La industria de servicios financieros siempre ha estado a la vanguardia de la adopción de tecnología, pero la pandemia de 2020 aceleró la generalización de las aplicaciones de banca móvil, el servicio de atención al cliente basado en chat y otras herramientas digitales. Informe de tendencias FIS 2022 de Adobe, por ejemplo, descubrió que más de la mitad de las empresas de servicios financieros y de seguros encuestadas experimentaron un aumento notable de visitantes digitales/móviles en la primera mitad de 2020. El mismo informe encontró que cuatro de cada diez ejecutivos financieros dicen que los canales digitales y móviles representan para más de la mitad de sus ventas, una tendencia que se espera que continúe en los próximos años.
A medida que las instituciones financieras expanden su huella digital, tienen más oportunidades de servir mejor a sus clientes, pero también están más expuestas a amenazas de seguridad. Cada nueva herramienta aumenta la superficie de ataque. Un mayor número de posibles brechas de seguridad puede conducir potencialmente a un mayor número de violaciones de seguridad.
De acuerdo con la Encuesta comparativa de CISO de Cisco, el 17 % de las organizaciones tuvo 100 000 o más alertas de seguridad diarias en 2020. Después de la pandemia, esa trayectoria ha continuado. 2021 tuvo un número más alto de todos los tiempos de vulnerabilidades y exposiciones comunes: 20,141, que superó el récord de 2020 de 18,325.
La conclusión clave es que el crecimiento digital en la industria financiera es no parada; por lo tanto, los equipos de ciberseguridad necesitarán formas de obtener una visibilidad precisa y en tiempo real de su superficie de ataque. A partir de ahí, identifique las vulnerabilidades más explotables y priorícelas para parchearlas.
Enfoques tradicionales para la validación de seguridad
Tradicionalmente, las instituciones financieras han utilizado varias técnicas diferentes para evaluar su postura de seguridad.
Simulación de brechas y ataques
La simulación de infracciones y ataques, o BAS, ayuda a identificar vulnerabilidades al simular las posibles rutas de ataque que podría usar un actor malicioso. Esto permite la validación de control dinámico, pero está basado en agentes y es difícil de implementar. También limita las simulaciones a un libro de jugadas predefinido, lo que significa que el alcance nunca estará completo.
Pruebas de penetración manuales
Las pruebas de penetración manuales permiten a las organizaciones ver cómo los controles de un banco, por ejemplo, resisten un ataque del mundo real, al tiempo que brindan información adicional sobre la perspectiva del atacante. Sin embargo, este proceso puede ser costoso y se completa solo unas pocas veces al año en el mejor de los casos. Esto significa que no puede proporcionar información en tiempo real. Además, los resultados siempre dependen de la habilidad y el alcance del probador de penetración de terceros. Si un humano pasara por alto una vulnerabilidad explotable durante una prueba de penetración, podría permanecer sin ser detectada hasta que un atacante la aproveche.
Exploraciones de vulnerabilidad
Los análisis de vulnerabilidades son pruebas automatizadas de la red de una empresa. Estos se pueden programar y ejecutar en cualquier momento, con la frecuencia que se desee. Sin embargo, están limitados en el contexto que pueden proporcionar. En la mayoría de los casos, un equipo de seguridad cibernética solo recibirá una calificación de gravedad CVSS (ninguna, baja, media, alta o crítica) para cada problema detectado por el análisis. Su equipo llevará la carga de investigar y resolver el problema.
Los escaneos de vulnerabilidad también plantean el problema de la fatiga de las alertas. con tantos real amenazas a las que enfrentarse, los equipos de seguridad de la industria financiera deben poder centrarse en las vulnerabilidades explotables que potencialmente pueden causar el mayor impacto en el negocio.
Un rayo de luz
Validación de seguridad automatizada, o ASV, proporciona un enfoque nuevo y preciso. Combina escaneos de vulnerabilidades, validación de controles, explotación real y recomendaciones de remediación basadas en riesgos para una gestión completa de la superficie de ataque.
ASV brinda cobertura continua, lo que brinda a las instituciones financieras información en tiempo real sobre su postura de seguridad. Al combinar la cobertura interna y externa, proporciona la imagen más completa posible de todo su entorno de riesgo. Y, debido a que modela el comportamiento de un atacante de la vida real, va mucho más allá de lo que puede hacerlo una simulación basada en escenarios.
Cómo la industria financiera está utilizando ASV
(Casi) no hace falta decir que los bancos, las cooperativas de crédito y las compañías de seguros necesitan un alto nivel de seguridad para proteger los datos de sus clientes. También deben cumplir con ciertos estándares de cumplimiento, como FINRA y PCI-DSS.
Entonces: ¿cómo lo están haciendo? Muchos están invirtiendo en herramientas de validación de seguridad automatizadas que les muestran su verdadero riesgo de seguridad en un momento dado, y luego usan esos conocimientos para crear una hoja de ruta para la remediación. Esta es la hoja de ruta que siguen instituciones financieras como Sander Capital Management:
Paso 1 — Conocer su superficie de ataque
Usando Pentera para mapear su superficie de ataque orientada a la web, están reuniendo una comprensión completa de sus dominios, direcciones IP, redes, servicios y sitios web.
Paso 2 — Desafiando su superficie de ataque
Al explotar de forma segura los activos mapeados con las últimas técnicas de ataque, están descubriendo vectores de ataque completos, tanto internos como externos. Esto les brinda el conocimiento que necesitan para comprender qué es realmente explotable y vale la pena invertir los recursos para remediarlo.
Paso 3 — Priorizar los esfuerzos de remediación por impacto
Al aprovechar la emulación de la ruta de ataque, pueden identificar el impacto comercial de cada brecha de seguridad y asignar importancia a la causa raíz de cada vector de ataque verificado. Esto le da a su equipo una hoja de ruta mucho más fácil de seguir para proteger su organización.
Paso 4 — Ejecutando su hoja de ruta de remediación
Siguiendo una lista de remediación rentable, estas organizaciones financieras están empoderando a sus equipos de seguridad para resolver brechas y medir el impacto de sus esfuerzos en su postura general de TI.
Cuando se trata de su organización: ¿sabe dónde están sus eslabones más débiles para poder resolverlos antes de que un atacante los use en su contra?
Si está listo para validar su organización frente a las amenazas más recientes, solicitar un chequeo de salud de seguridad gratuito.