Hay un adagio simple en ciberseguridad: no puedes defender lo que no puedes ver. Pero a medida que la visibilidad se ha vuelto cada vez más crítica para la protección efectiva de la red, también se ha vuelto mucho más difícil de lograr. A medida que el número de dispositivos IoT aumenta exponencialmente, la escala, el alcance e incluso la definición de red ha cambiado drásticamente. Las implementaciones en múltiples nubes y los enfoques de DevOps han dispersado los datos de las organizaciones, mientras que los grados cada vez mayores de movilidad crean más y más puntos de acceso. Los CISO de hoy y sus equipos ahora deben proteger una superficie de ataque en constante y rápida expansión.
«La falta de visibilidad de los elementos clave, funciones y actividades de la red deja a cualquier empresa susceptible a un ciberataque potencialmente devastador», advierte Michael Chertoff, ex secretario del Departamento de Seguridad Nacional. “Si bien la visibilidad en toda la red y la pila de tecnología es importante, me enfocaría en cuatro áreas clave de visibilidad que probablemente brinden a los profesionales de seguridad la mejor comprensión de las amenazas potenciales que acechan en sus sistemas: visibilidad en dispositivos, visibilidad en software y código , visibilidad en la actividad de la red y visibilidad en el acceso «.
Para Tim Crothers de Target, un nuevo enfoque de la visibilidad comienza no viéndolo como una vigilancia pasiva tradicional, sino más bien como un proceso continuo para obtener comprensión y conocimientos sobre los atacantes y sus motivos. Al hacer esto, los expertos en seguridad tienen la oportunidad de atacar.
«Cuando comprendemos que están buscando credenciales almacenadas en caché localmente y por qué, podemos configurar una picadura», explica Crothers. “Podemos ejecutar una secuencia de comandos en nuestros hosts locales que almacena en caché credenciales de administrador falsas, sabiendo que no hay un uso comercial legítimo para obtener credenciales, y esperar a que muerdan el anzuelo. Un ciberdelincuente que ha obtenido acceso a una red no tiene forma de saber si las credenciales capturadas son válidas hasta que las prueban, y cuando lo hacen, activan una serie de alarmas y cajas de seguridad que les impiden continuar.
Es un enfoque que difumina las líneas entre la visibilidad y la estrategia de inspección más proactiva. «La inspección es la salvaguardia que permite a los equipos de seguridad detener preventivamente los ataques al encontrar las ‘incógnitas conocidas'», explica el autor de Digital Big Bang , Phil Quade, «las fallas en la red intentadas o ya logradas que usted sabe que existen pero que no sabe dónde.»
La forma en que se realiza esa inspección puede afectar a una amplia gama de partes interesadas, y la forma en que responden a ella depende a menudo del contexto en el que ocurre.
«La inspección, como todas las formas de seguridad, es contextual», escribe Ed Amoroso de TAG Cyber. “Las personas piensan de una manera acerca de la idea de las herramientas de seguridad en sus hogares u oficinas, y de otra manera acerca de una cámara de vigilancia en una plataforma de metro a las 2 AM. Los equipos de TI deben explicar, y lo que es más importante, implementar, herramientas y técnicas de inspección de manera que aprovechen este aspecto de la naturaleza humana. Las organizaciones que no pueden presentar un argumento claro y convincente para el uso transparente de la inspección corren el riesgo de perder el control de todos sus datos «.
Un gran beneficio estratégico para una mayor visibilidad e inspección es la información y el conocimiento que ofrece en un plan integral de recuperación de fallas.
«Reducir el tiempo entre el descubrimiento y la recuperación de incidentes es un elemento crítico en la preparación de eventos», dice Simon Lambe, líder de seguridad de la información en un servicio de correo nacional. “Lograr esto requiere una administración integral de activos y un monitoreo activo de eventos … Desafortunadamente, demasiados equipos de seguridad ni siquiera saben qué recursos están conectados a la red, y mucho menos poder priorizarlos, que es donde la administración de activos juega un papel crucial. »
Para obtener más información sobre estas estrategias avanzadas para la ciberseguridad y las perspectivas de más expertos de la industria, solicite una reunión con nuestros ingenieros
Sona Green Blog 