Los líderes de seguridad actuales deben gestionar una superficie de ataque en constante evolución y un entorno de amenazas dinámico debido a los dispositivos interconectados, los servicios en la nube, las tecnologías de IoT y los entornos de trabajo híbridos. Los adversarios introducen constantemente nuevas técnicas de ataque y no todas las empresas cuentan con equipos rojos internos o recursos de seguridad ilimitados para estar al tanto de las últimas amenazas. Además de eso, los atacantes actuales son indiscriminados y todas las empresas, grandes o pequeñas, deben estar preparadas. Ya no basta con que los equipos de seguridad detectar y responder; ahora también debemos predecir y prevenir.
Para manejar el entorno de seguridad actual, los defensores deben ser ágiles e innovadores. En resumen, debemos empezar a pensar como un hacker.
Adoptar la mentalidad de un actor de amenazas oportunista le permite no solo obtener una mejor comprensión de las vías potencialmente explotables, sino también priorizar de manera más efectiva sus esfuerzos de remediación. También le ayuda a superar sesgos potencialmente dañinos, como la idea errónea de que su organización no es interesante o lo suficientemente grande como para ser un objetivo.
Exploremos estos conceptos con un poco más de profundidad.
La mentalidad hacker frente a las defensas tradicionales
Pensar como un hacker le ayuda a comprender mejor las vías potencialmente explotables.
Muchas organizaciones adoptan un enfoque convencional para la gestión de vulnerabilidades, documentando sus activos e identificando las vulnerabilidades asociadas, a menudo siguiendo un cronograma rígido. Uno de los problemas de la estrategia actual es que obliga a los defensores a pensar en listas, mientras que los piratas informáticos piensan en gráficos. Los actores maliciosos comienzan por identificar sus objetivos y lo que les importa es encontrar aunque sea una única vía para acceder a las joyas de la corona. En lugar de ello, los defensores deberían preguntarse: ¿Qué activos se conectan con otros activos y confían en ellos? ¿Cuáles son los que dan al exterior? ¿Podría un hacker establecer un punto de apoyo en un sistema no crítico y utilizarlo para obtener acceso a otro más importante? Estas son preguntas cruciales que debemos plantearnos para poder identificar el riesgo real.
Pensar como un hacker le ayuda a priorizar de forma más eficaz las actividades de remediación.
Decidir qué cuestiones requieren una acción inmediata y cuáles pueden esperar es un acto de equilibrio complicado. Pocas empresas tienen recursos ilimitados para abordar toda su superficie de ataque a la vez, pero los piratas informáticos buscan la forma más fácil de entrar con la mayor recompensa. Saber cómo decidir qué actividades de remediación pueden eliminar un camino potencial hacia las joyas de la corona puede brindarle una clara ventaja sobre los actores maliciosos.
Pensar como un hacker te ayuda a evaluar de manera más crítica los sesgos existentes.
Las organizaciones más pequeñas tienden a asumir (incorrectamente) que no son un objetivo atractivo para un hacker oportunista. Sin embargo, la realidad muestra lo contrario. Informe de investigación de vulneración de datos de 2023 de Verizon identificó 699 incidentes de seguridad y 381 divulgaciones de datos confirmadas entre pequeñas empresas (aquellas con menos de 1000 empleados), pero solo 496 incidentes y 227 divulgaciones confirmadas entre grandes empresas (aquellas con más de 1000 empleados). Los ataques de phishing automatizados son indiscriminados. Y los ataques de ransomware pueden seguir siendo muy lucrativos en estas organizaciones más pequeñas. Pensar como un hacker hace evidente que cualquier la organización es un objetivo viable.
Cómo Pensar como un hacker
¿Cómo pueden los profesionales de la seguridad implementar con éxito este cambio de mentalidad? en un reciente seminario web de PenteraErik Nost, analista principal de Forrester y Nelson Santos, experto en seguridad de Pentera, describieron cuatro pasos esenciales.
1. Comprender las tácticas de los atacantes
Adoptar la mentalidad de un hacker ayuda a los líderes de seguridad a anticipar posibles puntos de infracción y construir su defensa. Esto comienza con una comprensión realista de las técnicas que utilizan los actores maliciosos para ir de la A a la Z.
Un ejemplo: el de hoy Los atacantes utilizan tanta automatización como sea posible. para apuntar a la enorme cantidad de sistemas en las redes modernas. Esto significa que los defensores deben prepararse para ataques de fuerza bruta, cargadores, registradores de pulsaciones de teclas, kits de explotación y otras tácticas de rápido despliegue.
Los equipos de seguridad también deben evaluar sus respuestas a estas tácticas en escenarios del mundo real. Realizar pruebas en un entorno de laboratorio es un buen comienzo, pero la tranquilidad sólo llega cuando se evalúan directamente los sistemas de producción. De manera similar, las simulaciones son informativas, pero los equipos deben ir un paso más allá y ver cómo sus defensas resisten las pruebas de penetración y los ataques emulados robustos.
2. Revele rutas de ataque completas, paso a paso
Ninguna vulnerabilidad existe de forma aislada. Los piratas informáticos casi siempre combinan múltiples vulnerabilidades para formar una ruta de ataque completa. Como resultado, los líderes de seguridad deben poder visualizar el «panorama general» y probar todo su entorno. Al identificar los caminos críticos que los atacantes podrían tomar desde el reconocimiento hasta la explotación y el impacto, los defensores pueden priorizar y remediar eficazmente.
3. Priorizar la remediación según el impacto
Los piratas informáticos suelen buscar el camino de menor resistencia. Esto significa que primero debe abordar las rutas explotables que tengan el mayor impacto. A partir de ahí, puede avanzar a través de escenarios cada vez menos probables según lo permitan los recursos.
Los líderes también deben considerar el impacto potencial en el negocio de las vulnerabilidades que necesitan remediar. Por ejemplo, una sola configuración incorrecta de la red o un solo usuario con permisos excesivos pueden generar muchas rutas de ataque posibles. Dar prioridad a los activos de alto valor y las brechas de seguridad críticas le ayuda a evitar la trampa de distribuir demasiado sus recursos en toda la superficie de ataque.
4. Valide la eficacia de sus inversiones en seguridad
Es fundamental probar la eficacia en el mundo real de los productos y procedimientos de seguridad. Por ejemplo, ¿su EDR detecta correctamente actividades sospechosas? ¿SIEM envía alertas como se esperaba? ¿Qué tan rápido responde su SOC? Y lo más importante, ¿con qué eficacia interactúan todas las herramientas de su pila de seguridad? Estas pruebas son esenciales para medir tus esfuerzos.
Las herramientas tradicionales de simulación de ataques pueden probar escenarios conocidos y probar sus defensas existentes contra amenazas conocidas. Pero ¿qué pasa con las pruebas con lo que no sabes? El uso de la perspectiva adversarial le permite realizar pruebas de forma autónoma en todos los escenarios y amenazas, lo que puede revelar configuraciones erróneas ocultas, TI en la sombra o suposiciones incorrectas sobre cómo pueden estar funcionando los controles. Estas brechas de seguridad desconocidas son las más difíciles de detectar para los defensores y, por lo tanto, los atacantes las buscan activamente.
Los resultados de las pruebas de validación deben llegar hasta el director ejecutivo y la junta directiva de manera que transmitan el impacto empresarial. Informar sobre un porcentaje de vulnerabilidades parcheadas (u otras métricas de vanidad similares) no transmite realmente la eficacia de su programa de seguridad. En cambio, debe encontrar formas más significativas de comunicar el impacto de sus esfuerzos.
Manténgase un paso por delante de las amenazas a la seguridad con la validación de seguridad automatizada
Entendemos lo desafiante que es evaluar y mejorar continuamente su postura de seguridad. Con Pentera, no es necesario que lo haga solo.
Nuestro enfoque de validación de seguridad automatizada revela su preparación en materia de seguridad contra las últimas amenazas al probar de forma segura su superficie de ataque completa contra vulnerabilidades del mundo real. Los defensores que adoptan la mentalidad de los piratas informáticos para desafiar continuamente sus defensas de seguridad con plataformas como Pentera pueden confiar en su postura de seguridad en todo momento.
Para obtener más información, visite nuestro sitio web en pentera.io.
Nota: Este artículo fue escrito por Nelson Santos, ingeniero principal de ventas de Pentera.