Los científicos del MIT presentan una plataforma de agregación de ciberseguridad para medir medidas efectivas


La plataforma permite a los investigadores analizar ciberataques sin que se divulgue información confidencial.

«data-credit =» Imagen: Rawpixel, Getty Images / iStockphoto «rel =» noopener noreferrer nofollow «>istock-599477738.jpg

Imagen: Rawpixel, Getty Illustrations or photos / iStockphoto

Los ataques cibernéticos y las filtraciones de datos son ahora una ocurrencia tan diaria que muchos ya no justifican una cobertura extensa. Por temor a divulgar demasiada información y por el deseo de proteger su imagen de un daño mayor, la mayoría de las organizaciones limitan la cantidad de informes que hacen sobre los ataques, dejando a la siguiente empresa vulnerable a las mismas tácticas.

VER: Informe especial: Una estrategia ganadora para la ciberseguridad (PDF gratuito) (TechRepublic)

Pero los científicos del Laboratorio de Ciencias de la Computación e Inteligencia Synthetic del MIT han intensificado su intento de cambiar eso con una plataforma recién construida llamada LARGARSE.

El acrónimo, que significa «Medición y agregación segura de riesgos cibernéticos», busca abordar este problema de informes de ciberseguridad de larga data al aprovechar las nuevas herramientas criptográficas que pueden calcular estadísticas agregadas sin necesidad de que las organizaciones revelen información sobre sus propios ataques y pérdidas a nadie más. —Incluso a los propios científicos.

«Es realmente un buen regalo el que les hemos dado a los ciberdelincuentes. En un mundo perfect, estos ataques no ocurrirían una y otra vez, porque las empresas podrían utilizar los datos de los ataques para desarrollar mediciones cuantitativas del riesgo de seguridad para que podamos podría prevenir tales incidentes en el futuro «, dijo Taylor Reynolds, director de políticas de tecnología de la Iniciativa de Investigación de Políticas de Web del MIT.

«El poder de esta plataforma es que permite a las empresas contribuir con datos bloqueados que de otra manera serían demasiado sensibles o riesgosos para compartir con un tercero».

VER: Seguridad de confianza cero: una hoja de trucos (PDF gratuito) (TechRepublic)

Con SCRAM, los investigadores pueden agregar datos confidenciales encriptados de múltiples organizaciones, lo que les brinda a los científicos una mejor comprensión de cuáles son los ataques más comunes, una notion de cómo se implementan y qué defensas funcionan mejor.

El resultado a largo plazo de este enfrentamiento es que los ataques cibernéticos ocurren todo el tiempo, pero colectivamente aprendemos muy poco sobre ellos porque las empresas son reacias a compartir lo que sucedió.

La plataforma fue creada con un equipo de expertos en ciberseguridad, criptógrafos y científicos de datos y utiliza técnicas criptográficas para garantizar la privacidad de todas las organizaciones que envían información sobre sus ataques. Nadie fuera del colaborador puede ver la información.

Una vez que el sistema pasa por toda la información, puede cuantificar el riesgo de seguridad de las empresas y ayudar a los CISO a determinar qué tan seguros son en realidad en comparación con sus pares. Los investigadores del MIT también dijeron que ayudará a las organizaciones a saber si están gastando la cantidad correcta de dinero en sistemas de seguridad y si los fondos se están invirtiendo en los lugares correctos.

El MIT publicó un estudio sobre la plataforma, en el que tomó datos internos de siete compañías de miles de millones de dólares y examinó los incidentes de seguridad que enfrentaron. Reynolds fue coautor del artículo con Leo de Castro, Andrew Lo, Fransisca Susan, Vinod Vaikuntanathan, Daniel Weitzner y Nicolas Zhang.

En el estudio, los investigadores dijeron que encontraron que tres vulnerabilidades de seguridad llevaron a las pérdidas totales más grandes de más de $ 1 millón, incluida una falla en la prevención de ataques de malware como el que afectó a Garmin el mes pasado, comunicación a través de puertos no autorizados y una falla en la administración de registros. por incidentes de seguridad.

«Las pérdidas pueden surgir incluso cuando hay defensas que están bien desarrolladas y comprendidas», dijo Weitzner, quien también se desempeña como director de MIT IPRI. «Es importante reconocer que no se debe descuidar la mejora de las defensas comunes existentes en favor de la expansión a nuevas áreas de defensa».

VER: Ciberseguridad: pongámonos tácticos (PDF gratuito) (TechRepublic)

El estudio señala que SCRAM se centra principalmente en dos cosas: penetraciones y pérdidas. Para su primera prueba de ejecución, los científicos utilizaron la plataforma criptográfica para observar los puntos de referencia de las tasas de adopción de las 171 medidas de seguridad críticas del Centre for World-wide-web Safety en seis grandes empresas y los vínculos entre las pérdidas monetarias de 49 incidentes de seguridad y las fallas de subcontrol específicas. implicado en el incidente.

Los investigadores tomaron datos durante un período de dos años de empresas con un ingreso anual promedio de $ 24 mil millones y un promedio de 50,000 empleados, los colocaron en la plataforma SCRAM y obtuvieron información agregada detallada sobre la tasa de adopción de defensas y fallas defensivas que llevaron a la mayor pérdidas monetarias. Las empresas estaban involucradas en los sectores de salud, comunicaciones, servicios minoristas y financiero.

Para la próxima ejecución, los científicos del MIT esperan tener una mayor cantidad de datos para que más empresas puedan juzgarse a sí mismas frente a sus pares en lo que respecta a la sofisticación de la seguridad.

«En 2015 y 2016, el MIT llevó a cabo una serie de talleres específicos del sector centrados en la protección de la infraestructura crítica. Los talleres incluyeron presentaciones de CISO de cuatro sectores económicos distintos (electricidad, petróleo y gas, finanzas y comunicaciones) que discutieron los desafíos que enfrentaban. asegurar y defender sus redes «, dijo el estudio.

«Un tema común comenzó a surgir en las cuatro reuniones sectoriales específicas. Los CISO afirmaron que implementar controles de seguridad era similar a &#39invertir en la oscuridad&#39, porque carecían de la iluminación necesaria sobre las posturas defensivas y las pérdidas relacionadas de otras empresas que sólo estará disponible si las empresas comparten información «.

SCRAM utiliza una técnica criptográfica llamada computación multipartita que permite a los investigadores calcular funciones fijas de los datos de entrada sin revelar las entradas individuales a nadie más que al participante que las contribuyó. La plataforma toma datos encriptados y ejecuta cálculos a ciegas en ellos, brindando a los usuarios un resultado encriptado que solo cada participante puede desbloquear por separado antes de que alguien pueda ver la respuesta.

Además de los datos sobre cuántas de las 171 medidas de seguridad críticas del Centre for World-wide-web Stability estaban siendo implementadas por cada organización, el estudio también examinó las pérdidas monetarias individuales de cada ataque y pidió a las empresas que indicaran qué fallas de subcontrol eran responsables.

Las seis empresas terminaron enviando datos sobre 49 incidentes que resultaron en una pérdida complete de alrededor de $ 30 millones, y cada uno contabilizó alrededor de ocho incidentes al año. Los problemas de administración de registros, las comunicaciones a través de puertos no autorizados, los problemas con los inventarios de activos y la falta de un program antimalware que funcione bien fueron las causas principales de los incidentes.

VER: IoT: principales amenazas y consejos de seguridad para dispositivos (PDF gratuito) (TechRepublic)

«Hay 39 subcontroles que solo estuvieron implicados una vez. Por otro lado, algunos subcontroles estuvieron implicados en hasta 10 incidentes diferentes. &#39Establecer configuraciones seguras&#39 estuvo implicado 10 veces, mientras que &#39Monitorear y bloquear tráfico de crimson no autorizado&#39 y &#39Implementar firewalls de aplicaciones web&#39 estuvieron implicados siete veces «, dijo el estudio.

«Los controles centrados en la concientización y la capacitación, las defensas de límites y la protección de datos fueron los más comúnmente implicados en los incidentes de seguridad con pérdidas financieras. Es interesante notar que los subcontroles relacionados con la concientización y la capacitación en seguridad tuvieron el mayor número de identificaciones. Los registros de auditoría, las defensas de límites, el inventario de hardware y las defensas contra malware tuvieron las mayores pérdidas totales en todo el grupo «.

La gestión de registros central costó a las empresas participantes casi $ 6 millones, mientras que la comunicación a través de puertos no autorizados resultó en más de $ 4.5 millones en pérdidas. La falta de software anti-malware costó a las organizaciones alrededor de $ 4 millones en la encuesta.

El estudio dijo que la primera ejecución fue pensada como una prueba de concepto y que las próximas iteraciones incluirán más empresas y más datos sobre incidentes para obtener una mejor comprensión de lo que enfrentan las principales organizaciones.

Los investigadores del MIT también dijeron que estudios más grandes podrían examinar los ataques por industria o por sector, permitiendo que empresas similares compartan información sobre qué funciona mejor y qué ataques han enfrentado hasta ahora.

«Pudimos pintar una imagen muy completa en términos de qué fallas de seguridad costaban más dinero a las empresas», dijo Reynolds.

«Si usted es un director de seguridad de la información en una de estas organizaciones, puede ser una tarea abrumadora tratar de defender absolutamente todo. Necesitan saber dónde deben dirigir su atención».

Ver también



Enlace a la noticia original