El vuelo anual de Santa Claus llega en solo unos días y tiene algunos problemas. La buena noticia es que Saint Nick no ha aparecido en ninguna lista de clientes de SolarWinds. También sabemos que el propio Dr. Fauci Santa vacunado contra COVID-19. La mala noticia es que Santa tiene que lidiar con muchos de los mismos problemas a los que se han enfrentado todas las demás empresas del mundo en 2020: trabajadores enviados a sus hogares, cadenas de suministro interrumpidas y sistemas de TI extendidos para cubrir todo.
Resulta que Santa se enfrenta a un problema clásico de la cadena de suministro: debe asegurarse de que su producto se entregue en un horario estricto, con un presupuesto estricto, manteniendo el secreto de la organización y manteniendo la información particular del cliente absolutamente segura. ¿Cómo puede hacer eso cuando las circunstancias son tan inusuales?
Darkish Studying se dirigió a varios expertos de la industria y les pidió el consejo que le darían a Santa sobre este conjunto crítico de problemas de seguridad. Respondieron en su totalidad y reconocieron que las implicaciones de las decisiones de Santa pueden tener un impacto en quienes están lejos del Polo Norte.
«Cuando Santa entrega ese paquete a sus hijos, es importante considerar las implicaciones de dónde se hizo el juguete o el regalo. Debemos considerar si los elfos realmente están trabajando desde la cuarentena o si han sido sociales. Quizás se hayan visto obligados a adoptar una ambiente de producción como el tiempo para entregar obsequios a gran escala. Si bien no hay evidencia de que COVID haya impactado a la población de elfos o renos, debería ser una consideración «, dice Brandon Hoffman, CISO en Netenrich.
«En 2020, la cadena de suministro se vio comprometida incluso antes de comenzar», dice Tyler Reguly, gerente de investigación y desarrollo de seguridad en Tripwire. Esa noción de una cadena de suministro comprometida surgió repetidamente, junto con la plan de que, a pesar del compromiso, las operaciones deben continuar.
En cuanto a los compromisos, Reguly señala un lugar obvio para que comience la infiltración: «El correo electrónico de Santa se ha publicado y ese nombre de dominio proporciona un punto de partida para que las personas malintencionadas busquen sistemas adicionales y una infraestructura potencialmente pública».
Entonces, con el problema explicado y obvio, ¿qué debería hacer Santa? «Santa debería mirar a sus proveedores externos y darles un requisito de seguridad essential o una evaluación de lo que deben hacer para que pueda sentirse cómodo», dice Kiersten Todt, directora general del Cyber Readiness Institute. Ella señala que Santa tiene que tener claro que los pasos que están tomando sus proveedores externos equivalen al riesgo que él está dispuesto a aceptar y no está dispuesto a aceptar.
La concept de «apetito por el riesgo» es algo que varios expertos mencionaron en sus comentarios, y Ekaterina Kilyusheva, jefa del grupo de investigación de análisis de seguridad de la información de Good Systems, dice que hay pasos concretos que Santa debería tomar dentro de su histórico apetito por el riesgo:
- Consulta las recomendaciones de los elfos para evitar reclutar a un atacante del grupo Grinch.
- Asegúrese de que todos los proveedores de regalos mantengan un alto nivel de seguridad de la información.
- Verifique el sistema de almacenamiento de las listas de buenos niños con anticipación para que el Grinch no pueda incluirse a sí mismo ni a sus aliados en él por la puerta trasera, y restringir el acceso a terceros.
- Entregue obsequios a los elfos para empaquetarlos solo a través de canales y proveedores confiables
- Asegúrese de que usar combinaciones secretas para probar el reno antes de entregar los regalos envueltos sea un procedimiento obligatorio para un elfo.
- Asegúrese de que los elfos registren los hechos de la transferencia de los regalos envueltos a los renos mediante una huella de pezuña en el acto de aceptación y transferencia.
- Coordina las rutas de los renos e instala un sistema de rastreo en ellas para que no se roben ni un solo reno con regalos por el camino.
- Realice regularmente entrenamientos y pruebe a los elfos sobre su conocimiento de los conceptos básicos del manejo seguro de información confidencial para que puedan reconocer fácilmente el phishing e informar a Santa sobre los intentos de secuestrar a Christmas.
Finalmente, Jeff Roth, director regional del sureste de NCC Group, se puso poético al responder a la pregunta de Dark Reading through sobre Santa y el riesgo de terceros. Con disculpas a Clemente Clarke Moore…
«Son las semanas previas a Navidad y en toda la casa, los actores criminales y estatales hackearon con un clic del mouse.
«Todas las empresas, gobiernos y ciudadanos que aún se recuperaban de la fatiga de la pandemia no estaban preparados para detener el caos y la codicia de estos adversarios. Los malos atacan sin miedo ni vergüenza, incluso impidiendo al pobre Rudolph sus juegos de renos.
«Las puertas traseras, los días cero y las falsificaciones abundan. Las cadenas de suministro de los elfos de Santa Claus estaban todas caídas. Porque sin infraestructuras críticas seguras, ¿cómo podrían construir todos los artilugios y juguetes y traernos sonrisas a la cara?
«Pero de esta oscuridad llegó un sonido de júbilo, los guerreros cibernéticos de Santa estaban protegiendo su cadena de suministro para que todos sus elfos la vieran.
«Comenzó con la detección de IOC junto con una protección de defensa en capas bien diseñada. El programa de ciberseguridad de Santa comenzó a extenderse los adversarios ahora tenían algo que temer. Sí, lo encontraremos y abordaremos sus amenazas con propósito, enfoque y velocidad, para detenerlo , actores estatales, criminales y otros Grinches de hecho.
«Así es la lección para que todos recuerden: mantenga su enfoque de seguridad 24 horas al día, 7 días a la semana y durante todo el año, no solo en diciembre».
Curtis Franklin Jr. es editor senior de Dim Studying. En esta función, se centra en la cobertura de productos y tecnología para la publicación. Además, trabaja en programación de audio y video clip para Darkish Reading through y contribuye a actividades en Interop ITX, Black Hat, INsecurity y … Ver biografía completa
Lectura recomendada:
Más información
