Enmarcando la historia de seguridad: las amenazas más simples …


No se distraiga con llamativos ataques avanzados e disregard los más mundanos.

Existe un malentendido basic sobre lo que hace que una vulnerabilidad sea peligrosa. La publicidad y la publicidad tienden a centrarse en las amenazas y tácticas más avanzadas. En respuesta a esto, los equipos de seguridad se centran más en controlar estos ataques avanzados que en los más mundanos, en gran parte porque la empresa respalda estos casos sensacionales con mayor facilidad, al menos hasta que la memoria se ha desvanecido.

En consecuencia, los controles de seguridad a menudo son incompletos en los niveles inferiores, dejando una base tambaleante para construir controles más avanzados para contrarrestar las amenazas más avanzadas. El resultado: las amenazas pueden violar niveles modestos de todos modos, y los controles avanzados se convierten en símbolos de gasto excesivo y ejecución deficiente.

A menudo, son las vulnerabilidades más simples las que se aprovechan para violar un sistema. La razón de esto: cuanto más fácil es explotar una vulnerabilidad, mayor es el número de actores de amenazas que pueden explotar esa vulnerabilidad y lo harán. Es un uncomplicated juego de números, sin embargo, el CISO y el equipo de seguridad tienen un problema real enmarcando esta historia de seguridad de una manera precisa y significativa para el liderazgo ejecutivo.

Lo que he descubierto en casi dos décadas de simulación de ataque (incluidas las pruebas de penetración y el equipo rojo / azul / púrpura), así como el desarrollo y asesoramiento de estos programas a nivel mundial, es que la intrusión sigue siendo relativamente fácil. Esto no significa que todo el trabajo de seguridad realizado por las organizaciones esté malgastado o malgastado.

A menudo, los programas de seguridad han cubierto muchas cosas sólidas, pero no están calibrados ni equilibrados, y no se han integrado de manera efectiva. Fundamentalmente, la seguridad debe consistir en una cobertura básica (cerrar todas las puertas fáciles) antes que en una capacidad de élite (cerrar algunas puertas de manera muy segura).

Cuando se hace correctamente, la simulación de ataque puede medir el rendimiento del manage person. Igualmente valioso, puede medir el rendimiento de partes del ecosistema de seguridad (es decir, prevenir, detectar, responder) y el ecosistema en su conjunto (mitigación de impacto). Al hacerlo, también puede indicar claramente el rendimiento del presupuesto y los recursos, incluido el gasto excesivo y el gasto insuficiente. Es la mejor forma de asegurar el programa de seguridad.

Aquí hay tres problemas que socavan la simulación de ataque exitosa y su influencia estratégica y táctica en los negocios.

1. Las simulaciones de ataque a menudo se lanzan y se perciben como «evaluación avanzada de vulnerabilidad». Esto casi obliga al negocio a tratarlos como una mercancía. Su alcance, financiación y recursos son deficientes y, por lo tanto, solo pueden imitar escenarios de amenazas modestas o poco realistas. Tácticamente, esto proporciona una falsa sensación de seguridad, pero también destripa su propuesta única de valor estratégico: controles y garantía del programa.

2. En segundo lugar, lo que yo llamo los «Juegos Olímpicos de Hack». Los hackers de sombrero blanco son muy orgullosos y competitivos y les gusta presumir ante sus compañeros. A menudo intentarán nuevos y sofisticados vectores de ataque para una rápida «victoria por incumplimiento» y no explorarán una miríada de escenarios de incumplimiento más modestos, pero más comunes. A menudo, este comportamiento es respaldado por sus empleadores porque quieren demostrar un fuerte valor al cliente, y a sus competidores, y creen que eso se hace haciendo algo que los probadores menos capaces (es decir, los productos básicos) no pueden hacer. En su opinión, esto ayuda a justificar el aumento de las tasas (con razón) y debería conducir a la lealtad del cliente (no necesariamente).

La buena noticia es que podemos integrar los problemas anteriores en una victoria para los negocios. Las simulaciones de ataques moderados de costo / sofisticación se pueden enmarcar exactamente como eso: esfuerzos para descubrir de manera rentable escenarios de incumplimiento modestos. Estos pueden cubrir, por ejemplo, el 70% inferior del alcance. Luego, aproveche recursos más sofisticados para el 30% outstanding. Este modelo demuestra un fuerte valor estratégico y táctico, así como una astuta utilización del presupuesto.

3. Los informes no inspirados y estancados son omnipresentes en todo el mundo y socavan incluso las grandes simulaciones de ataque. Los informes no pueden calibrar el nivel de dificultad para violar y afectar los activos comerciales de alto valor. No explican a fondo el proceso de decisión / árbol / opciones del atacante, ni qué controles los frustraron y qué controles pudieron y deberían haberlo hecho, pero no lo hicieron, y por qué. Tales informes rara vez vinculan la historia del beneficio de la amenaza (¿qué tan duro están dispuestas a intentar las amenazas?) Con el impacto comercial (¿cuánto me importa realmente?) Un informe de simulación de ataque debería envolver un arco de historia como Ocean&#39s 11. Debe ser apasionante y fácil de entender para los ejecutivos (objetivos e impactos para ambas partes), al tiempo que muestra una decisión y un camino de ejecución para que SecOps realice el cambio.

Sin lugar a dudas, la simulación de ataque es un componente crítico de un programa de seguridad robusto. Sin embargo, varios problemas socavan la calidad y la influencia de estos escenarios de ataque. Esto lleva a una capacidad de seguridad inconsistente, una asignación de presupuesto desequilibrada, una estrategia de seguridad no calibrada, el miedo a la violación en cualquier momento y la frustración con SecOps, el CISO y el liderazgo ejecutivo de negocios.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para ese «día realmente malo» en ciberseguridad. Haga clic para más información y para registrarse para este evento bajo demanda.

Douglas Ferguson, un profesional de seguridad de más de 20 años, es el fundador y CTO de Pharos Protection. Pharos se especializa en alinear los objetivos y la estrategia de seguridad con el negocio y un apetito de riesgo calibrado, asegurando un prepare de negocios integrado y optimizado … Ver biografía completa

Lectura recomendada:

Más ideas





Enlace a la noticia initial