En la mayoría de los casos, la seguridad no está dentro de las prioridades de las empresas por la premura de responder a las condiciones actuales y la rapidez de salida al mercado. Los trabajadores remotos usan dispositivos corporativos o propios, sin tener al día controles de seguridad. Los usuarios aumentaron su actividad en Internet pero son poco conscientes de los riesgos a los que se enfrentan. Los equipos de tecnología y seguridad están enfocados en permitir la continuidad del negocio y no dan abasto para cubrir los riesgos emergentes.
Mientras tanto, los delincuentes se frotan las manos. Están en medio de la tormenta perfecta. Todos son factores que les hacen más fácil sus actividades pues amplían la superficie de ataque y permiten que puedan lanzar ataques con mayores posibilidades de lograr su objetivo. No en vano escuchamos más frecuentemente que el ransomware, phishing y otros vectores de ataque están haciendo de las suyas en todas las industrias, incluyendo las relacionadas a la salud.
Superficie de ataque y estrategia
Las estrategias de seguridad de las organizaciones deben enfocarse en tres objetivos principales: reducir la superficie de ataque, que no es más que la suma de las vulnerabilidades, establecer controles preventivos que frenen la mayor cantidad posible de amenazas y monitorear los sistemas para detectar y responder lo más pronto posible frente a aquellas amenazas que logran sobrepasar los controles. Me enfocaré en el primero de estos objetivos y espero en siguientes entradas discutir los demás.
No existe la seguridad perfecta y los esfuerzos deben siempre estar encaminados a hacerle más difícil el trabajo a los atacantes y minimizar el daño que puedan hacer. La reducción de la superficie de ataque se enfoca justamente en limitar las oportunidades disponibles para los cibercriminales. Aunque varía por factores como la industria en la que estemos o la posible ganancia que pueden obtener, claramente la atención que recibimos de los atacantes depende de qué tan fácil pueden hacer su trabajo. Entre menos esfuerzo deban hacer para lograr sus objetivos (robo de información sensible o credenciales, fraude, afectación de las operaciones, etc.) mayor la posibilidad de convertirnos en un objetivo.
[También puede ver: ¿Cómo encontrar vulnerabilidades en un sistema?]
A nuestro pesar, los atacantes tampoco se quedan quietos y están todo el tiempo pensando en nuevas formas de vulnerar nuestros sistemas. Descubren falencias en los sistemas, inventan nuevas técnicas y aprovechan la existencia de mercados negros para acceder rápidamente a estas “innovaciones”. Por eso, la reducción de la superficie de ataque debe ser una prioridad y se debe realizar de forma continua.
¿Por dónde empezar?
Existen múltiples frentes de trabajo para lograr reducir la superficie de ataque de las organizaciones. Algunas de estas son:
- Reducción de la complejidad de las redes: las redes complejas suelen ser el resultado de inadecuada gestión sobre las políticas y reglas de los dispositivos de red y seguridad. Suelen elevar la posibilidad de errores humanos o de contar con permisos que otorguen acceso más allá de lo necesario. Ejemplos comunes son reglas duplicadas, redundantes o que ya no prestan ningún propósito.
- Segmentación de las redes: la idea de reducir la superficie de ataque es hacer más difícil la tarea a los atacantes y pocas cosas son más efectivas que implementar muchas barreras que impidan que se muevan de un lado a otro en la red. Aunque los firewalls continúan siendo claves para proteger los movimientos norte-sur, la microsegmentación busca además limitar las comunicaciones este-oeste restringiéndola entre las cargas de trabajo y evitando que los usuarios accedan a ubicaciones de la red que son innecesarias o no permitidas.
- Alineación de configuraciones a mejores prácticas: quizás una de las actividades más efectivas para fortalecer la postura de seguridad pero menos valorada por los equipos de TI y seguridad. Como muestra, Gartner predice que para 2025, el 99% de las fallas de seguridad en la nube serán culpa del cliente. Una gran cantidad de estas debido a configuraciones inadecuadas. La nube no es la excepción. Pocas organizaciones realizan un proceso serio y continuo para remediar los problemas de seguridad asociados a las configuraciones que involucre la revisión frente a mejoras prácticas como CIS (Center for Internet Security) en sistemas operativos, bases de datos, aplicaciones y dispositivos de red.
- Sensibilización y entrenamiento de usuarios: en la mayoría de las grandes y renombradas violaciones de la seguridad de las empresas todo empezó por un error de un usuario o porque fue víctima de ingeniería social. Esto no es una casualidad. Los usuarios continuamos siendo el eslabón más débil de la cadena y los ciberdelincuentes se aprovechan de esto. Es necesario implementar planes robustos y continuos que permitan a los usuarios convertirse en la primera línea de defensa.
- Gestión de vulnerabilidades: uno de los retos más grandes de las áreas de TI y seguridad debido a la expansión del perímetro y la cantidad de nuevas tecnologías que se agregan a las infraestructuras (nube, contenedores, IoT, etc). Implica identificar y clasificar todos los activos, detectar automáticamente y en tiempo real las vulnerabilidades, priorizar e implementar los parches en los sistemas. Además, requiere establecer controles compensatorios para reducir el riesgo en aquellos que no es posible implementar parches por su criticidad, por ser heredados o simplemente porque aún no están disponibles.
[Vea de manera gráfica: cómo gestionar, detectar y responder a vulnerabilidades]
Cada uno de estos frentes de trabajo aunque pueden trabajarse manualmente si se desea, afortunadamente se cuenta hoy en día con tecnologías que hacen mucho más fácil para las organizaciones poder desarrollarlos y lograr avances rápidos y exitosos. Desde herramientas que habilitan ZTNA como Prisma Access de Palo Alto o microsegmentación como EyeSegment de Forescout pasando por plataformas de gestión de vulnerabilidades y de assessment de configuraciones como Qualys VMDR o gestión de políticas de seguridad como AlgoSec.