Las mejores prácticas para derrotar a los ataques automatizados
Por
El aumento de los ciberataques que atacan los datos y la infraestructura crítica de las naciones-estado es innegable, sin signos de desaceleración. Desde hackers patrocinados por el estado hasta hacktivistas y empresas delictivas, los grupos están aprovechando el poder de la automatización para implementar malware con velocidad y escala, con datos de agencias federales e infraestructura crítica en la mira.
Dada la naturaleza automatizada de muchos de estos ataques, los enfoques manuales tradicionales para la defensa ya no son suficientes. Sin embargo, hay formas en que las agencias federales pueden proteger la información crítica y la infraestructura del compromiso.
El paisaje automatizado de amenazas
La Orden Ejecutiva del año pasado sobre el fortalecimiento de la ciberseguridad de las redes federales y la infraestructura crítica enfatizó la migración de las agencias a la nube como una parte clave de la estrategia. La adopción de la nube, sin embargo, está demostrando ser una bendición y una maldición. Si bien la nube introduce la escalabilidad y flexibilidad que las redes tradicionales tienen problemas para ofrecer, también expande la superficie de ataque con vectores de amenazas fuera de banda, como la sombra de TI y los servicios de nube personal. Además, una dependencia cada vez mayor de los dispositivos conectados para automatizar y realizar tareas cotidianas reduce el perfil de seguridad de las agencias e invita a los visitantes no deseados.
Incluso el cifrado, destinado a fomentar la seguridad, también tiene un lado oscuro. Si bien es útil para mantener la privacidad, presenta desafíos para el monitoreo y la detección de amenazas. Las organizaciones, especialmente las que tienen una mayor proporción de HTTPS , no pueden permitirse ignorar las amenazas que podrían estar al acecho dentro de las comunicaciones encriptadas.
La nube y el cifrado permiten a los actores malintencionados de hoy en día lanzar ataques más rápido, más lejos y de forma más económica. Aún más preocupante es que una gran parte de la actividad de explotación de hoy en día está completamente automatizada utilizando herramientas que exploran metódicamente amplias zonas de Internet, buscando vulnerabilidades oportunistas. Estas herramientas modernas, combinadas con la creciente infraestructura de “crimen como servicio”, permiten a los atacantes operar a escala global a velocidades digitales.
La gran amenaza que representan los ataques automatizados
Los equipos de seguridad de TI federales se enfrentan a una avalancha de alertas de seguridad, y muchos simplemente no tienen los recursos o incluso la experiencia para responder a ellos. Además, los ataques modernos, especialmente los automatizados, tienen una corta vida media; los indicadores de compromiso relacionados con estos ataques se desvanecen rápidamente, lo que significa que los equipos deben ser capaces de responder cuando un ataque es visible, no después de que ha ocurrido el ataque.
Esta es una tarea compleja y difícil en agencias con soluciones de punto de red implementadas que se basan principalmente en humanos para la integración necesaria. En dichos entornos, responder a los ataques automatizados usando la automatización defensiva, la orquestación de alertas a través de dispositivos como información de seguridad y productos de gestión de eventos, entornos limitados y soluciones similares, es increíblemente importante.
Eso es a nivel de agencia. También hay una tendencia hacia actividades cibernéticas cada vez más maliciosas dirigidas a la infraestructura crítica del país -incluidos los sistemas de agua, transporte, energía, finanzas y servicios de emergencia- que es particularmente preocupante porque la interrupción de esos servicios puede tener efectos devastadores en la economía, impactar el bienestar de los ciudadanos e incluso causar la pérdida de vidas.
En su informe del año pasado sobre la seguridad de la infraestructura crítica, el Consejo Consultivo de Infraestructura Nacional expresó su preocupación de que los sectores público y privado siguen siendo incapaces de trasladar información procesable a las personas adecuadas a la velocidad requerida para abordar las amenazas cibernéticas. Esto se debe principalmente a que muchos de los sistemas de seguridad existentes requieren un nivel significativo de intervención humana para detectar y responder a amenazas, y la inteligencia de amenazas en tiempo real entre las organizaciones es limitada o inexistente.
Mejores prácticas para derrotar ataques automatizados
A medida que varios componentes de seguridad comienzan a trabajar juntos como un sistema integrado, a través de la comunicación y la coordinación directas, las agencias pueden comenzar a dejar que la tecnología comience a tomar algunas decisiones automatizadas. Si bien la eliminación automática de la amenaza real aún puede estar a una distancia considerable, una vez que se detecta una amenaza, los sistemas automatizados pueden ayudar a contener o aislar inmediatamente una infracción. Esto da a los equipos de respuesta a incidentes más tiempo para luchar contra el ataque.
Para darse cuenta de las ventajas potenciales de una estrategia de seguridad coordinada y automatizada, las agencias pueden adoptar e integrar cinco estrategias que unifican el control de todos los vectores de ataque para detener los ataques automatizados:
1. Cero en la visibilidad. Utilice soluciones de inteligencia de amenazas para profundizar en la comprensión de la identidad, las tácticas y los procedimientos de los atacantes, y luego comience a defender inteligentemente de acuerdo con esa información. Sepa dónde se encuentran los activos críticos y priorice los esfuerzos de seguridad allí.
2. La gestión de parches no es negociable. Mirai, Hajime y las amenazas más recientes como AutoSploit son más sigilosas y las generaciones más avanzadas de malware autopropagado que ejemplifican el tipo de daño que se puede hacer cuando los equipos de TI no logran parchear las vulnerabilidades conocidas.
3. Un sistema de prevención de intrusos es la primera línea de defensa automatizada. Debido a que los fabricantes todavía no son responsables de asegurar los dispositivos de Internet de las cosas, hay miles de millones de dispositivos conectados que son vulnerables al ataque, sin parches a la vista. IPS proporciona “parches virtuales” bloqueando ataques y ataques dirigidos a dispositivos de IoT vulnerables.
4. Redundancia y segmentación es una necesidad . Algunos ransomware no solo pueden infectar datos sino también buscar e infectar copias de seguridad de datos, lo que puede ser desastroso. Los administradores de TI deben asegurarse de que las copias de seguridad de datos no solo se realicen sino que estén segmentadas y almacenadas fuera de la red.
5. Mejora el tiempo de respuesta. Una vez que las medidas anteriores estén en su lugar, los recursos deben enfocarse en aumentar el tiempo para responder. Las agencias deben aprovechar las soluciones proactivas y buscar formas de crear interoperabilidad entre diferentes sistemas de seguridad para que la información sobre un evento identificado en un dispositivo se comparta automáticamente en toda la arquitectura de seguridad distribuida. El desafío es que la mayoría de las organizaciones han implementado muchas soluciones diferentes de diferentes proveedores que no se comunican de forma nativa, comparten información sobre amenazas o incluso digieren inteligencia de amenazas y la convierten en protecciones procesables. Las agencias deben esforzarse por reducir esa complejidad integrando soluciones,
Únete y conquista
Por fuerte que sea un equipo de seguridad de TI federal , no puede mantenerse al día con ataques automatizados sin ayuda. Las nuevas generaciones de incursiones en la red deben ser detectadas y tratadas rápidamente, antes de que puedan causar daños y antes de que su rastro desaparezca. Un sistema de soluciones de seguridad integradas y orquestadas permite a las organizaciones combatir la automatización con la automatización, utilizando las propias tácticas de los cibercriminales para reducir el tiempo de detección, de modo que el análisis forense pueda comenzar inmediatamente y se pueda fortalecer el ciclo de vida de seguridad.
Esto no puede hacerse de forma aislada. Los sectores público y privado deben unirse para encontrar formas de automatizar la protección de la infraestructura crítica de la nación. El gobierno no puede resolver el problema solo. Las infraestructuras críticas son propiedad y están operadas principalmente por el sector privado, y no se puede esperar que las empresas comerciales se enfrenten a los ciberajienes de otras naciones. Al trabajar juntos en pequeñas formas, comenzando con la ampliación de la experiencia en seguridad y la realización de proyectos cibernéticos conjuntos, la industria y el gobierno pueden combinar sus fortalezas para derrotar a los malos actores.