La industria de servicios financieros siempre ha estado a la vanguardia de la adopci\u00f3n de tecnolog\u00eda, pero la pandemia de 2020 aceler\u00f3 la generalizaci\u00f3n de las aplicaciones de banca m\u00f3vil, el servicio de atenci\u00f3n al cliente basado en chat y otras herramientas digitales. Informe de tendencias FIS 2022 de Adobe<\/em><\/a>, <\/em>por ejemplo, descubri\u00f3 que m\u00e1s de la mitad de las empresas de servicios financieros y de seguros encuestadas experimentaron un aumento notable de visitantes digitales\/m\u00f3viles en la primera mitad de 2020. El mismo informe encontr\u00f3 que cuatro de cada diez ejecutivos financieros dicen que los canales digitales y m\u00f3viles representan para m\u00e1s de la mitad de sus ventas, una tendencia que se espera que contin\u00fae en los pr\u00f3ximos a\u00f1os.<\/p>\n A medida que las instituciones financieras expanden su huella digital, tienen m\u00e1s oportunidades de servir mejor a sus clientes, pero tambi\u00e9n est\u00e1n m\u00e1s expuestas a amenazas de seguridad. Cada nueva herramienta aumenta la superficie de ataque. Un mayor n\u00famero de posibles brechas de seguridad puede conducir potencialmente a un mayor n\u00famero de violaciones de seguridad.<\/p>\n De acuerdo con la Encuesta comparativa de CISO de Cisco<\/a>, el 17 % de las organizaciones tuvo 100\u00a0000 o m\u00e1s alertas de seguridad diarias en 2020. Despu\u00e9s de la pandemia, esa trayectoria ha continuado. 2021 tuvo un n\u00famero m\u00e1s alto de todos los tiempos de vulnerabilidades y exposiciones comunes<\/a>: 20,141, que super\u00f3 el r\u00e9cord de 2020 de 18,325.<\/p>\n La conclusi\u00f3n clave es que el crecimiento digital en la industria financiera es no <\/strong>parada; por lo tanto, los equipos de ciberseguridad necesitar\u00e1n formas de obtener una visibilidad precisa y en tiempo real de su superficie de ataque. A partir de ah\u00ed, identifique las vulnerabilidades m\u00e1s explotables y prior\u00edcelas para parchearlas.<\/p>\n Tradicionalmente, las instituciones financieras han utilizado varias t\u00e9cnicas diferentes para evaluar su postura de seguridad.<\/p>\n La simulaci\u00f3n de infracciones y ataques, o BAS, ayuda a identificar vulnerabilidades al simular las posibles rutas de ataque que podr\u00eda usar un actor malicioso. Esto permite la validaci\u00f3n de control din\u00e1mico, pero est\u00e1 basado en agentes y es dif\u00edcil de implementar. Tambi\u00e9n limita las simulaciones a un libro de jugadas predefinido, lo que significa que el alcance nunca estar\u00e1 completo.<\/p>\n Las pruebas de penetraci\u00f3n manuales permiten a las organizaciones ver c\u00f3mo los controles de un banco, por ejemplo, resisten un ataque del mundo real, al tiempo que brindan informaci\u00f3n adicional sobre la perspectiva del atacante. Sin embargo, este proceso puede ser costoso y se completa solo unas pocas veces al a\u00f1o en el mejor de los casos. Esto significa que no puede proporcionar informaci\u00f3n en tiempo real. Adem\u00e1s, los resultados siempre dependen de la habilidad y el alcance del probador de penetraci\u00f3n de terceros. Si un humano pasara por alto una vulnerabilidad explotable durante una prueba de penetraci\u00f3n, podr\u00eda permanecer sin ser detectada hasta que un atacante la aproveche.<\/p>\n Los an\u00e1lisis de vulnerabilidades son pruebas automatizadas de la red de una empresa. Estos se pueden programar y ejecutar en cualquier momento, con la frecuencia que se desee. Sin embargo, est\u00e1n limitados en el contexto que pueden proporcionar. En la mayor\u00eda de los casos, un equipo de seguridad cibern\u00e9tica solo recibir\u00e1 una calificaci\u00f3n de gravedad CVSS (ninguna, baja, media, alta o cr\u00edtica) para cada problema detectado por el an\u00e1lisis. Su equipo llevar\u00e1 la carga de investigar y resolver el problema.<\/p>\n Los escaneos de vulnerabilidad tambi\u00e9n plantean el problema de la fatiga de las alertas. con tantos real <\/em>amenazas a las que enfrentarse, los equipos de seguridad de la industria financiera deben poder centrarse en las vulnerabilidades explotables que potencialmente pueden causar el mayor impacto en el negocio. <\/p>\n Validaci\u00f3n de seguridad automatizada<\/a>, o ASV, proporciona un enfoque nuevo y preciso. Combina escaneos de vulnerabilidades, validaci\u00f3n de controles, explotaci\u00f3n real y recomendaciones de remediaci\u00f3n basadas en riesgos para una gesti\u00f3n completa de la superficie de ataque.<\/p>\n ASV brinda cobertura continua, lo que brinda a las instituciones financieras informaci\u00f3n en tiempo real sobre su postura de seguridad. Al combinar la cobertura interna y externa, proporciona la imagen m\u00e1s completa posible de todo su entorno de riesgo. Y, debido a que modela el comportamiento de un atacante de la vida real, va mucho m\u00e1s all\u00e1 de lo que puede hacerlo una simulaci\u00f3n basada en escenarios.<\/p>\n (Casi) no hace falta decir que los bancos, las cooperativas de cr\u00e9dito y las compa\u00f1\u00edas de seguros necesitan un alto nivel de seguridad para proteger los datos de sus clientes. Tambi\u00e9n deben cumplir con ciertos est\u00e1ndares de cumplimiento, como FINRA y PCI-DSS.<\/p>\n Entonces: \u00bfc\u00f3mo lo est\u00e1n haciendo? Muchos est\u00e1n invirtiendo en herramientas de validaci\u00f3n de seguridad automatizadas que les muestran su verdadero riesgo de seguridad en un momento dado, y luego usan esos conocimientos para crear una hoja de ruta para la remediaci\u00f3n. Esta es la hoja de ruta que siguen instituciones financieras como Sander Capital Management:<\/p>\n Usando Pentera para mapear su superficie de ataque orientada a la web, est\u00e1n reuniendo una comprensi\u00f3n completa de sus dominios, direcciones IP, redes, servicios y sitios web.<\/p>\n Al explotar de forma segura los activos mapeados con las \u00faltimas t\u00e9cnicas de ataque, est\u00e1n descubriendo vectores de ataque completos, tanto internos como externos. Esto les brinda el conocimiento que necesitan para comprender qu\u00e9 es realmente explotable y vale la pena invertir los recursos para remediarlo.<\/p>\n Al aprovechar la emulaci\u00f3n de la ruta de ataque, pueden identificar el impacto comercial de cada brecha de seguridad y asignar importancia a la causa ra\u00edz de cada vector de ataque verificado. Esto le da a su equipo una hoja de ruta mucho m\u00e1s f\u00e1cil de seguir para proteger su organizaci\u00f3n.<\/p>\n Siguiendo una lista de remediaci\u00f3n rentable, estas organizaciones financieras est\u00e1n empoderando a sus equipos de seguridad para resolver brechas y medir el impacto de sus esfuerzos en su postura general de TI. <\/p>\n Cuando se trata de su <\/em>organizaci\u00f3n: \u00bfsabe d\u00f3nde est\u00e1n sus eslabones m\u00e1s d\u00e9biles para poder resolverlos antes de que un atacante los use en su contra?<\/p>\n Si est\u00e1 listo para validar su organizaci\u00f3n frente a las amenazas m\u00e1s recientes, solicitar un chequeo de salud de seguridad gratuito<\/a>.<\/p>\n <\/p>\n<\/div>\nEnfoques tradicionales para la validaci\u00f3n de seguridad<\/strong><\/h2>\n
Simulaci\u00f3n de brechas y ataques<\/strong><\/h4>\n
Pruebas de penetraci\u00f3n manuales<\/strong><\/h4>\n
Exploraciones de vulnerabilidad<\/strong><\/h4>\n
Un rayo de luz <\/strong><\/h4>\n
C\u00f3mo la industria financiera est\u00e1 utilizando ASV<\/strong><\/h2>\n
Paso 1 <\/strong>\u2014 <\/b>Conocer su superficie de ataque<\/strong><\/h4>\n
Paso 2 <\/strong>\u2014<\/b> Desafiando su superficie de ataque<\/strong><\/h4>\n
Paso 3 <\/strong>\u2014<\/b> Priorizar los esfuerzos de remediaci\u00f3n por impacto<\/strong><\/h4>\n
Paso 4 <\/strong>\u2014<\/b> Ejecutando su hoja de ruta de remediaci\u00f3n<\/strong><\/h4>\n