El hackeado y aún por hackear: el incumplimiento de SolarWinds muestra que la detección es clave para reducir el riesgo y el daño

0 103 3 minutos de lectura

Hace varios años, varios líderes de la industria de la seguridad comenzaron declarando que solo hay dos tipos de organizaciones, las que han sido pirateadas y las que aún no lo saben. Firma de analistas de la industria Gartner acordó y poco después comenzó a asesorar a las organizaciones para que construyeran estrategias de seguridad que pudieran responder a este hecho de la vida digital. Recientemente, nos despertamos con la noticia de que FireEye, Vientos solares, Microsoft y posiblemente miles de otras organizaciones del sector público y privado se habían visto comprometidas, recordándonos que Gartner estaba en algo que valía la pena escuchar.

A medida que se desarrolló el incidente, comenzamos a saber que los culpables, sospechosos de ser un actor de amenazas respaldado por Rusia, habían estado en las redes de los tres grandes durante nueve meses antes de ser descubiertos; libre de moverse lateralmente a través de los ecosistemas digitales de las víctimas. ¿Cómo pudo pasar esto? ¿No hemos solucionado el problema de seguridad a estas alturas? Ambas grandes preguntas. Especialmente si se considera que, globalmente, las organizaciones gastan casi $ 125 mil millones anualmente sobre productos y servicios de seguridad y gestión de riesgos, hay más de 2.000 proveedores al servicio del mercado, y capital de riesgo el dinero sigue financiando la innovación en el sector.

Una constante que es demasiado fácil para nosotros olvidar es que cuando se trata de ciberseguridad, las cosas siempre están cambiando. Los adversarios adaptan sus campañas con frecuencia. Cuando los objetivos cierran un espacio, los atacantes abren otro. Una firma antivirus que funcionó un minuto, puede quedar obsoleta al siguiente. Las reglas de firewall que permitían el tráfico correcto en un día podrían terminar permitiendo la entrada de paquetes maliciosos al siguiente. En seguridad, simplemente no hay un dial de «configúrelo y olvídese».

Para mantener un nivel efectivo de defensa, los líderes de seguridad deben permanecer enfocados en sus pilas de tecnología tradicional, pero también deben aceptar la noción de que, tarde o temprano, algo malicioso se infiltrará. Aquellos que compran este concepto saben que el éxito de una seguridad El programa no se puede medir solo por la cantidad de veces que detiene a los malos y las chicas de escalar las paredes, sino también por la rapidez con la que se pueden identificar, cortar y luego purgar aquellos que lo logran.

El compromiso de FireEye, SolarWinds y Microsoft es ciertamente de naturaleza épica, pero de ninguna manera sin precedentes. Cualquiera que haya estado en la industria el tiempo suficiente puede recordar cuando los piratas informáticos solitarios comenzaron a liberar gusanos diseñados para perforar el sistema operativo Windows, la violación de la tarjeta de pago TJX, el incidente de espionaje OMB y el asalto de Equifax, todos al menos iguales en estatura. Sin embargo, lo que muchos pueden haber olvidado pronto es que cada una de estas brechas, y las muchas que llenaron los ciclos de noticias intermedias, tenían algunas cosas en común. En particular, que los atacantes pudieron permanecer tranquilos en los sistemas de las víctimas durante períodos prolongados.

Con frecuencia, los adversarios se detienen en la puerta. Con la ayuda de herramientas y estrategias defensivas modernas, las organizaciones evitan que los ataques se conviertan en infracciones. Las medidas preventivas no deben descartarse, pero los equipos de seguridad y riesgo deben tener cuidado de depender exclusivamente de ellas. Cuando se está en el campo de batalla, que es en lo que se ha convertido esencialmente el paisaje cibernético moderno, se necesitan muros bien fortificados. Es igualmente importante tener la capacidad de detectar y detener a los enemigos que superan las barreras antes de que hagan cosas como detonar un costoso ransomware, robar datos o recopilar inteligencia que podría usarse para ejecutar una incursión más adelante.

En ciberseguridad, la capacidad de ver a un enemigo antes de que pueda infligir demasiado daño es lo que llamamos «detección de amenazas». Muchos defensores capaces son capaces de detectar y neutralizar amenazas antes de que pasen por alto a los guardias. Casi el 100 por ciento de las veces, como señala Gartner, al menos una madriguera, que es todo lo que se necesita para conducir a una brecha catastrófica. Una práctica recomendada es un enfoque por capas (también denominado Defensa en profundidad).

En los días posteriores a la violación de FireEye, SolarWinds y Microsoft, los medios de comunicación, los investigadores de seguridad, los expertos en las redes sociales y una gran cantidad de proveedores de seguridad han contribuido a ayudar al mundo a comprender lo que sucedió, cómo determinar si es «su» organización o no. se ha visto afectado y cómo mitigar los efectos de la infracción. FireEye fue el primero en dar la noticia y comenzar a ofrecer información sobre cómo eliminar a los atacantes de las redes. SolarWinds comenzó inmediatamente a hacer todo lo posible para ayudar a sus clientes a recuperarse. Microsoft ha seguido proporcionando actualizaciones. Incluso nuestro propio equipo de investigación se quemó el aceite de medianoche para proporcionar información relevante y gratuita. inteligencia de amenazas que se puede utilizar para ayudar con los procedimientos de detección. Sin duda, toda organización debería aprovechar su experiencia interna para determinar si el ataque los ha afectado. Todos deberían considerar también aprovechar la asistencia gratuita y abierta disponible, ya que ninguna empresa debería dudar en aceptar ayuda externa si permite ver y eliminar una amenaza más rápidamente antes de que se extienda más a sus redes.

El nirvana de la ciberseguridad, donde todo está protegido y no se producen infracciones, puede que nunca se pueda lograr. Las organizaciones que aceptan la realidad matemática de que no todas las infracciones se pueden prevenir pero que casi todos los atacantes son detectables pueden reducir significativamente el nivel de riesgo y daño que los actores de amenazas pueden infligir.

Por Hugh Njemanze, director ejecutivo, Anomalí

El hackeado y aún por hackear: el incumplimiento de SolarWinds muestra que la detección es clave para reducir el riesgo y el daño

Deja una respuesta Cancelar la respuesta

La falla de desbordamiento del montón de Acrobat Reader parcheada podría resultar en la ejecución remota de código

Cómo ver Netflix gratis para siempre

Yara Gambirasio: las etapas de la amarilla hasta la captura del presunto culpable

Estúpidos trucos terminales: el loro de baile de ASCII Party

Efecto Instagram pelado

Cómo comprobar qué versión de PostgreSQL se está ejecutando desde CLI

Lista de los mejores canales de Telegram 2023

Cómo ver la televisión sin antena

Cómo eliminar Microsoft AutoUpdate de Mac

Cómo eliminar el icono de círculo con + signo en Android

Cómo descargar videos de YouTube con subtítulos

Las soluciones de todos los capítulos de Adventure Escape Mysteries

Cómo otorgar privilegios de root a un usuario en Linux

Problemas para cargar el teléfono: triángulo amarillo con signo de interrogación

Cómo instalar Eclipse IDE en Ubuntu 20.04

Cómo ver IPTV con VLC: guía completa

Publicaciones relacionadas

Los contratiempos de ciberseguridad hacen que los clientes piensen dos veces antes de suscribirse a los servicios de una marca.

Gigamon lanza una nueva herramienta para iluminar las aplicaciones digitales dentro de la empresa.

Visser confirma violación de datos

Podemos ver lo que está caliente. ¿Pero cuánto tiempo hará calor?

Deja una respuesta Cancelar la respuesta

La falla de desbordamiento del montón de Acrobat Reader parcheada podría resultar en la ejecución remota de código