¿Te interesa conocer cómo los ciberatacantes ven la seguridad de tu empresa y descubrir si tus defensas son realmente efectivas frente a amenazas modernas?
Los CISO y los responsables de seguridad suelen ver sus entornos desde una perspectiva macro, considerando el "todo" como objeto de protección en lugar de las partes separadas que lo definen.
Sin embargo, no ocurre lo mismo con las amenazas. Cada red, dispositivo, sistema o aplicación presenta una oportunidad distinta de explotación. Es más, en un mundo en el que la tecnología y las asociaciones empresariales están profundamente interconectadas y aportan una gran eficiencia en el retorno de la inversión, los eslabones más débiles de estas cadenas de producción podrían hacer que el "todo" se desmoronara desde dentro.
Por lo tanto, los directivos se enfrentan a la necesidad de conciliar las necesidades empresariales y tecnológicas y, al mismo tiempo, actuar con cautela antes de comprometerse con un enfoque de seguridad único. En lugar de ello, deben tratar de ver su seguridad a través de los ojos de un atacante, adoptando una posición ofensiva hacia su propio entorno.
Puntos clave de este artículo:
- Para lograr una verdadera ciberresiliencia, los SOC deben ir a por todas. Deben poner a prueba sus suposiciones, estrategias de gestión de incidentes y herramientas asumiendo el papel de un atacante real.
- Los atacantes avanzados confían en el sigilo, perdiéndose entre el ruido de la detección y el trabajo. Dificúlteles el trabajo viendo sus movimientos tal y como son.
- La ciberseguridad evoluciona constantemente. El flujo y reflujo del panorama de las amenazas debe reflejarse en las defensas de la organización, que deben activarse a tiempo para evitar a los enemigos invisibles.
- Puesto que el tiempo es esencial, la respuesta a incidentes debe ser tan ágil como las TTPs de rápida evolución de una APT, haciendo frente a la acción maligna en minutos, no en meses.
Entrar en personaje
Tenga en cuenta que la seguridad ofensiva (OffSec) no es un término nuevo. Prácticas ofensivas como el red teaming, las pruebas de pluma y las comprobaciones de vulnerabilidades son enfoques estándar que no deberían resultar extraños a ningún CISO. Excepto que no es exactamente lo que este artículo tiene en mente.
Mientras que un enfoque ofensivo puede probar un entorno contra ataques del mundo real de forma segura, ese enfoque podría no tener en cuenta la visión específica de un atacante, ni sus TTP reales. Lo que es obvio es que la seguridad interna no tendrá las mismas herramientas/experiencia a mano.
Eso sí, emulaciones profesionales como MITRE ATT&CK Evaluations Enterprise o el ejercicio Locked Shields de la OTAN ponen a prueba TTP tangibles, pero eso queda fuera del ámbito de este artículo.
Para colmar esa laguna y reflexionar sobre lo que mejor saben hacer los actores maliciosos, los responsables de seguridad deben adoptar la mentalidad de sus enemigos.
Ver como un atacante
En primer lugar, a los atacantes les encanta eludir la detección durante el mayor tiempo posible. En un primer momento, pueden buscar aberturas en una red, una VPN insegura, servidores SQL y similares, o simplemente elaborar un mensaje de spear phishing a medida para recopilar las credenciales de alguien, y ya están dentro.
Sea como sea, una cosa está clara: los atacantes apuestan por que los profesionales de la seguridad no se enteren del ataque inicial. Esto ocurre a menudo porque los SOC internos carecen de personal suficiente, lo que lleva a un atacante a persistir durante varios meses, o quizás porque los SOC no analizan suficientemente una detección.
A veces es una cuestión de habilidades. Otras veces es una cuestión de alcance, en la que las empresas no pueden cubrir completamente las huellas de sus redes (mucha deuda técnica). En cualquier caso, el verdadero problema es la visibilidad. No se puede proteger lo que no se ve. Los atacantes lo saben, y por eso tienden a atacar durante las horas de mayor actividad (según la telemetría de ESET MDR).
Haz estrategia como un atacante
En segundo lugar, los atacantes están en constante movimiento. Los actores del ransomware como Warlock pueden tener sólo unas pocas víctimas públicas, pero han avanzado enormemente en su tecnología y han introducido técnicas de evasión innovadoras y peligrosas.
La investigación de ESET proyecta un aumento interanual del 40% en la cantidad de víctimas de ransomware que se encuentran con actores de amenazas que utilizan EDR killers y malware compatible con UEFI, por lo que las posturas de seguridad deben reflejar el cambiante panorama de amenazas.
Más información sobre los EDR killers y las medidas defensivas.
¿Cómo? Replantee su postura/estrategia actual. ¿Demasiado vago? Profundice. ¿Su plataforma de seguridad y sus módulos de protección reflejan la huella de su empresa? ¿Están actualizadas las reglas de detección de su solución EDR/XDR? ¿Pueden detectar las técnicas de "traiga su propio controlador vulnerable"? Sólo manteniéndose dinámico, como un comandante de primera línea, podrá sobrevivir una empresa en los años venideros.
Muévase como un atacante
La diferencia entre un compromiso y la prevención puede ser de tan sólo seis minutos. Si se trata de una empresa situada en un sector de alto riesgo como el manufacturero, probablemente no querrá interrumpir su producción durante varios meses, lo que para algunos costaría literalmente miles de millones de dólares. Los actores de la amenaza tampoco quieren que usted haga eso; de hecho, prefieren escapar a la notificación y moverse dentro de una red para esperar su momento hasta que se presente la oportunidad adecuada.
Pensar es teoría. El movimiento es práctica. Si no puedes tomar decisiones en cuestión de minutos, no de segundos, estás en el lado perdedor de una batalla de seguridad. Además, no quieres que haya fricción entre la consola de seguridad, sus módulos y la entrada humana adicional. Los atacantes confían en gran medida en que el malware haga gran parte del trabajo por ellos.
La adaptabilidad es, por tanto, tan vital para los defensores como para los atacantes, con una respuesta ágil que necesita mezclar la automatización con el toque humano necesario para contrarrestar la lógica maliciosa.
Pon a prueba tu poder
Es fácil caer en la complacencia. Desde la sala de juntas, basta con marcar algunas casillas "cibernéticas" y, potencialmente, dejar que eso sea todo. Pero el mundo ha cambiado. Las casillas marcadas no satisfarán a las aseguradoras cibernéticas ni convencerán a los reguladores de su preparación. Tampoco impedirán que las amenazas persistentes avanzadas se abran paso a través de ellas.
Sin embargo, son útiles, si puede hacer que trabajen para usted. Al tratar de perfilarse a través de los ojos de un atacante, considere estas casillas como características que no sólo le gustaría conseguir, sino también poner a prueba. Conviértase en atacante, vaya a la caza y vea cómo le va contra sus propios supuestos:
- Conozca a su enemigo: una cosa es utilizar una plataforma de seguridad concreta para defenderse de los ataques, pero otra muy distinta es comprender el conjunto de herramientas de los autores reales de las amenazas. Puede que no utilicen un producto XDR para atacarte, pero podrían emplear RMM legítimos o controladores firmados para escapar a la detección, junto con su propio código propietario o MaaS.
- LARPing como atacante: Comprométase con el bit, reflejando cadenas de ataque del mundo real de forma muy similar a como lo haría una prueba de empresa. Valide si sus empleados y sistemas pueden resistir ataques avanzados utilizando escenarios ubicados en la base de conocimientos ATT&CK de MITRE e inteligencia de amenazas a medida subcontratada contra sus sistemas. Si cree que no tiene capacidad suficiente para hacerlo internamente, considere la posibilidad de realizar evaluaciones externas profesionales por parte de un proveedor de servicios de equipos rojos.
- Proporcionar retroalimentación: Transforme la experiencia ofensiva en feedback real. Ponga a prueba el tiempo de respuesta de su SOC y los cuellos de botella de los incidentes, y valide su estrategia de ciberresiliencia abusando deliberadamente de sus puntos débiles. Una enorme ventaja es que estas simulaciones pueden mapear las partes vestigiales de su red, racionalizar las operaciones y reducir el gasto innecesario en TI.
Todo es cuestión de perspectiva
Al ver sus sistemas como un atacante y (realmente) convertirse en uno, los conocimientos adquiridos deberían ayudar a transformar los supuestos cibernéticos de la organización. Además, esto también pone a prueba la capacidad de un CISO o de un gestor de seguridad para ajustar dinámicamente la postura de un entorno frente a las últimas tendencias de seguridad maliciosas.
Si bien se puede confiar en la plataforma elegida y en los analistas de seguridad que la utilizan, eso sólo nos cuenta una parte de la historia. Para advertir a los lectores, debemos recordar que con el pensamiento crítico, no se puede formar una opinión sólida sin validar ambos lados de una historia.
Para obtener más información sobre las tendencias actuales de las amenazas y los desgloses de las investigaciones, consulte el último Informe sobre amenazas de ESET.
