Despertar al riesgo de seguridad de terceros



No puede confiar en las palabras, intenciones o medidas de seguridad de otros para proteger su empresa, cliente y marca.

Una mala configuración puede comprometer casi todos los datos financieros de todo un país en el nuevo ámbito de la gestión de riesgos de terceros. Sea testigo del ataque a Capital 1, un gigante de servicios financieros que expuso los datos financieros confidenciales de cientos de millones de personas debido a una configuración de seguridad deficiente en un servicio de terceros, Amazon Internet Products and services. Ese ataque podría sucederle a cualquier compañía hoy la mayoría no tiene inventario de su riesgo de terceros y son objetivos principales para los piratas informáticos.

Terceros incluidos socios, proveedores y servicios de alojamiento en la nube que están directamente vinculados a sus redes son uno de sus mayores riesgos para una violación de seguridad perjudicial. Un estudio de 2018 realizado por el Instituto Ponemon descubrió que casi el 60% de las empresas encuestadas habían sufrido una violación de datos causada por terceros o proveedores en el último año.

¿Qué está causando más riesgo de terceros? Primero, la forma en que las aplicaciones internas y externas (orientadas al cliente) se construyen hoy es muy diferente a la de hace una década. Hoy, las aplicaciones se componen de múltiples servicios más pequeños: microservicios. Estos pueden ser para tareas internas simples entregar una fuente de datos de alerta o para servicios complicados entregados a través de un program como servicio. Todos los servicios se conectan, interna y externamente, a través de API. Cuando los sitios world-wide-web de finanzas populares, por ejemplo, se cargan en su navegador o en aplicaciones móviles, los resultados que ve son creados por docenas de servicios de terceros para capacidades especializadas como llamar a un servicio de noticias o al precio de una acción, o extraer datos de ubicación.

Además, las aplicaciones net, el middleware y otros códigos se crean cada vez más con componentes de código de terceros. Millones de sitios pueden utilizar bibliotecas populares de JavaScript, aunque los encargados del mantenimiento de la biblioteca no sean bien conocidos. Los terceros también pueden ser inquilinos o clientes de un servicio de alojamiento en la nube o un servicio SaaS. De acuerdo a una encuesta de los profesionales de TI y seguridad de Tripwire, el 60% de las organizaciones han sufrido un incidente de seguridad de contenedores. ¿Qué significa esto? Los piratas informáticos ven la multitenancy y los servicios que comparten espacio o revenden servicios a múltiples clientes como un camino feasible hacia una violación.

Peor aún, cada vez más, los servicios están anidados. Un servicio SaaS de terceros se compone de múltiples servicios y bibliotecas de terceros adicionales. Llamados servicios de terceros, ahora estamos en una period de riesgo excepcionalmente difícil de medir y, lo que es más importante, difícil de administrar. Cualquier información crítica desplegada en los principales servicios de alojamiento en la nube o aplicaciones SaaS, o en redes compartidas, puede estar expuesta a los riesgos de cualquier otro usuario de esos servicios y redes.

Cómo protegerse del riesgo de terceros
No puede confiar en las palabras, intenciones o medidas de seguridad de otros para proteger a su empresa, clientes y marca contra este riesgo creciente. La protección de su infraestructura y aplicaciones de TI críticas requiere un enfoque de varios niveles.

Paso 1: proteja su propia infraestructura
Suponga que proteger su propia infraestructura ahora es una tarea 24/7. Esto significa que la vigilancia debe ser continua. Los firewalls, antivirus y todos los demás controles de seguridad deben actualizarse y configurarse correctamente todo el tiempo. Los equipos de seguridad inteligentes deben probar continuamente sus controles y redes para detectar debilidades de seguridad.

La mejor herramienta para esta prueba se encuentra en plataformas de simulación de violación y ataque (BAS) que aprovechan los marcos de ataques conocidos, como los de MITRE, y permite a los equipos ejecutar ataques simulados las 24 horas. Los buenos sistemas BAS son altamente ajustables, lo que permite a los equipos de seguridad probar no solo todo el libro de jugadas de exploits conocidos, sino también crear exploits compuestos centrados en las herramientas y el program que su organización utiliza en su propia infraestructura.

Paso 2: Exija que otros protejan su infraestructura
Exija que las organizaciones de terceros certifiquen que están ejecutando protecciones similares contra su propia infraestructura como condición para asociarse, comprar u otorgar acceso a sus datos. Esto es incluso mejor que requerir el cumplimiento y las certificaciones adecuadas, como SOC 2. Las certificaciones representan una instantánea a tiempo que puede no reflejar la realidad actual.

Con respecto al riesgo de las bibliotecas de terceros y el código fuente abierto, es fundamental que las organizaciones auditen, supervisen y validen activamente este código. Este es un paso extra. Ejecutar análisis de código estático en bibliotecas de código abierto requiere tiempo y esfuerzo, por ejemplo. Afortunadamente, un número creciente de servicios verifica y certifica el código fuente abierto. Entonces, en lugar de ejecutar las pruebas usted mismo, probablemente pueda pagar uno de esos servicios.

Un paso adicional: exigir a terceros socios o clientes que mantengan una base de datos de todas las conexiones y exposiciones de terceros conocidas. Esto puede sonar engorroso, pero en realidad, es una buena higiene de seguridad tanto para usted como para sus proveedores de servicios, o para las plataformas que utiliza. Pocas empresas hoy pueden producir esta información. Pero si pudieran, les permitiría no solo hacer un mejor trabajo de protección proactiva contra ataques, sino que también les ayudaría a identificar la fuente de una violación más rápidamente.

Paso 3: Pruebe más porque no podemos regresar
Esta nueva forma de ejecutar nuestra infraestructura tecnológica es beneficiosa en formas clave: permite a los equipos construir aplicaciones más rápido y escalar más rápidamente, y nos impide volver a las viejas prácticas de conexiones cada vez menos frágiles. Una violación puede ocurrir rápidamente, haciendo millones de dólares de daño antes de que se detenga el ataque. Con riesgos de terceros, una onza de prevención es mejor que muchas libras de cura.

Contenido relacionado:

Con una distinguida carrera de 30 años en la Agencia Central de Inteligencia (CIA), que incluye 15 años como CISO, Robert Bigman es pionero en la protección de la información clasificada. Desarrolló medidas técnicas y procedimientos para gestionar los secretos más sensibles de la nación. His … Ver biografía completa

Más thoughts





Enlace a la noticia unique