Usando el ciclo de ataque para mejorar tu juego de seguridad


Al igual que el universo, la superficie de ataque siempre se está expandiendo. Aquí le mostramos cómo mantenerse al día e incluso salir adelante.

La mayoría de las actividades delictivas están diseñadas para obtener una recompensa para el perpetrador, y el delito en Net no es diferente. A medida que surgen nuevas superficies, los ataques anteriores se reconstituyen y aplican. La ciberseguridad tiende a seguir un ciclo, una vez que sabe cuándo y qué buscar. Parafraseando (pobremente) a Bob Dylan: No necesitas un meteorólogo para saber de qué manera sopla el viento. Solo necesita la experiencia de estar cerca durante algunos de estos ciclos.

La cosa nueva-nueva
Cuando pensamos en las amenazas de ciberseguridad y las mitigaciones asociadas, hay tres factores clave a considerar:

  • Superficie de ataque: Lo que un atacante intenta comprometer, como una computadora portátil, un teléfono inteligente o una instancia de computación en la nube.
  • Ataque de sofisticación: Los métodos y tipos de ataque, incluidos la persistencia, los días cero, el phishing y el spear phishing.
  • Actores de amenaza: Quiénes son los atacantes y sus motivaciones implícitas, como los estados-nación que buscan propiedad intelectual o el crimen organizado involucrado en ransomware.

La superficie de ataque es como el universo: en un perpetuo estado de expansión. Mientras que su computadora portátil (con suerte) está ejecutando una versión reciente del sistema operativo con (tipo de) parches oportunos, existe una buena posibilidad de que los cajeros automáticos de su banco ejecuten Home windows XP. Pero después de que Microsoft retiró el soporte de XP en 2014, 95% de cajeros automáticos seguían ejecutando el sistema operativo. Ese número no había mejorado mucho cuatro años después y los piratas informáticos demostraban alegremente estas máquinas que arrojaban efectivo. Esto significa que un equipo de seguridad de TI debe vivir en el pasado y el futuro.

Una solución a un problema moderno puede presentar un nuevo conjunto de desafíos: una nueva consola para aprender y nuevas alertas para integrar. Sin embargo, esto presenta una oportunidad excelente, y a menudo necesaria, para reutilizar los gastos presupuestados existentes. Ejemplos de esto incluyen la erosión del antivirus tradicional por detección y respuesta de punto final (ERD) y el paso de firewalls físicos de aplicaciones world wide web (WAF) a NG-WAF basados ​​en software package.

La sofisticación del ataque es directamente proporcional a los objetivos de los atacantes y la postura defensiva del objetivo. Un anillo de ransomware apuntará a los menos defendidos y los más propensos a pagar (irónicamente, el seguro cibernético puede crear un incentivo perverso en algunas situaciones) porque hay un costo de oportunidad y el cálculo del retorno de la inversión para cada ataque. Un actor de un estado-nación que busque propiedad intelectual innovadora en biotecnología será paciente y estará bien capitalizado, desarrollando nuevas hazañas de día cero a medida que inicien un esfuerzo concertado para penetrar los secretos de una red.

Uno de los ataques más famosos, Stuxnet, explotó vulnerabilidades en los sistemas SCADA para paralizar el programa nuclear de Irán. Se pensaba que el ataque había penetrado en la pink de espacio de aire a través de unidades de memoria USB infectadas. A medida que ha aumentado la conciencia de estos ataques complejos de múltiples etapas, las nuevas empresas han aumentado la innovación, como el espacio de análisis de comportamiento donde los complejos algoritmos de aprendizaje automático determinan los comportamientos «normales» y buscan a ese actor malo.

Los actores de amenazas son las personas y organizaciones involucradas en el ataque real. En el sentido más amplio del término, no siempre son maliciosos. He visto compañías cojeadas por un hallazgo de auditoría adverso o un lapso de cumplimiento. Cuando period temprano en el mercado de prevención de pérdida de datos (DLP), se vendieron soluciones para detectar amenazas internas que robaban propiedad intelectual. Este fue (y sigue siendo) un caso de uso difícil contra el cual vender, y no fue hasta que surgieron las regulaciones y la legislación que las compañías debieron notificar si habían sido violadas y perdieron información de identificación personalized que el mercado de DLP se convirtió en algo imprescindible solución de seguridad

Es posible que las soluciones avancen independientemente de nuevas amenazas, actores o superficies, con frecuencia cuando hay un avance en las capacidades computacionales subyacentes. Ejemplos de esto incluyen el uso del aprendizaje automático para identificar el contenido del archivo con el fin de evitar la pérdida de datos sin reglas rígidas o visión synthetic para leer el texto de un ataque de phishing basado en imágenes.

Todo ha sido hecho
En mi experiencia, la expansión de la superficie de ataque desencadena un nuevo mercado para las soluciones de ciberseguridad. Esto podría ser algo tan sísmico como AWS o Iphone, o tan localizado como un marco de código como Struts o Respond. Con una nueva superficie de ataque vienen nuevos requisitos de gestión y nuevos atacantes, explotando vulnerabilidades y fallas en las interacciones humanas. Las pérdidas de datos, financieras y de reputación resultantes hacen que surjan nuevas soluciones de ciberseguridad.

Por lo basic, estas soluciones también mejorarán en generaciones anteriores, cuyas limitaciones se vuelven obvias cuando se implementan en una nueva superficie de ataque. Los ejemplos son abundantes. El cumplimiento del sistema de TI y la gestión de vulnerabilidades se limitaron al interior de la empresa, escaneando con agentes y rastreadores (Qualys, Tenable). Con el surgimiento de la nube pública, las nuevas empresas (como Evident.io y Lacework) parecían explorar vulnerabilidades a través de API nativas proporcionadas por entornos de nube.

Por su parte, el antivirus comenzó como una protección basada en firmas relativamente easy Si un agente detecta un ejecutable o comportamiento específico, evítelo. Pero a medida que aumentó la sofisticación del ataque, surgió la protección de punto last de próxima generación con especialización para ataques sin archivos, exploits en memoria, and so on.

La prevención de pérdida de datos comenzó con la detección easy de contenido estructurado (números de Seguro Social, números de tarjetas de crédito) en correos electrónicos, publicaciones en la Website y dispositivos de usuario last. Ahora hay una nueva generación de proveedores centrados en la fuga de datos de los servicios basados ​​en la nube (fuera del centro de datos de la empresa) como Slack, Box y Github, ofertas que no existían cuando la generación anterior de soluciones llegó al mercado.

La siguiente cosa
Los profesionales de la seguridad deben considerar los requisitos de ciberseguridad cuando se despliegan nuevas superficies o cambian los modelos de negocio. Deben hacer cuatro preguntas para ayudar a aclarar los riesgos:

  • ¿Ha cambiado su negocio de una manera que aumenta la probabilidad de que lo ataquen y / o cambie la sofisticación del atacante?
  • ¿Qué datos de referencia ha recopilado históricamente y cómo obtendrá la misma información de esta nueva superficie?
  • ¿Qué valor contiene o genera esta nueva superficie?
  • ¿Cómo podría esta nueva superficie ser explotada y defendida, y afecta las superficies existentes?

La pregunta inicial debe hacerse de forma rutinaria. COVID-19 cambió el interés de los atacantes por muchas pequeñas empresas de biotecnología de una manera que su postura de seguridad no anticipó, lo que resultó en un aumento en los ataques de los estados nacionales que buscan una ventaja en nuevos tratamientos y una posible vacuna. La segunda pregunta es a menudo la que los proveedores de soluciones intentan abordar inicialmente porque es la más obvia. Si hay una política de cumplimiento empresarial que requiera que se corrijan las vulnerabilidades potenciales, las organizaciones de seguridad aún deben identificar esas vulnerabilidades independientemente de dónde se esté ejecutando el sistema subyacente.

La tercera pregunta es a menudo la que se olvida. Se han producido muchas violaciones de datos debido a que se despliega una nueva superficie y proporciona a los atacantes una superficie de ataque expandida que permite el acceso a una plataforma existente, previamente «segura». El incumplimiento de Concentrate on es el ejemplo más conocido de esto, pero han ocurrido innumerables otros incumplimientos debido a algo tan trivial como una configuración de purple mal configurada en la Nube privada virtual de un servicio net de Amazon.

El reciente movimiento casi universal hacia el trabajo remoto sin duda dará como resultado nuevos ataques contra la infraestructura de crimson doméstica. Es importante recordar que los atacantes no están interesados ​​en hacer más trabajo del necesario (el cálculo del ROI), la superficie de ataque desplazará el «eslabón más débil» para explotar. Hacer estas preguntas y anticipar posibles vulnerabilidades es basic para adelantarse al próximo ataque de ransomware o al robo de propiedad intelectual de día cero.

Contenido relacionado:

Regístrese ahora para el Black Hat United states totalmente digital de este año, programado para el 1 y 6 de agosto, y obtenga más información sobre el evento en el sitio website de Black Hat. Haga clic para obtener detalles sobre información de la conferencia y para registrarse.

Todd Graham es un inversionista en Venrock, enfocado en infraestructura empresarial y seguridad cibernética. Sus principales áreas de interés incluyen la transformación digital, las amenazas basadas en el ser humano, la comercialización disruptiva y la consumerización de la experiencia del usuario. Anteriormente lideró Corporate … Ver biografía completa

Lectura recomendada:

Más thoughts





Enlace a la noticia unique