Las empresas de hoy invierten muchos de sus recursos en medidas reactivas. Se apoyan en tecnologías de detección y respuesta a los ataques dentro de su infraestructura, al tiempo que invierten en pólizas de seguros y bitcoins para hacer frente a las extorsiones del ransomware. Frente a estas medidas tan fatalistas y costosas, ¿no debería ser prioritaria la prevención de los incidentes de ciberseguridad? Con estos nueve puntos para una seguridad más proactiva las empresas pueden reforzar su postura de seguridad.
En los últimos años, las organizaciones se han resignado finalmente a la idea de que solo es cuestión de tiempo que sean víctimas de un ciberataque con pérdida de datos y reclamaciones de ransomware. Es indudable que el número de ataques exitosos contra las empresas no deja de crecer, y como respuesta a esta amenaza, las empresas han decidido suscribir pólizas de seguros o acumular cibermonedas, para hacer frente a las exigencias de rescates si se produce un cifrado y una extracción de datos. El sector asegurador ha reaccionado ante esta situación de mayor riesgo, aumentando los precios de las pólizas y los requisitos que debe cumplir una empresa asegurada.
Desde el plano tecnológico también se está produciendo una reacción invirtiendo más en sistemas de seguridad reactivos. Los centros de operaciones de seguridad (SOC), la gestión de la información y eventos de seguridad (SIEM), los sistemas de detección y respuesta de dispositivos (EDR) y los sistemas de detección y respuesta de redes (NDR) están experimentando un gran auge, ya que las empresas buscan saber si son objeto de un ataque o están en peligro.
Sin embargo, la principal dificultad para la detección y la respuesta es el tic-tac inexorable del reloj. A medida que la secuencia temporal de un ataque se acorta, se hace más difícil poder responder antes de que se produzcan los daños. Los analistas de seguridad de los SOC tienen demasiadas herramientas y puntos de datos para poder ofrecer una visión completa de la organización basada en los riesgos. Con demasiadas soluciones complementarias y dificultades para correlacionar los datos, la interpretación de estos se vuelve compleja y difícil de reconocer.
En ausencia de contexto, también puede resultar difícil encontrar el significado de algunos datos. La información relevante, y los expertos que la analizan, son desgraciadamente difíciles de encontrar. Un número mareante de falsas alertas positivas hace que sea importante filtrarlas mediante un análisis forense adecuado. Mientras las amenazas siguen golpeando los sistemas con mayor intensidad y cantidad, hay que invertir en expertos que operen las 24 horas del día, y las empresas tienen que admitir que las herramientas tradicionales de las infraestructuras convencionales están llegando a sus límites.
Si una empresa se resigna a que va a producir una brecha, esa mentalidad pesimista o “realista” afectará también a su proceso de toma de decisiones. Igualmente, los equipos de TI que anticipan un ataque pueden pensar que han fracasado en sus medidas preventivas y decidir que deben centrarse en estrategias reactivas en lugar de reforzar su enfoque preventivo. Es necesario ajustar el enfoque, incluyendo dónde emplear el tiempo, el esfuerzo y los recursos de forma inteligente para hacer frente al panorama de amenazas actual. Para evitar sobrecargar los sistemas y los empleados ante la avalancha de datos, las empresas deben prestar más atención a la prevención de ataques en su gestión de riesgos.
Junto con la adopción de medidas para detectar los ataques a la infraestructura de la empresa, es necesario tomar las medidas oportunas para su mayor prevención. Si las empresas trabajan en reducir su superficie de ataque, el impacto de las amenazas y su potencial de daño podrían reducirse significativamente. No se trata de eliminar por completo los sistemas ya existentes, sino de poner en marcha un catálogo de medidas integral para la gestión de riesgos. Estas se centran en primer lugar en la prevención de los ataques, en lugar de preocuparse únicamente en detectarlos una vez que se han producido. El riesgo de sufrir ataques eficaces podría reducirse si las empresas reconocen las vulnerabilidades de su infraestructura y subsanan las deficiencias para crear una superficie de ataque tan reducida que no tenga valor para los cibercriminales.
Para pasar de una gestión de riesgos reactiva a una proactiva, podemos seguir los siguientes pasos:
1. Reducir las superficies de ataque: Las empresas que invierten tiempo en conocer bien su superficie de ataque ya empiezan a disponer de una seguridad proactiva. Al detectar las vulnerabilidades y proteger las brechas, consiguen una importante reducción de los ataques. Por eso, hay que controlar todos los activos que las empresas exponen a Internet. Para reducir la superficie de ataque, el primer paso es inventariar, categorizar y ocultar los activos. Un enfoque del tipo Zero Trust, que utiliza microtúneles desde el usuario hasta la aplicación, garantiza que no sea posible echar un vistazo no autorizado a la infraestructura.
2. Alejarse del modelo muralla y foso: El modelo tradicional de infraestructura de seguridad, caracterizado por un enfoque de muralla y foso, la seguridad en el perímetro de la red protege todo lo que hay dentro de ella. Sin embargo, debido a la nube y a los nuevos modelos de trabajo, ni las aplicaciones ni los usuarios siguen encontrándose dentro del perímetro. Hay que proteger las aplicaciones y a los empleados con independencia del lugar donde se encuentren o desde donde trabajen. Hay que centrarse en los aspectos corporativos que merecen ser protegidos y tomar las medidas adecuadas para ello. Esto implica una mayor protección de las cargas de trabajo en la nube y de los empleados en movilidad cuando acceden a aplicaciones desde cualquier lugar.
3. Evolucionar la seguridad para la nube: En estos momentos, ninguna empresa puede evitar la nube. Aunque las organizaciones han avanzado más o menos en su migración hacia el cloud, es importante trasladar las aplicaciones a la nube de acuerdo con la estrategia «lift and shift». Una transformación completa requiere repensar las arquitecturas de red y seguridad, así como la conectividad. En el mundo actual, que da prioridad a la nube, las empresas deben asegurarse de que todo su modelo de arquitectura TI siga la evolución hacia la nube. La seguridad del acceso a la red debe sustituirse por un modelo de acceso seguro basado en la aplicación y los usuarios individuales. Para ello, resulta útil un enfoque de confianza cero basado en los principios del acceso con mínimos privilegios.
4. Detectar operaciones de mando y control: No es suficiente que un SOC detecte tráfico de mando y control sin disponer de la posibilidad de ofrecer una respuesta inmediata. Para evitar que un atacante tome el control de un dispositivo infectado, el tráfico de mando y control debe prevenirse en línea y en tiempo real con la ayuda del aprendizaje automático. Una vez más, el paso de la detección a la prevención es posible con los SOC si están adecuadamente equipados para luchar contra las amenazas modernas con la ayuda de la automatización.
5. Reducir el tiempo de respuesta mediante la automatización: La automatización de varias funciones también puede ayudar a reducir el trabajo manual y la labor de supervisión de los analistas de seguridad en los SOC. A la hora de reconocer patrones de malware, la inteligencia artificial (IA) se vuelve más potente al correlacionar flujos de datos y tener en cuenta el contexto. A través de la automatización, se puede quitar la presión al equipo del SOC y también se puede contener el número de falsos positivos. Esto requiere una visión de conjunto de todos los flujos de datos. Esto no solo desencadena una alerta, sino que también anuncia medidas de cuarentena si es necesario. El tiempo de preparación de un sistema está bien invertido para contribuir, en última instancia, a la reducción de la complejidad y de los ataques.
6. Utilizar la IA en vez de únicamente entrenar a los empleados: El aprendizaje automático (ML) también es mejor que la capacitación de los empleados cuando se trata de detectar ataques de phishing. Una formación de sensibilización para los empleados es una medida preventiva, pero suele quedarse corta ante la rápida evolución de las tácticas y técnicas de los atacantes. Las empresas no pueden pretender que los trabajadores, individualmente, puedan reconocer los nuevos patrones de phishing, lo que significa que el aprendizaje automático debe ser utilizado como una técnica antiphishing.
7. Pensar como un infiltrado: Las técnicas de engaño son otro medio moderno de defensa contra los ataques. Quien adopta la forma de pensar del atacante entiende las acciones del delincuente y puede inducirle al engaño, protegiendo así los activos de la organización. Los atacantes que pueden moverse por la red corporativa buscarán propiedad intelectual o datos sensibles que puedan utilizar de forma indebida para sus ataques. Por ello, la colocación de cebos o trampas, las famosas ‘honey pots’, ayuda a desenmascarar a los intrusos una vez que han entrado en la red.
8. Pasar de un SIEM a plataformas de información sobre amenazas:
El motivo para alejarse del sistema SIEM tradicional, como plataforma de correlación de incidentes de seguridad, está en su compleja administración. Correlacionar la avalancha de datos procedentes de diferentes sistemas de hardware, que pueden no hablar el mismo idioma, y examinarlos en busca de incidentes de seguridad, lleva mucho tiempo y a menudo requiere de una laboriosa interacción manual. Un planteamiento moderno de plataforma de información sobre amenazas descarga de trabajo al equipo de seguridad. La información a través de una consola de gestión unificada muestra lo que realmente está ocurriendo en la infraestructura de TI. Una plataforma potente aprovecha un contexto sólido y puntos de datos que pueden reaccionar en línea para evitar el acceso no autorizado o la pérdida de datos. El factor decisivo es que una plataforma de este tipo también inicie los siguientes pasos, impidiendo los flujos de datos si hay indicios de acceso no autorizado o de pérdida de datos.
9. Shift left, shift down: Por último, la seguridad debe implementarse en una fase inicial del ciclo vital de las aplicaciones en los entornos cloud actuales. El principal objetivo es evitar desde el principio las configuraciones erróneas que conducen a vulnerabilidades, y la seguridad por diseño comienza antes de que se despliegue la infraestructura. «Shift left» significa que la seguridad se implementa en el proceso de desarrollo, mientras que «shift down» consiste en acercar la seguridad a la propia carga de trabajo, aprovechando los nuevos criterios de segmentación, como la basada en la identidad. Una plataforma de protección de aplicaciones nativas de la nube (CNAPP) totalmente integrada ayuda a cumplir estos requisitos para realizar medidas de prevención precoz.
Cookie | Duración | Descripción |
---|---|---|
__cf_bm | 1 hour | This cookie, set by Cloudflare, is used to support Cloudflare Bot Management. |
_GRECAPTCHA | 6 months | Google Recaptcha service sets this cookie to identify bots to protect the website against malicious spam attacks. |
cookielawinfo-checkbox-advertisement | 1 year | Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category. |
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
CookieLawInfoConsent | 1 year | CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie. |
csrftoken | 1 year | This cookie is associated with Django web development platform for python. Used to help protect the website against Cross-Site Request Forgery attacks |
opt_out | 1 year | This cookie is used for preventing the installation of third party advertiser or other cookies on the browser. |
PHPSESSID | 24 minutes | This cookie is native to PHP applications. The cookie stores and identifies a user's unique session ID to manage user sessions on the website. The cookie is a session cookie and will be deleted when all the browser windows are closed. |
rc::a | never | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::b | session | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::c | session | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::f | never | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
ts | 1 year 1 month | PayPal sets this cookie to enable secure transactions through PayPal. |
usprivacy | 1 year 1 month | This is a consent cookie set by Dailymotion to store the CCPA consent string (mandatory information about an end-user being or not being a California consumer and exercising or not exercising its statutory right). |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |
wordpress_test_cookie | session | WordPress sets this cookie to determine whether cookies are enabled on the users' browsers. |
Cookie | Duración | Descripción |
---|---|---|
cX_G | 1 year 1 month | Cxense sets this cookie for storing the global ID, mapping different ids together into one ID. |
v1st | 1 year 1 month | The v1st cookie is set by TripAdvisor to collect details about how visitors use the website, by displaying user reviews, awards and information received on the TripAdvisor community. |
yt-player-headers-readable | never | The yt-player-headers-readable cookie is used by YouTube to store user preferences related to video playback and interface, enhancing the user's viewing experience. |
yt-remote-cast-available | session | The yt-remote-cast-available cookie is used to store the user's preferences regarding whether casting is available on their YouTube video player. |
yt-remote-cast-installed | session | The yt-remote-cast-installed cookie is used to store the user's video player preferences using embedded YouTube video. |
yt-remote-connected-devices | never | YouTube sets this cookie to store the user's video preferences using embedded YouTube videos. |
yt-remote-device-id | never | YouTube sets this cookie to store the user's video preferences using embedded YouTube videos. |
yt-remote-fast-check-period | session | The yt-remote-fast-check-period cookie is used by YouTube to store the user's video player preferences for embedded YouTube videos. |
yt-remote-session-app | session | The yt-remote-session-app cookie is used by YouTube to store user preferences and information about the interface of the embedded YouTube video player. |
yt-remote-session-name | session | The yt-remote-session-name cookie is used by YouTube to store the user's video player preferences using embedded YouTube video. |
ytidb::LAST_RESULT_ENTRY_KEY | never | The cookie ytidb::LAST_RESULT_ENTRY_KEY is used by YouTube to store the last search result entry that was clicked by the user. This information is used to improve the user experience by providing more relevant search results in the future. |
Cookie | Duración | Descripción |
---|---|---|
_gat | 1 minute | Google Universal Analytics sets this cookie to restrain request rate and thus limit data collection on high-traffic sites. |
dmvk | session | The dmvk cookie is set by Dailymotion to record data of visitor behaviour on the website. |
Cookie | Duración | Descripción |
---|---|---|
_fbp | 3 months | Facebook sets this cookie to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising after visiting the website. |
_ga | 1 year 1 month 4 days | Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors. |
_gid | 1 day | Google Analytics sets this cookie to store information on how visitors use a website while also creating an analytics report of the website's performance. Some of the collected data includes the number of visitors, their source, and the pages they visit anonymously. |
cX_P | 1 year 1 month | Cxense sets this cookie for site-specific user sessions - across sessions. |
Cookie | Duración | Descripción |
---|---|---|
guest_id | 1 year 1 month | Twitter sets this cookie to identify and track the website visitor. It registers if a user is signed in to the Twitter platform and collects information about ad preferences. |
test_cookie | 15 minutes | doubleclick.net sets this cookie to determine if the user's browser supports cookies. |
VISITOR_INFO1_LIVE | 6 months | YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface. |
VISITOR_PRIVACY_METADATA | 6 months | YouTube sets this cookie to store the user's cookie consent state for the current domain. |
YSC | session | Youtube sets this cookie to track the views of embedded videos on Youtube pages. |
yt.innertube::nextId | never | YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen. |
yt.innertube::requests | never | YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen. |
Cookie | Duración | Descripción |
---|---|---|
__cflb | 1 day | This cookie is used by Cloudflare for load balancing. |
_awl | 1 year 1 month | No description available. |
_pcid | 1 year 1 month | Description is currently not available. |
_pctx | 1 year 1 month | Description is currently not available. |
gckp | 1 year | This cookie is set by the provider Cxense. This cookie is used for building user profile information across all sites in the Cxense network. |
itsec-hb-login-27e4caa2b0fb20a2dee118de04e9de77 | 1 hour | Description is currently not available. |
ntvSession | session | Description is currently not available. |