Por qué preferiría la buena higiene de TI a lo último en seguridad …



Las campanas y los silbidos son geniales, pero puede mantenerse más seguro si se centra en las configuraciones correctas, la gestión de la postura, la visibilidad y los parches.

Este es el escenario: un atacante patrocinado por el estado united states un día cero para violar el medio ambiente. Este punto de apoyo le permite ejecutar ataques sin archivos previamente desconocidos que se originan en un proceso explotado. Afortunadamente, su malvado plan es frustrado por nuestra herramienta de seguridad de próxima generación, impulsada por IA, que lo detectó y evitó en nanosegundos.

Si bien las balas de plata brillan intensamente, desafortunadamente, funcionan principalmente contra los hombres lobo, no contra incidentes de ciberseguridad de la vida genuine.

Pasé una década en inteligencia con la Unidad 8200 de las Fuerzas de Defensa de Israel (FDI), considerada una de las unidades ofensivas de ciberseguridad más elitistas del mundo. Después del ejército, pasé otra década en Look at Stage Software program Technologies, uno de los proveedores de seguridad más grandes.

La lección de defensa cibernética más importante que aprendí en las FDI y en Check out Place es que los conceptos básicos de seguridad son siempre más importantes que los nuevos y brillantes juguetes de seguridad. ¿Por qué? Porque al closing del día, no importa cuán alluring sea su «rayo de la muerte cibernética de cumplimiento en tiempo authentic de próxima generación», los atacantes siempre tomarán el camino más straightforward para romper sus defensas cibernéticas.

No soy el único que tiene esta creencia. Los conceptos básicos de seguridad a menudo se enumeran como fundamentales en la pirámide de seguridad cibernética de cualquier persona, como se ilustra en el informe de seguridad en la nube de Gartner que se muestra a continuación.

Esta estrategia de los fundamentos primero no sorprende a los profesionales experimentados. Tener la configuración de infraestructura correcta, una gestión de postura eficaz, una visibilidad whole del entorno y el parcheo y la configuración están en la foundation de la pirámide. Mientras tanto, las herramientas avanzadas de detección de amenazas se encuentran en la parte exceptional de la pirámide, lo que indica que son importantes, pero eliminan menos riesgos. En pocas palabras, una buena higiene de TI cut down drásticamente el riesgo más que las soluciones milagrosas cuasi avanzadas.

Considere estos tres ejemplos para ilustrar por qué.

Autenticación multifactorial (MFA) versus inteligencia synthetic (AI)
Algunos proveedores predican que usan heurística e inteligencia artificial capaces para detectar anomalías y apropiación de cuentas en lugar del comportamiento true del usuario. Al ultimate del día, toda esta IA se basa en algunas características básicas: tiempo, geolocalización, anomalías sobrehumanas (alguien que inicia sesión simultáneamente desde dos o más ubicaciones) y medidas similares.

La realidad es que el aprendizaje automático no es una bola de cristal. Si sus usuarios aprovechan las contraseñas sin MFA, estas heurísticas anunciadas los ponen en un terreno muy inestable.

Mi abuela, que tenía más de 90 años, sabía cómo usar una VPN para ver episodios de transmisión que no estaban disponibles en su ubicación. ¿Realmente espera que un atacante no mire la ubicación de su usuario (disponible en Facebook) y use una VPN para acceder a ella desde el mismo lugar? Debido a esta amenaza, un médico que implementa MFA puede dormir mejor por la noche.

Parches frente a IPS
Los sistemas de prevención de intrusiones (IPS) funcionan interceptando el tráfico, comparándolo con el tráfico de ataque y bloqueando el tráfico malo mientras permiten que pase el tráfico bueno. Esto podría ser tan efectivo que ¿por qué deberíamos molestarnos en parchear?

En la vida actual, una vulnerabilidad es un error que se puede explotar de muchas formas. Algunos métodos de explotación parecen demasiado similares a las solicitudes legítimas. Mientras tanto, los IPS deben distinguir entre solicitudes legítimas y maliciosas en milisegundos. Debe mantener un equilibrio entre falsos positivos, falsos negativos y rendimiento porque no puede ganar los tres.

En muchos casos, esta cruda verdad significa que los proveedores terminan teniendo el signo de un ataque específico, y no la vulnerabilidad en sí, lo que significa que los atacantes pueden cambiar ligeramente el código y colarse. El profesional que parcheó el entorno no debería necesitar preocuparse de que esto suceda.

Detección del riesgo de movimiento lateral frente al movimiento lateral true
La forma más común de realizar movimientos laterales es reutilizar los privilegios en los activos en los que los atacantes tienen un punto de apoyo, como secretos y credenciales almacenados en máquinas violadas. Los proveedores predicarán que pueden distinguir entre el tráfico legítimo y los movimientos laterales, incluso para bloquear automáticamente dicha actividad ilícita. Usarán términos como aprendizaje automático y AI para hacer que su producto suene avanzado, pero estas capacidades son muy limitadas.

El producto puede bloquear malware conocido que realiza exactamente la misma secuencia en cualquier invocación y, por lo tanto, fue «firmado» por ellos, lo que hace que dichos productos sean sistemas de coincidencia de firmas, basados ​​en la crimson y glorificados. Pero debido a que la inteligencia artificial y el aprendizaje automático se basan en el entrenamiento, no pueden distinguir entre el tráfico legítimo y el movimiento lateral con una precisión que respalde por completo la prevención del tiempo de ejecución.

Además, nadie sabe cómo funcionan estas aplicaciones en todos los escenarios. ¿Está dispuesto a bloquear el tráfico solo porque no se ha visto antes? ¿O qué pasa con un caso de borde en la aplicación que nunca se ha visto?

Por otro lado, gestionar el riesgo de movimiento lateral es definitivamente posible. Esto se puede hacer analizando los secretos y privilegios almacenados y asociados con un activo determinado y determinando si son demasiado permisivos. Con suerte, antes de que un atacante alcance estas credenciales, su equipo de seguridad ha tenido tiempo de analizar y eliminar dichas amenazas, sin depender de una bala de plata para esquivar a un atacante que ya las ha descubierto.

Al volver a lo básico, los equipos de seguridad pueden proteger sus propiedades de nube pública de ser violadas por sus enlaces más débiles. Estas amenazas comunes incluyen tener cargas de trabajo mal configuradas no tener parches o ejecutarse en sistemas operativos no compatibles no utilizar MFA o protección contra vulnerabilidades conocidas y riesgos de movimiento lateral.

Un poco de higiene de TI es de gran ayuda, y hasta que obtenga los conceptos básicos de seguridad correctos, todas las elegantes herramientas habilitadas para palabras de moda en el mundo no lo protegerán.

Avi tiene más de 25 años de experiencia en ciberseguridad. Antes de cofundar Orca Protection, Avi fue el tecnólogo jefe de Check out Stage Software package Technologies y ocupó puestos clave dentro de la Unidad 8200, la NSA israelí. Mientras estaba en Test Issue, construyó y escaló la ciberseguridad … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary