- Los múltiples ataques de todo orden nos obligan aceptar una nueva realidad sombría en la seguridad cibernética
El cibercrimen mundial duplicará a 6 billones de dólares proyectados para 2021, desde los 3 billones registrados en 2015.
Está claro que debemos aumentar la seguridad preventiva con capacidades de detección que puedan atrapar a un atacante en una etapa temprana, antes de que se produzcan daños.
Esto significa un cambio de la mentalidad de seguridad convencional de ‘guerra fría’ que se ocupa de enfrentar a los atacantes construyendo paredes más altas y más gruesas. Implica también asumir que los atacantes entrarán en la red y provocarán cambios en la estrategia, las herramientas y el personal.
Actualmente el tiempo promedio para encontrar un atacante es de unos cinco meses, lo que refleja el fracaso colosal de la seguridad convencional. La mayoría de las veces no se puede dar con un intruso en la red o una persona malintencionada, como un empleado o contratista deshonesto que roba o daña información o activos.
Habrá que considerar que la Oficina de Administración Personal de la National Security Agency y el FBI fueron vulnerados junto con proveedores y agencias de seguridad. Si esto ocurre a organizaciones gubernamentales, ¿qué le puede ocurrir a una empresa que enfrenta las mismas amenazas?
Considerando que la mayoría de las organizaciones públicas o privadas carecen de la capacidad para encontrar atacantes activos en la red, si se agrega la multiplicidad de formas de ataque, es posible que nunca se encuentren.
La seguridad defensiva es esencial, sin embargo ya no es suficiente para proteger las redes; la realidad de hoy obliga a centrar los esfuerzos en la detección de atacantes activos.
Se necesita cambiar el modelo tradicional de encontrar primero al ataque y luego desarrollar una manera de identificarlo y bloquearlo. En vez de esto, se necesita encontrar atacantes por sus diversas actividades operativas que pueden mezclarse con eventos normales de la red. Si bien esta detección es difícil, puede hacerse; requiere de seguridad basada en el perfil de comportamiento para encontrar actividades excepcionales de ataque, en lugar de tratar de evitar la instalación del malware.
La seguridad preventiva es de hecho bastante buena y puede desviar la gran mayoría de las amenazas externas. El problema es que no puede prevenir a todos. Hay muchas maneras para que un atacante entre en una red, a menudo simplemente comprometiendo la computadora o la cuenta de un empleado o contratista a través de phising o software malicioso que se carga en un usuario desprevenido de un sitio web legítimo.
Además de una defensa fuerte, las compañías necesitan saber que los atacantes encontrarán su propio camino hacia la red, que es necesario detectarlos por sus actividades operacionales, los procesos paso a paso que éstos deben realizar para tener control sobre los activos en la red.
En lugar de tratar de encontrar aspectos no conocidos, los profesionales de seguridad necesitan modelos de aspectos bien conocidos para que las actividades de los atacantes puedan destacarse de los eventos normales de la red. Por ejemplo, saltará a la vista una anomalía si alguien en el departamento de marketing utiliza una herramienta como PowerShell –que es para uso exclusivo del administrador de la red.
Lo que tanto el sector público como el privado requieren, es un nuevo ímpetu para proteger sus bienes informáticos vitales, admitiendo que un atacante actuará.
Continuar con el enfoque vigente sólo producirá pérdidas más devastadoras y daños a las organizaciones. La seguridad debe ser modernizada para hacer frente a la nueva realidad de la seguridad cibernética.