Entre una serie de recientes incidentes de seguridad cibernética de alto perfil y las tensiones geopolíticas intensificadas, rara vez ha habido un entorno de seguridad cibernética más peligroso. Es un peligro que afecta a todas las organizaciones: las campañas de ataques automatizados no discriminan entre objetivos.
La situación se debe en gran parte a un aumento implacable de las vulnerabilidades, con decenas de miles de vulnerabilidades nuevas descubiertas cada año. Para los equipos de tecnología que probablemente ya no cuentan con suficientes recursos, protegerse contra esta creciente ola de amenazas es una tarea imposible.
Sin embargo, en la batalla contra el ciberdelito, a veces se descuidan algunas de las medidas de mitigación más eficaces y sensatas. En este artículo, describiremos por qué los riesgos de seguridad cibernética se han intensificado de manera tan dramática, y qué ganancias fáciles de su organización pueden marcar una diferencia significativa en su postura de seguridad cibernética, en este momento.
Los recientes grandes ataques cibernéticos apuntan al peligro
Podría decirse que la seguridad cibernética nunca ha sido más importante. Con el aumento en los números de vulnerabilidad que continúa sin cesar durante años, junto con las tensiones geopolíticas, ninguna empresa puede afirmar que tiene una seguridad cibernética que es impermeable a la penetración. En las últimas semanas, hemos visto informes continuos de brechas de seguridad en Microsoft, Nvidia, Vodafone y muchos otros.
En marzo, un grupo de adolescentes pertenecientes al grupo Lapsus$ logró piratear Microsoft y robar el código fuente de productos clave, incluido su asistente de voz Cortana y un servidor de desarrollo interno de Azure.
Lapsus$, que consiste en un grupo de adolescentes, no se detuvo allí. Nvidia también fue atacada, ya que la compañía admitió que se filtraron datos corporativos confidenciales, incluida información de propiedad. así como las credenciales de los empleados. Algo similar le sucedió al grupo de consumidores Samsung ya la consultora Globant. Todo el daño causado por un solo grupo de sinvergüenzas.
El telón de fondo de estos eventos.
Por supuesto, Lapsus$ es solo un grupo activo. Hay innumerables otros que persiguen organizaciones mayores y menores por igual. La lista es interminable: este febrero, los servicios móviles, de línea fija y de televisión se desconectaron para una gran parte de la población de Portugal. ya que Vodafone Portugal sufrió una importante brecha cibernética. Y nadie se salva: en enero de 2022, la Cruz Roja fue hackeadaexponiendo los datos personales de cientos de miles de personas.
Hackeos, intrusiones, extorsiones… a la izquierda, a la derecha y al centro. ¿Dónde termina?
Bueno, no es probable que termine pronto. Hay un flujo constante de nuevas vulnerabilidades y, por extensión, aparecen nuevas amenazas. Para 2021, casi 22.000 nuevas vulnerabilidades se publicaron en la base de datos nacional de vulnerabilidades, un aumento del 27 % con respecto al recuento de 2018, hace solo 3 años.
Cada año crece la lista total de vulnerabilidades, creando una montaña cada vez mayor de posibles riesgos. La lista de actores con interés en explotar con éxito las vulnerabilidades tampoco se está reduciendo exactamente, ya que la última la inestabilidad geopolítica se suma a la amenaza.
La mitigación es difícil y tiene varios frentes
Se dedica mucho esfuerzo a solucionar el problema, a tratar de montar una defensa. Pero como demostró nuestra larga lista de ejemplos, y como subraya esta lista de los principales hacks, estas defensas no siempre funcionan. Es demasiado fácil subestimar los recursos, y los recursos se pueden asignar fácilmente de forma incorrecta.
El problema es que la lucha contra la ciberdelincuencia es una tarea múltiple: no se puede vencer a los ciberdelincuentes centrándose únicamente en uno o dos aspectos defensivos. Tiene que ser todo el mandato, desde la seguridad y el cifrado de puntos finales, hasta los cortafuegos y el control avanzado de amenazas, y hasta ejercicios de refuerzo como parches y permisos restringidos.
Todos estos componentes deben estar en su lugar y funcionar de manera consistente, pero esa es una gran pregunta cuando los equipos de TI luchan por los recursos de personal. Para ser justos, es imposible establecer un perímetro de seguridad cibernética hermético: si las empresas multimillonarias no pueden hacerlo, es poco probable que la empresa típica lo haga. Pero algunas partes esenciales de la gestión de vulnerabilidades a veces se descuidan.
Una victoria rápida que se descuida
Según el informe Ponemon, se tarda aproximadamente cinco semanas en corregir una vulnerabilidad. Ahí radica una parte importante del problema. Podría decirse que la reparación de vulnerabilidades a través de parches es una de las formas más efectivas de combatir las amenazas cibernéticas: si la vulnerabilidad ya no existe, la oportunidad de explotarla también desaparece.
La necesidad de parchear ha sido ordenada al más alto nivel, incluso por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), que recientemente publicó una lista de vulnerabilidades. que debe ser parcheado por organizaciones cubiertas. De manera similar, el reciente Notificación de escudos también apunta fuertemente a la aplicación de parches como un paso crítico que apoya significativamente la ciberseguridad.
Dada la relativa facilidad de aplicar parches, aplíquelo y funcionará, el parche debería ser una obviedad. La aplicación de parches es una victoria fácil que puede transformar fácilmente la postura de ciberseguridad de una organización. Un estudio reciente del Ponemon Institute encontró que de los encuestados que sufrieron una brecha, el 57% dijo que se debió a una vulnerabilidad que podría haber sido cerrada por un parche.
Por qué se retrasa la aplicación de parches
Hemos establecido que la aplicación de parches es efectiva y alcanzable, por lo que la pregunta es, ¿qué está frenando la aplicación de parches? Hay múltiples razones para eso, incluido, por ejemplo, el riesgo ocasional de que un parche no probado pueda provocar una falla del sistema.
Pero el problema más obvio es la interrupción durante la aplicación de parches. Parchear un sistema tradicionalmente hace que no esté disponible durante un período de tiempo. No importa si está parcheando un componente crítico como el Kernel de Linux o un servicio específico, el enfoque común siempre ha sido reiniciar o reiniciar después de implementar los parches.
Las implicaciones comerciales son significativas. Aunque puede mitigar a través de la redundancia y una planificación cuidadosa, aún existe el riesgo de pérdida de negocios, daño a la reputación, degradación del rendimiento y clientes y partes interesadas insatisfechos.
El resultado es que los equipos de TI han tenido problemas con las ventanas de mantenimiento que son lamentablemente inadecuadas, a menudo demasiado separadas para reaccionar adecuadamente ante un panorama de amenazas que puede ver ataques que ocurren minutos después de la revelación de una vulnerabilidad.
Tomando medidas activas contra los riesgos cibernéticos
Entonces, sí, las organizaciones deben aplicar parches de manera constante como el primer paso entre muchos. Hay un camino a seguir para parchear, afortunadamente, y se llama tecnología de parcheo en vivo. Soluciones de parcheo en vivo como Empresa KernelCare de TuxCare proporcionar una solución no disruptiva al desafío de la aplicación de parches.
Al instalar parches en el software en ejecución sobre la marcha, elimina la necesidad de reinicios y reinicios disruptivos, y ventanas de mantenimiento. Por lo tanto, no es necesario esperar para instalar un parche. Además, la naturaleza automatizada de la aplicación de parches en vivo significa que las ventanas de aplicación de parches prácticamente se eliminan.
Es esencialmente una implementación de parches instantánea: tan pronto como el proveedor lanza un parche, ese parche se aplica, lo que reduce la exposición y la ventana de riesgo al mínimo, sin impacto en las actividades comerciales.
Este enfoque alternativo y efectivo para la aplicación de parches ilustra cómo hay pasos efectivos a seguir dentro de la batalla de la seguridad cibernética, pasos que también son amigables con los recursos. Otra forma simple pero efectiva de fortalecer los sistemas contra las amenazas de ciberseguridad es MFA. Las organizaciones que aún no utilizan la autenticación multifactor (MFA) deben habilitarla donde los proveedores la ofrezcan.
Las ganancias rápidas están en todas partes
Lo mismo ocurre con otras victorias rápidas. Tome el principio de privilegio mínimo, por ejemplo. Simplemente al inculcar una cultura consciente de los permisos en los equipos de tecnología, las organizaciones pueden garantizar que los actores potenciales tengan oportunidades mínimas para ingresar a los sistemas y progresar si logran ingresar. Eso se aplica a la segmentación de la red, otra herramienta efectiva pero amigable con los recursos contra la amenaza del cibercrimen.
El punto es que, por mucho que la amenaza a la seguridad cibernética esté casi fuera de control, existen muchas rutas razonablemente fáciles que permiten a las organizaciones montar una defensa más sólida. En otras palabras, ignorar herramientas como parches en vivo, MFA y administración de permisos simplemente hace que una lucha difícil sea mucho más difícil. Por el contrario, saltar sobre estas ganancias rápidas puede fortalecer rápidamente su postura de seguridad cibernética.