Cómo aplicar las lecciones de 2019 a la seguridad de 2020


¿Qué mantiene a los ejecutivos despiertos por la noche? Según el Foro Económico Mundial (FEM) Encuesta de opinión ejecutiva 2019, son ataques cibernéticos. Al reflexionar sobre 2019, queda claro por qué es así. Desde el cuidado de la salud y los seguros hasta la manufactura y las telecomunicaciones, los ciberdelincuentes no perdonaron a la industria de sus esquemas, con algunas verticales clave que fueron las más afectadas por los ataques de este año. No sorprende que los servicios financieros, los seguros y la atención médica fueran objetivos populares, dada su proximidad a datos sensibles y fácilmente monetizables. Sin embargo, un poco más sorprendente son las similitudes entre las infracciones en todas las industrias y organizaciones. A continuación, resumiré incidentes notables de 2019, ampliaré sus puntos en común y exploraré algunas lecciones para aprender al comenzar un nuevo año.

Industrias diferentes, mismas causas

Aunque los incidentes de seguridad cibernética rara vez se derivan de una falla por completo, aparecieron algunas causas y tendencias centrales a lo largo de 2019.

Configuración incorrecta de la aplicación

Las configuraciones incorrectas de la aplicación fueron responsables de dos de las violaciones de datos más importantes de 2019. En el hack más grande del año, un ex empleado de AWS explotó un firewall de aplicaciones internet (WAF) mal configurado para robar los números de Seguro Social, números de cuentas bancarias y otra información confidencial de más de 100 millones Clientes de Capital A single y solicitantes de tarjetas de crédito. Inicialmente etiquetado como un ataque interno debido a que Capital One particular alojó sus datos en servidores de Amazon, la violación fue el resultado de que WAF recibió demasiados permisos, lo que permitió al actor malicioso acceder a un recurso de fondo responsable de entregar las credenciales de acceso. Aunque la información robada probablemente no se compartió ni se usó de manera fraudulenta, Funds 1 estima que el incidente le costó a la compañía más de $ 300 millones.

To start with American Fiscal Corporation fue víctima de una configuración errónea aún más straightforward en lo que fue menos un truco que una easy negligencia. Un mistake en el portal de clientes en línea de la empresa permitió a cualquier persona con la URL de un documento Initially American válido modificar un número en la URL existente para ver otros documentos confidenciales. Un asombroso 885 millones de registros financieros de clientes desde 2003 eran accesibles debido a este defecto de diseño. Y aunque no hay evidencia de que alguien haya encontrado o robado la información, Very first American ahora se enfrenta a ambos investigaciones gubernamentales y una demanda colectiva.

Explotación del acceso de terceros

Las organizaciones deben, por supuesto, prestar mucha atención a su propia preparación de seguridad cibernética, pero en el mundo digital hiperconectado de hoy, también deben auditar de manera integral a los terceros con los que interactúan. En 2019, tanto Quest Diagnostics como Dash no pudieron realizar esta debida diligencia. Quest, que se encuentra entre los laboratorios clínicos más grandes del mundo, expuso la información particular, incluidos los números de tarjeta de crédito y de Seguridad Social, de más de 11,9 millones de pacientes a través de un incumplimiento que se originó de AMCA, una agencia de cobranza de cobros externa. Para empeorar las cosas, AMCA no detectó la vulnerabilidad para casi un año completo, permitiendo que el atacante drene lentamente la información de los afiliados de AMCA y, en última instancia, obligue a la empresa matriz de AMCA en bancarrota. Aunque Quest escapó de un destino tan dramático, es el tema de ambos investigación del gobierno y una demanda colectiva.

Sprint enfrentó un escenario related este año cuando los hackers accedieron a los datos de los clientes a través de una vulnerabilidad en un sitio web de Samsung. Samsung y Dash están conectados digitalmente para permitir a los clientes financiar teléfonos Samsung a través de un acuerdo de operador con Sprint, un acuerdo que beneficia a sus clientes pero también crea otro vector de amenazas contra el cual defenderse. Y aunque el nombre exacto de la vulnerabilidad de Samsung no está claro, este incidente es una prueba más de la necesidad de protegerse eligiendo socios cuidadosamente.

Falta de autenticación / credenciales apropiadas para datos confidenciales

Esta tercera tendencia podría aplicarse a casi todas las infracciones en esta publicación, pero es la causa central de al menos dos incidentes significativos de ciberseguridad en 2019. En agosto de este año, Point out Farm fue golpeado con un ataque de relleno de credenciales en el que los atacantes aprovecharon los nombres de usuario y las contraseñas de otras violaciones de datos para iniciar sesión en otras cuentas y sitios. Debido a que las personas a menudo usan las mismas contraseñas para varias cuentas, el relleno de credenciales es una táctica efectiva y se united states of america en un segundo pirateo de Dash a través de su filial Improve Cell. En ese caso, una persona no autorizada usó números Enhance y códigos PIN para entrar en un número desconocido de cuentas de clientes.

Acciones clave para tomar en 2020

Si la seguridad cibernética va a mejorar en 2020, se deben evitar estos errores y se deben abordar vulnerabilidades como las mencionadas anteriormente. Eso comienza con las empresas que tienen una mejor comprensión de los controles de acceso, las tecnologías y los sistemas que se implementan actualmente. Con esa comprensión, pueden tapar huecos y utilizar la tecnología más apropiada para su situación, ayudándoles a evitar una situación como la de To start with American, en la que los datos estaban disponibles en línea sin restricciones. Para muchos, especialmente aquellos que interactúan con proveedores externos, un modelo de confianza cero tiene sentido porque monitorea y autentica continuamente las solicitudes de acceso. Bajo cero confianza, por ejemplo, el truco de Quest Diagnostics probablemente se habría detectado en días, no meses.

Sin embargo, incluso sin confianza cero, el monitoreo continuo y automatizado es crítico. Con eso en su lugar, los equipos de seguridad son alertados de ataques como el relleno de credenciales a medida que ocurren y pueden responder antes de que el atacante tenga éxito. Para un enfoque más proactivo, la seguridad de TI también debe implementar políticas que, por ejemplo, eviten que una persona o IP envíe múltiples solicitudes de inicio de sesión o requiera una nueva autenticación para acceder a diferentes aplicaciones.

Además de auditarse a sí mismos y tomar las acciones descritas anteriormente, las organizaciones también deben auditar los controles de seguridad de sus socios para garantizar que implementen capas de handle y defensas multiprotocolo. Esto significa que tienen capas de defensa superpuestas, por ejemplo, monitoreo continuo y autenticación de múltiples factores, que crean redundancia y profundidad en su entorno.

En última instancia, el objetivo es actuar de inmediato ante las alertas de seguridad, sin importar de dónde provengan, para contener y remediar las amenazas de manera oportuna. Eso significa que la visibilidad y la integración son críticas para evitar demoras en la validación de alertas y pivotar entre herramientas dispares. Cuando McAfee MVISION EDR, por ejemplo, encuentra una amenaza usando sus capacidades de detección impulsadas por inteligencia synthetic, eleva inmediatamente una alerta a todos los sistemas y personas involucradas, no solo a la tecnología desarrollada por McAfee. Comparable, MVISION Cloud aprovecha el aprendizaje automático para identificar comportamientos sospechosos y solicitudes de acceso. Este tipo de detección automatizada, investigación y notificación podría ser fácilmente la diferencia entre una infracción aislada remediada en horas y una catástrofe en todo el sistema que se extiende durante varias semanas o meses.

Para obtener más información sobre estrategias de seguridad de punto last eficaces, síganos en @McAfee y @McAfee_Enterprise y visite nuestro website para obtener la información y las tendencias más relevantes.





Enlace a la noticia first