A medida que la tecnología se integra más profundamente en los negocios y la sociedad en general, los propietarios de negocios y los profesionales de ciberseguridad se enfrentan a la tarea de nuestra generación. Es decir, proteger la infraestructura global de IT de aquellos ciberdelincuentes que desean robar datos, chantajear a grandes corporaciones y tomar el control de sistemas automatizados con fines maliciosos.
Este artículo analiza cuatro áreas de desarrollo que deben madurar rápidamente si queremos adelantarnos a los malos actores: inteligencia de amenazas cibernéticas (CTI), seguridad de Internet de las cosas (IoT), reclutamiento de ethical hacking y estandarización de seguridad. La seguridad cibernética es la capacidad de identificar, proteger, defender, responder y recuperar el uso del ciberespacio de los ataques cibernéticos, Incluir el CTI es el punta pie para lograr un gran objetivo ante una mejora en ciberseguridad (o seguridad cibernética) , tal como lo propusieron los adeptos de la "cyberconciencia" o resilientes (que se sobrepone ante la adversidad) en seguridad informatica (Watchorn y Bishop, 2017).
Inteligencia de amenazas cibernéticas (CTI)
A medida que los ciberdelincuentes se vuelvan más sofisticados y los ataques altamente selectivos reemplacen a los métodos más oportunistas, las empresas que puedan reconocer rápidamente los signos de un ataque, difundir ampliamente la información y desplegar contramedidas serán las que sobrevivan.
Es poco probable que las estrategias creadas en reacción a un ataque, ya sea mortal persistente o incluso desde el día cero, sean suficientes, es más, los métodos proactivos podrían no ser suficientes. El campo de CTI, como se detalla en profundidad en un blog anterior de EC-Council, proporciona medidas de defensa específicas que han demostrado conducir a la identificación de más amenazas y, lo más importante, tasas de detección más rápidas. Tomando solo los costos de las multas por violación de datos, se espera que el uso de la tecnología CTI ahorre alrededor de un millón de dólares por violación por año.
Los componentes clave de un sistema CTI robusto son la estrecha integración con la planificación y dirección del negocio; Recopilación, procesamiento y análisis de datos efectivos, y difusión amplia y rápida. El resultado de este proceso (la etapa de retroalimentación) debe alinearse con el objetivo inicial de negocio y planificación para crear un ciclo repetitivo de prevención de amenazas cibernéticas cada vez más relevante y cada vez más efectiva.
Un estudio del Instituto Ponemon, detallado en la publicación del blog de EC-Council, reveló que las empresas creen que ocho de cada diez de las infracciones que habían sufrido habrían sido mitigadas por el uso efectivo de CTI.
Seguridad del Internet de las cosas (IoT)
Muchos propietarios de negocios aún no comprenden el potencial del IoT para derribar sus negocios. El IoT, tal como existe actualmente, combina la integración más profunda de la tecnología en la empresa con las medidas de seguridad más inadecuadas. La mercantilización de IT tiene mucho que responder, pero es obligatorio, como siempre, que los propietarios de empresas sean dueños de su propia seguridad cibernética y no confíen que los proveedores de IoT puedan asegurar sus negocios para ellos.
Como deja en claro un informe técnico de Kaspersky sobre IoT, los sistemas operativos asociados con los dispositivos de IoT son, en general, sobre valorados y poco seguros. Esto pone a las empresas en riesgo de robo de datos y sabotaje remoto de dispositivos conectados.
Tomando una subcategoría de IoT, Smart Automotive, Kaspersky explica que cuanto más complejo es un sistema, más difícil es asegurarlo ya que los errores se pasan por alto fácilmente. Para mitigar una amenaza, es necesario combinar políticas de seguridad sólidas y tecnologías de separación. Sin embargo, el IoT requiere un tipo diferente de política de seguridad a la que los propietarios de negocios estarán acostumbrados. Por ejemplo, el control de acceso basado en el usuario es menos importante que el control de acceso "basado en la cosa" y los enfoques basados en la capacidad, ya que los ataques cibernéticos pueden provenir de muchos vectores diferentes (código malicioso en aplicaciones de terceros, etc..). Según el NIST NISTIR 7298 Rev. 2, un ataque cibernético es "un ataque, a través del ciberespacio, dirigido al uso del ciberespacio de una empresa con el propósito de interrumpir, deshabilitar, destruir o controlar maliciosamente un entorno / infraestructura de una computadora; o destruir la integridad de los datos o robar información", mientras que un incidente cibernético se define como "acciones tomadas mediante el uso de redes informáticas que resultan en un efecto real o potencialmente adverso en un sistema de información y / o la información que reside en él." La complejidad del entorno de IoT requiere conocer las sutiles diferencias entre los dos eventos, para garantizar que cada uno tenga definido un plan de respuesta que describa la estrategia de mitigación requerida para los gestores de incidentes operacionales.
Charlie Miller y Chris Valasek destacaron estos peligros precisos en uno de los trucos publicitarios más efectivos y escalofriantes jamás filmados. El dúo pirateó un vehículo a través de su sistema de información Uconnect y pudo consultar datos y emitir mensajes para afectar la radio, el aire acondicionado, los limpiaparabrisas, los chorros de agua, el panel e incluso el motor del vehículo. También demostraron cómo, a bajas velocidades, se podía controlar la dirección y los frenos del automóvil.
Esto ejemplifica la importancia de separar las funciones, como la comunicación, la información y suit de entretenimiento e incluso la seguridad del conductor, entre sí. La descripción del software de hackeo que se reportó en WIRED, ahora característica legendaria, fue: "software que permite a los hackers enviar comandos a través del sistema de entretenimiento del Jeep a las funciones del tablero, dirección, frenos y transmisión, todo desde una computadora portátil que puede estar en todo el país. "
Una de las medidas de seguridad de la próxima generación que pueden minimizar los riesgos de este tipo de ataque incluye reducir el código confiable al separar los procesos de conexión y autenticación de las comunicaciones a nivel de aplicación.
Ethical hacking
El hack de Miller y Valasek también destaca el valor del hacking ético como herramienta contra el cibercrimen. Miller y Valasek trabajan para una compañía de automóviles autónomos como investigadores de seguridad, pero también han expuesto fallas con la tecnología MacBook Air, iPhone, iPad, Safari, Windows y NFC.
Su trabajo ha ayudado a Apple, Microsoft y otros a ser más seguros, pero claramente este enfoque debe ampliarse si los equipos de seguridad van a mantenerse al día con los ciberdelincuentes. Como dice Valasek, "más personas como nosotros deben centrarse en este problema".
En 2002, EC-Council creó la certificación CEH con este tipo de papel en mente.
En camino a la estandarización
¿Realmente deberíamos confiar en la benevolencia del Ethical Hacking
para asegurar nuestros negocios? ¿Cómo pueden los dueños de negocios (y los servicios de IT administrados que brindan seguridad) tomar más control sobre la ciberseguridad?
Una de las razones por las cuales el IoT se encuentra en un estado tan vulnerable es la falta de un marco de cumplimiento de ciberseguridad estandarizado para la próxima generación. Sin esta responsabilidad, los proveedores de dispositivos IoT a menudo competirán en la función y el nivel de costo. El problema es, como Kaspersky lo dice acertadamente, "la complejidad y la seguridad son características conflictivas".
Hasta que el mercado fuerce a confirmar el verdadero costo de confiar en dispositivos IoT mal asegurados, las empresas deben protegerse de su propia necesidad de reducir sus costos tecnológicos. Al igual que con todas las otras formas de seguridad y protección del consumidor, la estandarización ocurrirá. El proceso ya está en marcha a nivel de políticas gubernamentales y eventualmente se decidirán y se implementarán marcos para el cumplimiento.
Hasta ese momento, las empresas deben hacer su debida diligencia y verificar las credenciales de seguridad de los proveedores, su proveedor de soporte de IT, consultores y cualquier otra persona que tenga un impacto directo en la seguridad cibernética de su empresa. Para ayudarlos, EC-Council y CREST han introducido equivalencia entre varios certificados de ciberseguridad como se explicó en una publicación anterior del blog de EC-Council.
Reuniéndolo todo
En última instancia, cuanto antes podamos crear un enfoque holístico de ciberseguridad entrelazando los cuatro hilos anteriores, más otros, la ciberseguridad de las empresas podrá ser a prueba de cualquier problema futuro.
las empresas necesitan invertir en las mejores medidas de CTI para predecir ataques e interrumpirlos incluso antes de que ocurran, necesitan poner atención a la seguridad de los IoT y no solo enloquecer con su gran cantidad de funciones.
Las preguntas que deberia hacer
¿Qué tan profundo puede penetrar este dispositivo en mi negocio?
¿Cómo se asegura de forma fisica?
¿Ha sido asegurado por diseño? (por ejemplo, ¿impone el acceso de usuario "basado en cosas", envía un código mínimo de confianza, etc.?)
¿Puede ser actualizado?
¿Por cuánto tiempo será compatible?
Los propietarios de negocios y los proveedores de seguridad de IT también deben estar al tanto de los últimos avances de ciberseguridad y mejores prácticas, ademas cuando sea posible, invertir en pruebas de penetración (e incluso ethical hacking ) para probar sus redes.
Sólo entonces tendremos una ciberseguridad que realmente pueda conciderarse de próxima generación.
Texto original:
Comments