Lo que los CISO pueden aprender de las grandes infracciones: centrarse en …



Aborde estas seis causas técnicas fundamentales de las infracciones para mantener su empresa más segura.

Ha habido docenas de mega infracciones en la última década y más de 9,000 infracciones reportadas. Como era de esperar, muchas infracciones no se informan, como lo demuestran los volcados de credenciales disponibles en la Darkish Web de los que una organización vulnerada puede desconocer por completo. ¿Qué va mal? ¿Por qué no hemos podido detener estas infracciones?

En los últimos años, hemos visto una gran cantidad de estándares de cumplimiento de seguridad en aumento (PCI, ISO 2700x, NIST 800-53, HIPAA y otros) que requieren que se aborden cientos de casillas de verificación. Sin embargo, la mayoría de las organizaciones violadas han cumplido en el momento en que ocurrió la violación. Si bien el cumplimiento ofrece muchas ventajas para ayudar a las organizaciones a ser más seguras, no es suficiente para prevenir la mayoría de las infracciones.

La razón principal por la que estos incidentes ocurren con tanta frecuencia es que, como industria, no nos hemos centrado en las causas fundamentales de las infracciones. Según mi análisis de las mega infracciones y miles de otras infracciones notificadas, hay seis causas fundamentales «técnicas» que deben abordarse, que son:

Suplantación de identidad / Adquisición de cuentas
El phishing se utilizó en muchas mega infracciones, incluidas las de Yahoo (divulgadas en 2016) y Anthem (divulgadas en 2015). Incluso tan recientemente como el año pasado, Verizon informó en su «Informe de investigaciones de violación de datos» que el phishing seguía siendo responsable del 25% de las infracciones.

Computer software malicioso
El malware fue una herramienta clave utilizada por los atacantes en la violación de Marriott, revelada en 2018. La violación de Marriott se produjo debido a la adquisición de Starwood Lodges, donde se utilizó malware para comprometer su entorno cuatro años antes de la adquisición y no había sido detectado durante ese tiempo. período.

Vulnerabilidades de application
Tanto las vulnerabilidades de program propias como las de terceros, respectivamente, fueron responsables de la infracción de Facebook «Ver perfil como …» de 2018 y de la infracción de Equifax de 2017. En la brecha de Facebook, un conjunto sofisticado de tres vulnerabilidades se unieron para permitir a los atacantes comprometer decenas de millones de tokens de acceso para cuentas de Fb. En la violación de Equifax, se aprovechó un servidor Apache Struts sin parches para permitir a los atacantes ejecutar el código de su elección en el servidor susceptible, y la vulnerabilidad se utilizó para hacer un compromiso inicial. Aunque la vulnerabilidad de Apache Struts se publicitó ampliamente, también hubo una inyección de SQL que se aprovechó dentro del entorno para extraer datos confidenciales de una de las bases de datos de Equifax.

Compromiso o abuso de terceros
El compromiso de terceros también fue una causa basic en muchos ataques e infracciones, incluido el reciente ataque a SolarWinds revelado en diciembre de 2020 en el que SolarWinds se aprovechó como un tercero para apuntar a muchos de sus clientes, incluidas nueve agencias gubernamentales y aproximadamente 100 empresas del sector privado. . Sin embargo, el compromiso de terceros está lejos de ser nuevo y fue una de las causas fundamentales de las infracciones de Concentrate on y JPMorgan Chase en 2013 y 2014, respectivamente, en las que una empresa de calefacción y aire acondicionado y una empresa de gestión de sitios website permitieron la infiltración inicial en las redes.

Datos no cifrados
Los datos no cifrados han sido la causa principal de miles de infracciones en las que se pierden o son robados dispositivos portátiles no cifrados, o se ha producido una pérdida física de medios no cifrados. Cuando el nombre de un consumidor y un identificador practical sobre ese consumidor se pierde o es robado y esos datos no están encriptados, se activan las leyes de notificación de incumplimiento y se informa a un fiscal standard del estado.

Errores involuntarios de los empleados
Finalmente, los errores involuntarios de los empleados (además de responder a correos electrónicos de phishing, que es lo suficientemente frecuente como para merecer su propia categoría) también es la causa principal de muchas infracciones.

¿Cómo se pueden abordar las causas fundamentales de la infracción? Aunque una respuesta completa a esa pregunta va más allá del alcance de este artículo, existen algunas defensas estándar que se pueden emplear.

Un buen primer paso es aprovechar las claves de seguridad de hardware (como YubiKeys), que son efectivas para eliminar el phishing y la toma de control de cuentas. Después de que Google implementó llaves de seguridad de hardware en 2017, ha experimentado no hay ataques de phishing exitosos hasta la fecha a pesar de que la empresa es un objetivo habitual de los estados-nación. Las defensas anti-malware que implementan en gran medida inteligencia artificial han sido extremadamente efectivas para detectar malware previamente desconocido («día cero»).

La implementación de un proceso de gestión de vulnerabilidades que utilice múltiples escáneres, la emisión de tickets automatizada que priorice las vulnerabilidades que se explotan activamente en la naturaleza y la verificación técnica a través de un nuevo escaneo cuando el personalized afirma que las vulnerabilidades se han solucionado protegerá sólidamente a una organización contra vulnerabilidades de software program conocidas. Égida es un ejemplo de un marco de código abierto novedoso que admite un enfoque sólido de gestión de vulnerabilidades. El uso de herramientas de observabilidad puede identificar vulnerabilidades previamente desconocidas en código nuevo, aprovechando un modelo de desarrollo moderno en el que las pruebas de seguridad no ocurren solo en ciertas etapas de desarrollo, sino que el código nuevo se monitorea continuamente a medida que se desarrolla, hasta su lanzamiento a producción.

Se ha dicho que «la complejidad es enemiga de la seguridad». Los estándares de cumplimiento son complejos y tienen cientos de casillas de verificación que cumplir, pero no ayudan a prevenir las mega infracciones. Necesitamos simplificar si queremos tener éxito centrándonos en las seis causas técnicas fundamentales de las infracciones y desplegando contramedidas científicamente eficaces que se centren en esas seis causas específicas.

El Dr. Neil Daswani es codirector del Programa de Ciberseguridad Avanzada de Stanford, presidente de Daswani Enterprises, su firma de consultoría y capacitación en seguridad y autor del libro de ciberseguridad Major Breaches: Cybersecurity Lessons for Every person. Ha servido en una variedad de … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic