Ciberconflicto: cómo puede llegar más allá de los sistemas gubernamentales y cómo proteger su negocio


El ciberconflicto es una desafortunada tendencia creciente que afecta a empresas y gobiernos. Conozca los riesgos y las posibles soluciones de un experto de la industria.

cyberwar.jpg

Imagen: iStock / Infadel

Recientemente, descubrí por las malas que los ciberataques no están relegados meramente a empresas de alto perfil ni son involucrados por agentes extranjeros en la sombra. Pueden suceder aquí mismo en tu ciudad.

VER: Seguridad de confianza cero: una hoja de trucos (PDF gratuito) (TechRepublic)

Eso es lo que le sucedió al sistema escolar de mis adolescentes en una ciudad de Massachusetts cuando alguien se involucró en un ataque distribuido de denegación de servicio (DDoS) contra la crimson Wi-Fi. Fue tan paralizante y omnipresente que el sistema escolar tuvo que traer expertos en ciberseguridad para resolver el problema.

El consenso parecía ser que el atacante tenía una agenda para frustrar el aprendizaje digital en el que estaban involucrados los estudiantes y aparentemente obligar a todos los niños a regresar a la escuela a tiempo completo por cualquier razón.

Esta actividad delictiva no tuvo éxito, afortunadamente, y se detuvo sin identificar a los perpetradores, pero me hizo pensar en el concepto de convertir la ciberseguridad en armas de esta manera para generar conflicto.

Hablé con Michael Schenck, director de Servicios de Seguridad de Kaytuso, un proveedor de servicios de ciberseguridad sobre el concepto, y me habló sobre el término «ciberconflicto».

Scott Matteson: ¿Qué es el ciberconflicto?

Michael Schenck: (El ciberconflicto son) los ciberataques que tienen antecedentes en las relaciones internacionales o traen consecuencias que pueden escalar a un nivel político y diplomático.

Los ciberataques a la confianza son más preocupantes que los destinados a producir efectos físicos. A los atacantes les resulta más fácil, y quizás más efectivo, debilitar los lazos de la alianza militar en lugar de perseguir aviones de combate o corromper los datos financieros en lugar de destruir las computadoras de los bancos.

Los ciberataques a la confianza y la integridad tienen un umbral mucho más bajo, son más difíciles de detectar y disuadir, y pueden producirse en cascada a través de sistemas interconectados.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

Scott Matteson: ¿Cuándo se intensifica el ciberconflicto?

Michael Schenck: Es más probable que el ciberconflicto surja por razones políticas, sociales y económicas, en lugar de destruir físicamente la infraestructura. Es más un riesgo durante momentos políticos importantes, como los tiempos de votación / elecciones.

La acción impulsiva, la toma de decisiones confusa o cualquier señal cruzada pueden desencadenar escaladas de ciberataques no anticipadas y no deseadas.

Por ejemplo, el ciberconflicto se intensificó cuando Estados Unidos mató a Qassem Soleimani de Irán a principios de enero. La semana siguiente a la muerte de Soleimani, hubo alrededor de 35 organizaciones atacadas por ofensivas cibernéticas «rastreadas específicamente» hasta los grupos de piratería informática patrocinados por el estado de Irán. Alrededor del 17% de esos objetivos estaban en los EE. UU.

Scott Matteson: ¿Cómo afecta a los consumidores y las empresas?

Michael Schenck: El ciberconflicto crea un mayor riesgo de robo de información corporativa e información financiera, así como el robo de dinero y la interrupción de la negociación de acciones. Lo que más preocupa a las empresas es el daño a su reputación si esto sucede y la pérdida de confianza que sus clientes tendrían en ellas.

Hay una gran cantidad de consecuencias legales las empresas también pueden enfrentarse a esto (como multas y sanciones reglamentarias).

Cuando las tensiones entre Irán y EE. UU. Eran altas, existía una preocupación genuina de que se pudiera montar un ataque patrocinado por el estado contra la infraestructura crítica (energía, transporte, finanzas), pero también de que una serie de organizaciones comerciales en los EE. UU. Sufriera ataques concertados contra datos y sistemas. , robar o destruir.

Con la elevación de estas tensiones, las empresas y los consumidores deben prepararse para las interrupciones cibernéticas, los correos electrónicos sospechosos y los retrasos en la purple. Esto puede venir en cualquier forma de intento electronic de acceder a información privada (de individuos, empresas y agencias gubernamentales).

En enero de 2020, el gobernador de Texas, Greg Abbott, dijo que las agencias estatales habían visto 10,000 intentos de ataques de Irán por minuto en un lapso de 48 horas.

Scott Matteson: ¿Qué deberían hacer las empresas de manera diferente para protegerse contra el ciberconflicto?

Michael Schenck: Si su empresa aún no tiene un CISO, contrate una empresa que ofrezca servicios de CISO digital (vCISO). Este es un consultor de alto nivel que puede hablar con las partes interesadas sobre el riesgo true para su negocio. También pueden aconsejarle sobre su situación precise en materia de ciberseguridad y dónde debería estar. Más allá de eso, no puedo hablar de lo que las empresas deberían estar haciendo de manera diferente, ya que algunas ya pueden estar siguiendo un estándar de mejores prácticas proporcionado por NIST, ISO, GIAC o el Centro de Seguridad de Internet.

Algunas otras cosas que recomiendo que la mayoría de las empresas con las que hemos trabajado no tienen es una gestión de eventos e información de seguridad (SIEM) o monitoreo de amenazas de red, como la detección de amenazas de red basada en inteligencia de Cisco Talos (como la licencia de seguridad avanzada de Meraki), Cisco Firepower para cortafuegos ASA o Palo Alto SourceFire para cortafuegos de próxima generación. Las empresas más grandes también pueden estar interesadas en las soluciones de FireEye.

Otra gran área que parece faltar es la planificación efectiva de la continuidad del negocio y los procedimientos de respuesta. Solo eche un vistazo a lo que está sucediendo a nivel mundial en este momento sin un evento cibernético debido a COVID-19. Las empresas deben preguntarse qué pasaría si se interrumpiera una infraestructura clave como la energía o Net. ¿Sus proveedores y proveedores de servicios también abordan esas inquietudes? Los CISO, vCISO y los equipos cibernéticos deben pensar constantemente en sus planes y procedimientos de respuesta para los ciberataques.

VER: System de recuperación ante desastres y continuidad empresarial (TechRepublic Premium)

Scott Matteson: ¿Hay alguna medida que deba tomarse inmediatamente después de un incidente político, social o económico (por ejemplo, aumentar temporalmente el detalle de la tala)?

Michael Schenck: Sin duda, la vigilancia debería ser mayor antes de los eventos políticos planificados (protestas programadas, elecciones, and so on.). Lo mejor que puede hacer es recordar a todos que tengan dudas razonables con lo que ven en línea o reciben en su correo electrónico. Si tiene un servicio de detección de amenazas en la crimson, debe verificar con su representante de cuenta o proveedor de servicios que estén al día con la inteligencia en tiempo true. Lo mismo ocurre con los dispositivos SIEM o los proveedores de servicios de detección y respuesta gestionados.

Scott Matteson: ¿Quiénes son algunos de los actores clave en este espacio, tanto desde una perspectiva «buena» como «mala»?

Michael Schenck: Anteriormente mencioné algunos de los proveedores empresariales clave con soluciones que ayudan a proteger contra el ciberconflicto (Cisco, Palo Alto SourceFire, Fireye, and so on.). Los «buenos» también son los sospechosos habituales: los servicios de inteligencia y seguridad occidentales como el FBI. También hay grandes empresas de TI que se centran en la seguridad, como Microsoft, ESET, Cylance, Cisco y FireEye.

En cuanto a los «malos», los piratas informáticos patrocinados por el estado de Rusia, Irán, China, Siria y Corea del Norte son actores clave. Los piratas informáticos patrocinados por el estado demuestran hasta qué punto los estados-nación continúan aprovechando los ciberataques como una herramienta para obtener inteligencia o influir en la geopolítica. En 2019, Microsoft notificó a cerca de 10,000 personas que habían sido atacados por piratas informáticos patrocinados por el estado. En muchos de estos casos, las víctimas fueron atacadas o comprometidas por piratas informáticos que trabajaban para un gobierno extranjero.

Los hacktivistas independientes también son actores clave en este espacio desde una perspectiva «mala». Motivados por la desobediencia civil, los hacktivistas buscan difundir ideologías y crear una anarquía overall. Por lo standard, se ven a sí mismos como vigilantes que usan la piratería para promulgar justicia social y cambios de políticas, pero emplean las mismas herramientas y tácticas maliciosas que los piratas informáticos típicos.

Scott Matteson: ¿Cuáles son los tipos de amenazas y actividades más frecuentes?

VER: Política de protección contra robo de identidad (TechRepublic Premium)

Michael Scheck: El mayor riesgo son las personas. Ya sea intencional o accidentalmente, la información privilegiada es la mayor amenaza porque tenemos que dar algo de confianza a nuestra fuerza laboral. La amenaza sigue siendo comparable a lo que hemos visto a lo largo de los años: correos electrónicos con archivos adjuntos o enlaces maliciosos. En Kaytuso, hemos visto un aumento significativo en la propagación de malware por correo electrónico a través de archivos adjuntos. Los piratas informáticos que escriben estos virus están mejorando para esconderse de los escáneres. Algunas de estas técnicas incluyen no hacer nada si el malware cree que se está ejecutando en una zona de pruebas, una máquina digital que ejecuta y abre los archivos adjuntos para ver si identifica algo malicioso. Esto significa que hay un mayor éxito en la distribución de malware. Dado que la tecnología que previene y bloquea el malware no es perfecta, las personas corren el mayor riesgo de hacer clic en ese enlace o abrir un archivo adjunto.

Scott Matteson: ¿Cómo deberían los gobiernos trabajar juntos para prevenir o reducir el ciberconflicto?

Michael Schenck: Esa es la pregunta difícil, especialmente cuando se habla de política y seguridad internacionales. En ese ámbito, siempre es de doble filo. Las mejoras en la protección también pueden dificultar los esfuerzos de inteligencia, lo que dificulta la protección contra los ataques del mañana. El mejor método aquí sería obtener más transparencia por parte del gobierno y revelar las fallas a los proveedores de seguridad antes. Por ejemplo, si Microsoft hubiera sido informado sobre la EternalBlue vulnerabilidad antes, habrían podido parchearla incluso antes y limitar el daño de los ataques de ransomware en 2017.

Scott Matteson: ¿Cuáles son algunos ejemplos subjetivos de ataques de ciberconflicto?

Hemos visto algunos ejemplos a lo largo de los años, incluidas las escuelas y las ciudades que se bloquearon de sus sistemas. Ha habido informes de que el malware Stuxnet y Flame eran productos de inteligencia occidental. Otro ejemplo proviene de Rusia y su guerra cibernética en curso contra los EE. UU.

Desde un punto de vista comercial, el hacktivismo es un excelente ejemplo de ciberconflicto. Mencioné brevemente el hacktivismo antes, pero es una mezcla de piratería y activismo, donde los piratas informáticos extranjeros están usando World wide web para impulsar agendas políticas o cambios sociales. El espionaje económico también es muy genuine. Los piratas informáticos tienen como objetivo el robo de inteligencia económica crítica, como secretos comerciales y propiedad intelectual, en una serie de áreas (tecnología, finanzas, políticas gubernamentales).

Scott Matteson: ¿Cuál fue el impacto / resultado?

Michael Scheck: El resultado de este tipo de ataques de ciberconflicto ha sido un aumento de las tensiones geopolíticas, pérdidas millonarias, robo de propiedad intelectual reasonable y daños físicos a equipos industriales.

Ver también



Enlace a la noticia authentic