No todos los equipos de seguridad nacen iguales. Cada organización tiene un objetivo diferente.
En ciberseguridad, adoptar un enfoque proactivo no es solo una palabra de moda. De hecho, es lo que marca la diferencia entre quedarse atrás de los atacantes y adelantarse a ellos. ¡Y las soluciones para hacerlo existen!
La mayoría de los ataques tienen éxito al aprovechar fallas comunes en los sistemas de su objetivo. Ya sean nuevos o no, conocidos, desconocidos o incluso desconocidos, los ataques aprovechan las brechas de seguridad como
vulnerabilidades sin parchear o desconocidas, malas configuraciones, sistemas desactualizados, certificados caducados, errores humanos, etc.
Dado que los atacantes confían en una gama de herramientas de prueba ofensivas automatizadas para escanear las superficies de ataque de sus objetivos y propagarse dentro de su red, es cada vez más probable que un ataque supere una postura defensiva puramente reactiva basada en la detección y la respuesta.
El movimiento táctico lógico es emular los TTP y comportamientos de los atacantes de antemano mediante la integración de herramientas de simulación de ataques para validar continuamente la impermeabilidad de la superficie de ataque en su conjunto, la eficacia de los controles de seguridad, así como las políticas de segmentación y gestión de acceso, etc.
Dado que los atacantes cibernéticos suelen pasar al siguiente objetivo cuando se enfrentan a un desafío, las organizaciones que ya han implementado herramientas y procesos proactivos se benefician dos veces. Los atacantes cibernéticos comunes y corrientes se sienten frustrados y disuadidos, y los atacantes que los atacan específicamente tienen que trabajar mucho más para encontrar una forma de entrar sin ser detectados y progresar sin obstáculos dentro de la red.
El pensamiento de seguridad cibernética maduro y con visión de futuro de estas organizaciones las coloca a la vanguardia en términos de inexpugnabilidad.
Prácticamente, existen diferentes ángulos desde los que mirar e integrar herramientas de simulación de ataques que pueden variar dependiendo de tus objetivos, como por ejemplo.
► Potenciación de las capacidades de prevención
► Fortalecimiento de la Detección y Respuesta
Ejecutar ataques de reconocimiento automatizados refuerza su procedimiento de administración de superficie de ataque al descubrir todos los activos expuestos, incluida la TI en la sombra olvidada hace mucho tiempo o agregada clandestinamente, mientras que la integración continua de capacidades de simulación de ataque de afuera hacia adentro con su conjunto de herramientas SIEM/SOAR arroja una luz brillante sobre sus límites. y defectos Al comparar granularmente la progresión de los ataques simulados lanzados con la proporción de los detectados y detenidos, brinda una imagen clara y completa de la eficacia real de la matriz de detección y respuesta.
Con un mapa detallado de brechas de seguridad y redundancias de capacidades, la racionalización de la pila de herramientas mediante la implementación de correcciones de configuración de herramientas recomendadas y la eliminación de herramientas redundantes tiene un impacto positivo en la detección y la respuesta y, como beneficio adicional, evita la deriva ambiental.
Una vez integradas, estas capacidades también se pueden usar para ejecutar ejercicios internos de respuesta a incidentes con una preparación mínima requerida y sin costo adicional.
► Personalización de la gestión de riesgos
La incorporación de la validación de seguridad en la gestión de riesgos organizacionales y los procedimientos de GRC y, en consecuencia, la provisión continua de garantías de seguridad puede requerir un cierto nivel de personalización de los escenarios de ataque estándar disponibles que validen los controles de seguridad y las campañas de ataque de afuera hacia adentro.
Un marco de trabajo en equipo púrpura con ataques de plantilla y widgets modulables para facilitar el mapeo de ataques ad hoc ahorra a los equipos rojos horas de trabajo duro, lo que maximiza el uso de equipos rojos internos y acelera la ampliación de sus operaciones sin requerir recursos adicionales.
Cuando se parte de cero capacidades de confrontación internas, la progresión recomendada para integrar soluciones de validación de seguridad es:
1 — Agregar capacidades de validación de control de seguridad
Reforzar la configuración de los controles de seguridad es un elemento crucial para evitar que un atacante que obtuvo un punto de apoyo inicial en su sistema se propague a través de su red. También brinda cierta protección contra ataques de día cero y algunas vulnerabilidades que se aprovechan de configuraciones incorrectas o aprovechan las brechas de seguridad que se encuentran en las configuraciones predeterminadas de los proveedores.
2 — Integrar con SIEM/SOAR y verificar la eficacia de los procedimientos SOC
Como se mencionó en la sección anterior «Fortalecimiento de la detección y la respuesta», la integración de soluciones de validación de seguridad con su matriz SIEM/SOAR agiliza su eficacia y mejora la seguridad. Los datos producidos también se pueden usar para optimizar los aspectos de las personas y los procesos del SOC al garantizar que el tiempo del equipo se concentre en las tareas con el mayor impacto en lugar de invertir su mejor energía en proteger activos de bajo valor.
3 — Priorizar la remediación
La puesta en práctica de la guía de remediación incluida en los datos recopilados en los pasos 1 y 2 debe correlacionarse con la probabilidad de ataque y los factores de impacto asociados con cada brecha de seguridad descubierta. Integrando los resultados de la ataques simulados en el proceso de priorización de vulnerabilidades es clave para agilizar el proceso y maximizar el impacto positivo de cada mitigación realizada
4 — Verificar el cumplimiento de las políticas de segmentación e higiene
La ejecución de escenarios de ataque de extremo a extremo mapea la ruta de ataque e identifica dónde las brechas de segmentación permiten que los atacantes se propaguen a través de su red y logren sus objetivos.
5 — Evaluar la viabilidad general de la infracción
Ejecutar campañas de reconocimiento y de ataque externo de extremo a extremo para validar cómo un atacante cibernético puede progresar a través de su entorno desde obtener acceso hasta exfiltrar las joyas de la corona.
Por lo general, las organizaciones con visión de futuro ya intentan controlar su destino mediante la adopción de un enfoque proactivo hacia la seguridad cibernética en el que aprovechan la simulación de infracciones y ataques y la gestión de la superficie de ataque para identificar brechas con anticipación. Por lo general, comenzarían el viaje con el objetivo de la prevención, asegurándose de ajustar todos los controles de seguridad y maximizar su eficacia contra amenazas conocidas e inmediatas. El siguiente paso sería ejecutar SOC y ejercicios de respuesta a incidentes para asegurarse de que nada pase desapercibido, avanzando hacia la priorización de parches de vulnerabilidad.
La mayoría de las empresas maduras con muchos recursos también están interesadas en automatizar, personalizar y ampliar las actividades de su equipo rojo.
La conclusión es que cuando busca incorporar un programa continuo de gestión de exposición a amenazas, es probable que encuentre muchas soluciones puntuales diferentes, pero eventualmente, independientemente del objetivo particular de cada equipo, como en la vida real, es mejor encontrar un socio con el que puede escalar.
Nota — Este artículo está escrito y contribuido por Ben Zilberman, director de marketing de productos de Cymulate.