Ataque al Capitolio de EE. UU. Una llamada de atención para el …



Cómo se pueden unir dos disciplinas de seguridad tradicionalmente dispares.

Una de las imágenes desgarradoras que surgieron del ataque del miércoles al Capitolio de Estados Unidos fue una foto publicada por un alborotador de una computadora portátil abierta en un escritorio en la oficina de la presidenta de la Cámara de Representantes de Estados Unidos, Nancy Pelosi. La pantalla estaba seen y aparentemente desbloqueada, con una advertencia en un recuadro negro que decía: «Capitolio: Amenaza a la seguridad de Online: Actividad policial».

Si bien no está claro si la computadora portátil supuestamente robado de la oficina de Pelosi durante el ataque al Capitolio es el mismo que fue fotografiado en un estado desbloqueado, subraya cómo la seguridad física y la seguridad informática pueden ir de la mano.

Subjefe de gabinete de Pelosi dijo en Twitter que la computadora portátil robada tenía acceso limitado a documentos confidenciales y se usaba solo para presentaciones. Aun así, los expertos en seguridad expresaron su preocupación por las implicaciones de seguridad de las computadoras y dispositivos del Congreso robados.

Junto con las computadoras portátiles y el correo físico que fueron robados, los alborotadores tuvieron la oportunidad de infiltrarse en los sistemas y redes informáticos del Congreso. Sin un registro adecuado del acceso a la purple y al sistema, un alborotador experto en tecnología podría haber causado un daño significativo a las computadoras y sistemas del Congreso, señala Dan Tentler, fundador ejecutivo de la empresa de pruebas de seguridad Phobos Team.

«El hecho de que un atacante se encontrara accidentalmente en la oficina del presidente de la cámara no significa que no tuviera los medios para piratear el Congreso», dice.

Tradicionalmente, las distintas operaciones de seguridad física y de seguridad de TI se integran de forma incómoda. A medida que la tecnología cambia rápidamente y las organizaciones enfatizan cada vez más la seguridad de TI, corren el riesgo de ignorar las preocupaciones de seguridad física y cómo pueden afectar los dispositivos, sistemas y redes informáticas. Priorizar por igual la seguridad física y de TI puede mejorar drásticamente la postura de seguridad standard de una organización, dicen los expertos, pero muy pocas organizaciones abordan ambas de manera integrada.

Lo que sucedió en Capitol Hill debería ser una lección no solo para los funcionarios del gobierno sino también para las empresas privadas, dice Tentler.

«No muchas empresas se sientan a pensar a quién no le agradan o quién quiere robar su propiedad intelectual», dice. «La mayoría de las empresas ven la seguridad como un trabajo adicional y un centro de costes, por lo que se centran en el cumplimiento. Lo que deben hacer es alejarse del cumplimiento y centrarse en una seguridad true y eficaz».

La Agencia de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional también está preocupada por la intersección de la seguridad física y de TI. El día antes de que los alborotadores invadieran el Capitolio, CISA había publicó una guía sobre los riesgos ciberfísicos y cómo las organizaciones pueden comenzar a modernizar su enfoque.

«Una cultura de inclusión es critical para converger con éxito las funciones de seguridad y fomentar la comunicación, la coordinación y la colaboración. Las organizaciones de todos los tamaños pueden buscar la convergencia desarrollando un enfoque que se adapte a la estructura, las prioridades y el nivel de capacidad únicos de la organización», dice la guía. estados.

A veces, los riesgos son evidentes, como cuando una seguridad física débil conduce al acceso a la red. Christopher Hadnagy, director ejecutivo de Social-Engineer LLC y autor de Piratería humana, dice que uno de sus empleados en un trabajo de prueba de penetración pudo obtener acceso al centro de operaciones de pink de un cliente deslizando una cuña debajo de la puerta de la sala del NOC. Esa brecha podría haberse detenido con una simple alarma en la puerta que se dispararía cuando la puerta estuviera abierta por más de unos segundos, dice.

Otra empresa había reemplazado sus máquinas trituradoras de una sola pasada por otras que trituraban papel en varias direcciones, pero no verificó para asegurarse de que todas sus máquinas más antiguas fueran reemplazadas. Así que el equipo de Hadnagy pudo encontrar una de las máquinas más antiguas y recuperar facturas confidenciales, extractos bancarios, órdenes de compra y cheques juntando el papel triturado.

Las soluciones rápidas para las brechas de seguridad física y de TI son raras, especialmente cuando los expertos en seguridad les entregan una «lista larga» de cambios.

«Todos queremos eso», dice Hadnagy. «Pero lo que se necesita es entrenamiento serious. Necesitas ejercicios, ejercicio del mundo real. El ejercicio te da memoria muscular».

Los simulacros de incendio, dice, donde todos se levantan y dejan su escritorio para archivar fuera del edificio, también podrían incorporar componentes de seguridad, como asegurarse de que todos hayan bloqueado sus computadoras, o requerir que los administradores del sistema lo hagan por ellos.

Algunas de las consideraciones de seguridad física más importantes que pueden afectar la seguridad de TI son las más sencillas de hacer, dice Gary DeMercurio, director del equipo rojo, ingeniería social y pruebas de penetración física en la empresa de gestión de riesgos de ciberseguridad Coalfire. El costo de mejorar la seguridad física, especialmente con el objetivo de mejorar la seguridad de TI, puede ser relativamente bajo en comparación con las grandes sumas gastadas en seguridad de TI, dice.

Él y otros expertos entrevistados para esta historia citaron varias mejoras de seguridad realistas en las que las organizaciones deberían invertir para hacerlas más seguras:

  • Se debe evitar que los empleados publiquen notas adhesivas con contraseñas en sus monitores en su lugar, deben contar con administradores de contraseñas fáciles de usar.

  • Los administradores de contraseñas tienen el doble propósito de eliminar las notas adhesivas y fomentar el uso de contraseñas generadas al azar, que son más seguras que las generadas por humanos.

  • Forzar la autenticación de dos factores puede ralentizar a algunos empleados, pero en última instancia mantiene más seguras las cuentas en línea y los dispositivos informáticos.

  • Forzar el bloqueo de teléfonos, tabletas y monitores después de la inactividad puede reducir el acceso no autorizado.

  • De manera related, el cifrado de disco completo en todos los dispositivos decrease el acceso no autorizado en caso de pérdida o robo de un dispositivo.

  • Las llaves de los archivadores cerrados con llave con documentos confidenciales deben mantenerse separadas del armario y fuera de la vista inmediata.

  • Las credenciales de los empleados que pueden desbloquear las puertas deben protegerse contra la clonación sin cita previa.

  • Los huecos involuntarios entre puertas y marcos, a menudo creados por el asentamiento de edificios, y que pueden ayudar a un pirata informático en el acceso no autorizado, pueden cubrirse con tiras de steel.

  • Prepárese para escenarios de casos extremos, como lo que sucede cuando se corta la energía (o su edificio es infiltrado por una multitud de insurrectos).

La seguridad física «a menudo puede superar las inversiones millonarias en ciberseguridad», dice DeMercurio.

La implementación de estos cambios, en parte, requiere una mejor comunicación entre los equipos de seguridad física y de TI, dice Chris Nickerson, CEO de Lares y un experto del equipo rojo. Demasiadas organizaciones carecen de información sobre cómo se utilizan sus sistemas físicos y cómo se integran con sus sistemas de TI, dice.

«Hay datos realmente terribles sobre cuál es ese punto de intersección. No tenemos una buena integración acoplada entre la seguridad física y de TI», dice Nickerson. «Estas cosas (de seguridad física) se ejecutan en las computadoras, ¿por qué no se tratan como puntos de datos? No hay caso para sistemas dispares cuando son dominios que están conectados. Todos estamos aquí para proteger el fuerte».

Seth es editor en jefe y fundador de The Parallax, una revista de noticias en línea sobre ciberseguridad y privacidad. Ha trabajado en periodismo en línea desde 1999, incluidos ocho años en CNET Information, donde dirigió la cobertura de seguridad, privacidad y Google. Con sede en San Francisco, también … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original