|

Ciberseguridad externa: Zero Trust desde el exterior

En todos los sectores, la transformación digital creó nuevos retos para los equipos de ciberseguridad, desde hace más de una década. La transformación digital no es nueva, pero sigue siendo un tema común porque hoy en día la transformación es perpetua. Debido a este cambio perpetuo, la confianza cero se ha convertido, en gran parte, en una necesidad. Las empresas se relacionan con los clientes fuera de la infraestructura tradicional de la compañía todos los días. Sin embargo, el espacio gris -la infraestructura entre su perímetro y donde operan los adversarios y su negocio- ha sido desproporcionadamente ignorado, creando debilidades de seguridad para los actores de amenazas oportunistas. Las redes sociales, los foros en línea, el metaverso y otras tecnologías emergentes se han convertido en objetivos populares para los actores de amenazas, que buscan notoriamente el camino de menor resistencia.

Estas tecnologías, aunque importantes, también introducen nuevos riesgos. La ampliación de la superficie de ataque introduce nuevas vulnerabilidades y exposiciones que siguen atrayendo a los actores maliciosos que operan en la clandestinidad digital. Estos actores maliciosos utilizan nuevas herramientas propias, como grandes redes de bots para lanzar ataques de phishing, manipular las redes sociales, cometer fraudes y dañar la confianza de los clientes en las marcas. Con estas amenazas en juego, en los últimos años se ha producido una rápida ruptura del antiguo perímetro corporativo que antes consistía en centros de datos y cortafuegos, y ha empujado a los equipos de seguridad a mirar más allá y hacia un horizonte de amenazas mayor.

Para todas las organizaciones, independientemente del sector o del tamaño, existe una necesidad urgente de encontrar una estrategia mejor para preservar la confianza de los clientes, reducir el riesgo en las superficies de ataque públicas y mitigar los efectos de las violaciones de datos, todo ello reconociendo que el perímetro corporativo tradicional ha evolucionado. Ahí es donde entra la ciberseguridad externa.

¿Qué es la ciberseguridad externa?

A pesar de la evolución de las herramientas, marcos y normas -por ejemplo, el Marco de Ciberseguridad del NIST, PCI DSS, MITRE ATT&CK, etc. – las soluciones de seguridad a menudo se centran únicamente en lo que está dentro del perímetro tradicional, dejando a sus organizaciones vulnerables a los ataques y a las infracciones. Las empresas utilizan, y se abusan de ellas, una plétora de plataformas de propiedad y operación externa, incluyendo bolsas de trabajo, tiendas de aplicaciones móviles, sitios de subastas, tiendas digitales y, por supuesto, medios sociales. Así, las arquitecturas de nubes múltiples e híbridas son porosas, y la tasa y el coste de las violaciones de datos han aumentado con el uso de la nube y los medios sociales. La ciberseguridad externa, sin embargo, es un componente crítico que ayuda a proteger a su gente y su propiedad (incluyendo la virtual y la intelectual) en el salvaje oeste digital.

La ciberseguridad externa se define como la orquestación de la inteligencia humana y de las máquinas para descubrir e interrumpir las amenazas más allá del perímetro corporativo. 

Para obtener el control sobre su superficie de ataque en expansión, así como para mitigar cualquier preocupación, los equipos de seguridad pueden, y deben, aprovechar los expertos en ciberseguridad externa y las herramientas para cazar en el ciberespacio con el fin de proteger las marcas corporativas y las personalidades, rastrear a los actores de amenazas criminales y estatales, e interrumpir las actividades maliciosas antes, durante y después de las intrusiones.

Sin embargo, es importante tener en cuenta que las herramientas de ciberseguridad externa están orientadas fuera del perímetro corporativo, no dentro de los centros de datos, para proporcionar visibilidad de la superficie de ataque externa, las plataformas digitales públicas, las infraestructuras de ciberamenazas y las conversaciones delictivas en la clandestinidad. Como tal, la ciberseguridad externa no incluye los cortafuegos ni los controles de seguridad que protegen los medios externos y extraíbles, como los CD.

El objetivo de la ciberseguridad externa no es sustituir a las personas o herramientas internas. Más bien, el objetivo es llenar las lagunas de visibilidad y enriquecer las herramientas y procesos existentes con una plataforma completa que supervise el espacio gris entre las amenazas y los clientes. Tanto la seguridad interna como la externa son fundamentales para un enfoque de Confianza Cero; sólo que no deberían ser sus primeras líneas de defensa.

Además, un programa de ciberseguridad externa contribuye a aumentar la resistencia de una organización y también apoya las estrategias de Confianza Cero. La confianza cero es un marco de seguridad cada vez más popular que se utiliza para limitar el acceso privilegiado basado en el contexto y la confianza basada en la identidad. Reconociendo que ya no existe un perímetro tradicional, el gobierno de los Estados Unidos está ordenando arquitecturas y estrategias de Confianza Cero para todas las agencias federales con el fin de reducir los riesgos de la transformación digital y el desarrollo de aplicaciones en la nube. Una estrategia de Cero Confianza fracasará sin el descubrimiento, la identificación y el inventario continuos de la superficie de ataque de la organización.

3 ejemplos de ciberseguridad externa en acción

La ciberseguridad externa proporciona valor a las organizaciones que buscan mitigar las vulnerabilidades. Aunque en el informe de ZeroFox se puede encontrar una lista completa, con ejemplos, de ciberseguridad externa en acción, a continuación se presentan algunos ejemplos.

Suplantación de la identidad de una marca

La suplantación de marcas se produce cuando los malos actores, desde los ocupantes de dominios de más bajo nivel hasta los actores de amenazas estatales, se hacen pasar por personas y marcas para violar la confianza depositada en una organización por sus clientes y usuarios. Estas suplantaciones se producen en aplicaciones móviles, perfiles de redes sociales y anuncios, dominios de typosquatting, escaparates fraudulentos, páginas de phishing, correo electrónico, etc. Las suplantaciones causan un daño continuo porque degradan la confianza de los clientes y roban ingresos a la marca.

Detectar las imitaciones de marcas, ejecutivos y dominios es necesario para ayudar a garantizar la confianza de los clientes fuera de su organización. Pero, enumerar las imitaciones es sólo un primer paso, muy complejo. Las organizaciones deben proteger a sus clientes y socios para que no sean víctimas de suplantaciones y fraudes, interrumpiendo la infraestructura del actor de la amenaza o los perfiles en las redes sociales lo antes posible. Esto incluye tanto la retirada y la interrupción de cualquier marca colateral, como la detención del problema en su origen, informando a las redes sociales y a los proveedores de servicios de Internet. En particular, la interrupción es un enfoque integral que trabaja con los proveedores de alojamiento, las plataformas de medios sociales, los navegadores, los proveedores de seguridad de la red, las redes de entrega de contenidos, y más para colocar rápidamente tantas barreras entre las víctimas y los delincuentes como sea posible.

Inteligencia sobre amenazas

La inteligencia sobre amenazas implica la supervisión de varias fuentes, incluidos los rincones ocultos de la web oscura, para descubrir y evaluar las amenazas relevantes para su organización. En última instancia, complementa cualquier dato interno y proporciona una ventana oportuna y precisa al panorama de las amenazas mediante la recopilación de inteligencia técnica, abierta y humana en bruto de todas las áreas del ciberespacio.

La inteligencia sobre amenazas sirve a una variedad de funciones empresariales y personas.. En los niveles técnico y táctico de la defensa de una organización, la inteligencia sobre amenazas mejora la toma de decisiones de los analistas y los individuos del SOC, el equipo de respuesta a incidentes, el equipo de seguridad física, el programa de riesgo de vulnerabilidad y de riesgo interno, etc., al enriquecer la telemetría interna, añadir contexto y proporcionar observaciones históricas para tomar decisiones mejores y más rápidas. A nivel operativo, la inteligencia sobre amenazas sirve a los arquitectos de seguridad, los CISO, los CIO y los líderes de TI y de seguridad al proporcionar perfiles y modelos sólidos de amenazas conocidas y evaluaciones prospectivas para gestionar mejor las superficies de ataque y reducir los riesgos.

En otras palabras, la inteligencia sobre amenazas toma miles de puntos de datos sin procesar y añade un contexto que permite a las organizaciones tomar medidas significativas para proteger sus valiosos activos.

Respuesta a las filtraciones de datos y cumplimiento de la normativa

Las violaciones de datos son crisis para las organizaciones. Amenazan la existencia y viabilidad de una empresa y la relación con sus clientes. En un incidente a gran escala, la filtración puede inmovilizar recursos durante años en litigios y negociaciones con los reguladores sobre multas y sanciones.

Una vez que los expertos forenses han determinado que se ha producido una filtración de datos y la organización afectada ha identificado todos los datos robados y los nombres de las víctimas, se inicia el proceso de notificación de la filtración y la supervisión del robo de identidad dentro del marco de cumplimiento necesario. Esto puede llevarse a cabo con recursos internos, pero lleva mucho tiempo y agota los recursos internos. Sin embargo, los socios externos tienen la escala y la experiencia para reducir de manera más eficiente y eficaz el impacto de una violación de datos para su organización, clientes y socios.

Dado que la mayoría de las violaciones de datos comienzan con la reutilización de credenciales comprometidas por parte de los actores de la amenaza, es de vital importancia contar con personas y tecnología que supervisen continuamente el espacio gris de las credenciales de sus empleados, socios y clientes. Como observó recientemente Allie Mellen de Forrester, «la identidad es el nuevo punto final». Para que una estrategia de Confianza Cero tenga éxito -para establecer y mantener la confianza- la remediación de credenciales de cuentas comprometidas debe ser automatizada y orquestada con los otros componentes del marco. Un programa de ciberseguridad externo con capacidades de automatización y detección de amenazas agiliza estos componentes en su conjunto, desde la detección de infracciones hasta la respuesta y la reparación de credenciales de cuentas, y ayuda al cumplimiento de las políticas de Confianza Cero.

Perspectiva de futuro

Es poco probable que el personal y los presupuestos de seguridad cubran todas las necesidades en un futuro próximo, lo que traslada la responsabilidad a las empresas de ciberseguridad externas que pueden proporcionar la experiencia (por ejemplo, RFI de inteligencia, respuesta a incidentes, pruebas de penetración), la información (por ejemplo, medios sociales, inteligencia de amenazas, TI en la sombra) y las herramientas (por ejemplo, interrupción, respuesta a la violación de datos) en el momento y lugar adecuados para hacer frente a las crisis. La ciberseguridad externa consigue un conocimiento de la situación más amplio al fusionar la enorme cantidad de datos del espacio gris para rastrear más amenazas, añadir más valor, reducir la ineficacia y reducir más riesgos para una organización de seguridad que una colección de soluciones de nicho.

Para obtener más información sobre la ciberseguridad externa, incluida una lista completa de áreas de impacto y el enfoque de ZeroFox, obtenga su copia de ZeroFox Guide to External Cybersecurity. 

CALENDARIO DE EVENTOS

¿Necesitas más información?


    En cumplimiento del art. 13 del Reglamento (UE) 2016/679 General de Protección de Datos, le informamos de que INGECOM IGNITION tratará sus datos personales con la finalidad de gestionar su consulta. Puede ejercer sus derechos en materia de protección de datos mediante solicitud a nuestro DPO en gdpr@ingecom.net. Puede obtener información adicional sobre el tratamiento de sus datos en nuestra política de privacidad publicada en www.ingecom.net.