Una de las nuevas tendencias de seguridad de moda en 2021 es la gestión de la superficie de ataque. ¿Pero cómo se ha convertido esto en algo? Pues sencillo, las tendencias de seguridad nacen de la retrospectiva. Es a través de la investigación forense y la respuesta que aprendemos qué metodología utiliza un actor de la amenaza. Armados con esta información, identificamos cómo podemos prevenir y detectar amenazas con las herramientas que tenemos. Cuando encontramos lagunas en nuestra cobertura, incorporamos algo nuevo para abordar nuestras necesidades de cobertura.
En este blog, destacaré las tendencias de la industria de la ciberseguridad que resultaron de algunas de las violaciones más impactantes de nuestro tiempo. Exploraremos estas tendencias y prácticas de seguridad, la mayoría de las cuales seguimos invocando hoy en día.
2010 - 2012: Días Cero alocados
Comenzamos la década con la revelación de una brecha en Google, más tarde conocida como Operación Aurora. El impacto fue mucho más allá de Google e incluyó a muchas otras grandes organizaciones. Esta brecha trajo consigo una tendencia que permanecería en la comunidad de seguridad durante muchos años. ¿En qué consistía esta tendencia? La tendencia de abandonar el navegador por defecto IE (Internet Explorer) en Windows por alternativas como Firefox o Chrome. Una tendencia que aún se observa hoy en día.
Poco después asistimos al descubrimiento del gusano Stuxnet. La sofisticación combinada del uso de 4 días cero, uno de los cuales tenía como objetivo un PLC (controlador lógico programable) para eludir los controles de seguridad estándar, tuvo implicaciones de gran alcance. Pronto surgió el sandboxing como forma de emular el lanzamiento de un archivo o reproducir el contenido del navegador para ver si se podía detectar un comportamiento anómalo, como un exploit de día cero.
A medida que avanzaba la década trajo consigo algunos ciberataques muy públicos que fueron más allá de las medidas de seguridad comerciales tradicionales y llegaron a nuestros hogares. Desde los grandes bancos comerciales hasta la Sony Playstation Network, las brechas pusieron de manifiesto la falta de seguridad en la higiene de las contraseñas personales. La necesidad de tener una contraseña diferente para todas las cuentas se convirtió en un serio desafío y creció a medida que aumentaban las filtraciones de datos de los consumidores.
A medida que avanzaba la década, asistimos a una mezcla de brechas que extendieron su alcance a Mac OS y a los dispositivos móviles. Comenzaron a surgir soluciones de ciberseguridad para hacer frente a estos problemas. Una de ellas fue la gestión de dispositivos móviles, una herramienta de seguridad que pretendía obtener cierta visibilidad y control sobre los datos corporativos cuando salían de la red tradicional y aterrizaban en un dispositivo portátil.
Las grandes plataformas de redes sociales, así como las organizaciones de SaaS, también empezaron a sentir la quema del compromiso y encontraron las contraseñas de sus usuarios filtradas y los datos que alojaban robados. Lo más notable fue el ataque contra el periodista Matt Honan, que resultó en el borrado de los activos digitales de Matt (Gmail, copias de seguridad de iPhone/mac, todo) y su Twitter comprometido para vomitar odio. Reconoció específicamente que si hubiera activado la autenticación de dos factores, esto se habría evitado. Esto desencadenó la tendencia 2FA y condujo al inicio de MFA como una práctica estándar.
2013 - 2017: Todos los datos les pertenecen
Las empresas de consumo también estaban aprendiendo duras lecciones que dieron lugar a importantes innovaciones y rediseños de la arquitectura de red. La brecha más notable de su época: Target. La brecha de Target dio lugar a una mejor comprensión de la importancia de la segmentación de la red y trajo consigo una tendencia a la adopción de nuevas herramientas. Herramientas como las de gestión de eventos e información de seguridad (SIEM), que históricamente se habían utilizado para el cumplimiento de normativas, pasaron a ser fundamentales para responder a una infracción. Además, las herramientas de enriquecimiento y la inteligencia también empezaron a introducirse en los SIEM para dar la visibilidad y el contexto necesarios a los responsables de la respuesta. En concreto, el software Endpoint Detection and Response (EDR) y Cyber Threat Intelligence (CTI), al combinarse con los datos de un SIEM, hicieron que responder a las alertas llevara menos tiempo a los centros de operaciones de seguridad. A medida que surgían más detalles forenses de esta brecha, vimos que el riesgo de terceros empezaba a convertirse en un foco de atención.
A medida que nos acercamos a los últimos años de la década vemos lo que a mí me gusta llamar "volver a lo básico". Infracciones como la de Equifax han recordado a la comunidad de seguridad la importancia de contar con una función de gestión de parches y vulnerabilidades. Fundamentalmente, esta estrategia depende de saber dónde están sus activos en Internet y de mantener un inventario constante.
A medida que las empresas cambiaban y migraban a la nube, la complejidad del ecosistema de redes y software aumentaba drásticamente. Con esta complejidad llegó la tarea cada vez más difícil de saber qué y dónde están sus activos en Internet. A medida que nos expandimos fuera de la red tradicional, abrimos puertos y protocolos para permitir conexiones entre estos componentes dispares mediante la integración de API o ganchos directos. Preguntas fundamentales como qué aspecto tiene la superficie de ataque de mi empresa son difíciles de responder cuando se incluyen redes domésticas, plataformas en la nube que proporcionan IaaS, dispositivos IoT, aplicaciones SaaS de terceros y sistemas heredados, todos los cuales pueden aumentar el riesgo de una organización.
2018 - 2020: Tecnología, Intel y experiencia, ¡oh, Dios mío!
A finales de la década, nos encontramos ante un problema en el que se calcula que el número de puestos de ciberseguridad sin cubrir en 2021 superará los 3,5 millones. Esta inmensa escasez y la creciente complejidad han provocado varias tendencias en el sector. Desde un punto de vista puramente humano o de capacidad, vemos que cada vez más organizaciones delegan el trabajo en terceros, como proveedores de servicios de seguridad gestionados (MSSP), detección y respuesta gestionadas (MDR) y crowdsourcing para pruebas y evaluaciones de seguridad. Desde el punto de vista tecnológico, vemos que los proveedores de software adoptan más algoritmos de aprendizaje automático e inteligencia artificial, automatización de procesos robóticos y automatización de la orquestación de la seguridad y funcionalidad de respuesta.
A medida que nos adaptamos a estos cambios, la gestión de riesgos sistemática, repetible y periódica se ha vuelto más importante que nunca. En menos de 10 años, hemos pasado de unos componentes de seguridad tradicionales, sencillos y controlados, como cortafuegos, antivirus, pasarelas web, filtros antispam y VPN, a un ecosistema muy complejo que requiere un nuevo enfoque para su protección. Uno de estos enfoques, que se está adoptando cada vez más, consiste en ver la superficie de ataque desde el punto de vista de un actor malicioso.
Al cerrar la década, nos enteramos de la mayor brecha hasta la fecha: SolarWinds. La brecha de SolarWinds, que mientras escribo esto todavía se está investigando, nos recuerda lo que actualmente es la tendencia más importante de todas, la importancia de crear una función de gestión de la superficie de ataque precisa y continua en su organización. Una función de gestión de la superficie de ataque garantiza que se aplican las medidas de seguridad adecuadas a todos los activos expuestos y orientados a Internet y, como hemos visto a lo largo de los años, es fundamental para prevenir la próxima brecha. Debemos vigilar la red (tradicional y en la nube), los dispositivos móviles, los puntos finales y el riesgo de la cadena de suministro de terceros.
¿Qué hacer a partir de ahora?
¿Cuáles son algunas de las principales conclusiones de estas violaciones y de las tendencias del sector? En primer lugar, todas han tenido un coste. Desde multas hasta daños a la marca y la reputación, pasando por la pérdida de propiedad intelectual, las consecuencias de una seguridad de la información deficiente pueden tener repercusiones duraderas. Otra pauta importante que hay que reconocer es que todas estas filtraciones estaban relacionadas de una forma u otra con la gestión de la superficie de ataque. Los dispositivos que sus empleados utilizan en casa o en tránsito forman parte de su superficie de ataque tanto como su presencia tradicional en Internet, lo que no hace sino subrayar la urgente necesidad de poder gestionar eficazmente estos riesgos.
Como profesionales de la seguridad, seguiremos intentando responder a estas preguntas: ¿Son seguras las redes que utilizan los empleados para conectarse a la organización? ¿Tenemos puertos o protocolos expuestos que no deberían estarlo? ¿Estamos ejecutando software web con vulnerabilidades conocidas?
En Censys, podemos responder a esas preguntas y a muchas más. ¿Le interesa hablar con Alexis sobre su superficie de ataque? Obtenga más información y programe su demostración aquí.
