciento interanual. No todas estas infracciones utilizaron un vector de ataque físico, pero un número significativo lo hizo, y a medida que la cantidad de infracciones aumenta cada vez más, también lo hace la cantidad de ataques que aprovechan una vulnerabilidad física para ejecutar el delito.

¿Cómo pueden las debilidades de la ciberseguridad permitir ataques físicos?

En los ataques más tortuosos, los ciberdelincuentes realizarán trabajos de reconocimiento y preparación en el frente digital antes de pasar a cerrar el ataque en persona. En lugar de intentar obtener acceso completo al sistema, es posible que un atacante solo desee abrir algunos agujeros estratégicos para permitir un asalto físico. Si bien las películas de acción se equivocan en muchas cosas, el tropo de un pirata informático en una camioneta que apaga la red mientras su amigo irrumpe en el edificio no es del todo inexacto.

Los siguientes son ejemplos de cómo las vulnerabilidades cibernéticas pueden debilitar una defensa física o tener efectos reales.
efectos mundiales:

* El atacante apaga las cámaras de seguridad conectadas a Internet, lo que permite que un robo no sea detectado, elimina las imágenes, etc.

* El sistema de acceso con tarjeta de acceso a Internet está comprometido, lo que permite que un atacante otorgue o elimine el acceso físico al edificio.

* Los sistemas de fabricación conectados a la red pueden ser atacados y apagados, provocando una pérdida de productividad o un incidente de seguridad.

* El malware con uso intensivo de la CPU se puede cargar en un clúster de servidores que aumenta el consumo de energía, lo que resulta en sobrecalentamiento, caídas de voltaje o una pérdida total de energía.

* El ransomware en la red de un hospital puede evitar que los médicos accedan a los registros de los pacientes y brinden la atención necesaria.

Todo lo anterior tiene un costo directo o indirecto para cualquier organización a través de:
* Robo o pérdida de datos de misión crítica o propiedad intelectual
* Impacto del tiempo de inactividad en la productividad organizacional
* Daños a equipos y otros activos
* Costo para detectar y remediar sistemas y procesos comerciales centrales.
* Impacto legal y regulatorio, incluido el costo de la defensa en litigios
* Pérdida de confianza y confianza entre las partes interesadas clave
* Deterioro de la marca y la reputación del mercado.

La creciente prevalencia de un enfoque unificado de seguridad

¿Por qué un profesional de la seguridad debería centrarse en el lado físico cuando las amenazas actuales provienen de un puerto de red en lugar de la puerta de entrada? Es cierto que una cantidad significativa de ciberataques se realizan completamente en línea sin que un atacante ponga un pie en la oficina, pero también es cierto que algunos atacantes sofisticados dejarán la computadora portátil a un lado en favor de una palanca.

El Instituto SANS afirma que en los últimos años, aproximadamente 74,000 empleados, contratistas y proveedores se vieron afectados por una violación de datos debido al robo de computadoras portátiles de la empresa con información confidencial, y en cada caso, el valor del activo físico no fue la única pérdida. sino más bien los datos, que normalmente no están cifrados. El robo no va a desaparecer en el corto plazo, y con la fuerza laboral actual cada vez más móvil, la cantidad de dispositivos fácilmente robados seguirá aumentando.

Las debilidades físicas siempre existirán. Los ciberdelincuentes inteligentes verán que las organizaciones se apresuran a proteger sus frentes digitales mientras se olvidan de las fallas en sus puertas, ventanas, cámaras y guardias de seguridad. Los ladrones cibernéticos de hoy están utilizando todas las estrategias posibles para robar más datos y causar más destrucción que nunca. Las organizaciones harán bien en recordar su seguridad en el mundo real además de sus esfuerzos en el frente digital. Dado que el acceso físico es la carta de triunfo que supera a todos los controles de red,
Los administradores de seguridad deben mirar más allá de sus enrutadores, firewalls y granjas de servidores para ver las puertas, vallas, luces y sistemas clave que a menudo se ignoran y explotan.

Si su organización ha sufrido violaciones de datos y solo ha lanzado más software, VLAN y reglas de firewall al problema, está haciendo un flaco favor a sus empleados y clientes. Es hora de mirar ambos vectores de ataque y pensar en cómo podemos cerrar la brecha en los ataques híbridos. Revise su arquitectura actual y dé un nuevo vistazo: solo después de haber evaluado adecuadamente su seguridad física y digital, podrá asegurar a sus clientes con confianza que sigue comprometido con la protección.
de su información.

Contribuido por Nick Maxwell, GM, Reino Unido / MEA y Australia, Ava Security.