Cómo puede enseñar la historia mundial …


Los atacantes de ciberseguridad siguen los mismos principios practicados en la guerra durante milenios. Aparecen en lugares inesperados, buscando partes de la superficie de ataque de una organización que en gran parte no están supervisadas ni defendidas.

Los atacantes atacan donde los defensores menos lo esperan: en ciberseguridad, sin duda, pero también en el mundo de la guerra física. Como ex oficial militar, creo que es particularmente instructivo mirar las batallas militares desde la perspectiva del defensor de la ciberseguridad. Las batallas militares traen lecciones directas y, creo, a menudo sirven como un recordatorio de que los puntos ciegos de la superficie de ataque han sido un talón de Aquiles para los defensores durante mucho tiempo. Nos recuerdan que tenemos que repensar nuestras suposiciones, hábitos y prejuicios para operar de la mejor manera.

Un ejemplo noteworthy ocurrió en 1204 en Château Gaillard. El castillo proporcionó a los ingleses una fortaleza aparentemente impenetrable desde la que defender su reclamo en el campo de Normandía. La base del torreón se construyó con roca purely natural y todos los accesos posibles estaban custodiados por impresionantes torres y murallas. Sin desanimarse, los franceses sitiaron y durante ocho meses continuaron su constante ataque frontal, a pesar del gran número de víctimas que sufrieron sus fuerzas.

Todo lo que intentaron fracasó en derribar a los ingleses, hasta que finalmente decidieron atacar el punto más débil del castillo, uno que estaba completamente desprotegido y protegido: las letrinas. Al trepar por la alcantarilla, los franceses pudieron colarse en la capilla del castillo interior. Un equipo medieval de operaciones especiales se coló por esta abertura y prendió fuego al castillo inside.

Los atacantes de ciberseguridad siguen este mismo principio en la actualidad. Si bien la mayoría no se zambulle a través de alcantarillas, aparecen en lugares inesperados, buscando partes de la superficie de ataque de una organización que en gran parte no están vigiladas ni defendidas. Las empresas suelen tener una cantidad sizeable de activos de TI dentro de su superficie de ataque externa que ni monitorean ni defienden y probablemente no conocen en primer lugar. Estos son activos, recursos o componentes de infraestructura accesibles externamente que pueden procesar o usar los datos de una empresa o estar conectados de alguna manera, como bases de datos de producción expuestas, servidores Git sensibles, Web de las cosas expuesto accidentalmente y sistemas de command industrial, mecanismos de pago de terceros. and so on.

Chateau Gaillard. Crédito: Telly a través de Adobe Stock

Chateau Gaillard. Crédito: Telly a través de Adobe Inventory

Muchos de estos se configuran sin el conocimiento o la participación de la seguridad, a veces incluso sin el conocimiento de TI. Algunas son cosas que alguna vez se conocieron pero que luego se olvidan. Incluso los recursos de prueba o temporales destinados a un uso a corto plazo a menudo siguen siendo un conducto activo hacia el ecosistema de una empresa sin ser desmantelados. Los activos y las aplicaciones se crean o cambian constantemente, y el ritmo del cambio es rápido y dinámico. Es una tarea monumental para cualquier organización de seguridad estar al tanto de todos ellos.

Desconocido e indefenso
Los atacantes comprenden esta tendencia y, a menudo, la utilizan a su favor. Buscan las partes de la superficie de ataque de una organización que pueden ser en gran parte desconocidas e indefensas. Los atacantes tienen acceso a numerosas herramientas, técnicas e incluso servicios que pueden ayudar a encontrar la parte desconocida de la superficie de ataque de una organización. La mayoría de los atacantes son pragmáticos y están orientados a la misión, y su objetivo es encontrar un camino de menor resistencia que proporcione la mayor recompensa. A menudo, esto significa centrarse en la parte menos supervisada y menos protegida de la superficie de ataque de una organización.

Apuntar a la superficie de ataque desconocida de una organización generalmente significa una penetración más rápida y fácil y la capacidad de montar un ataque «lento y lento» que los mantendrá sin ser descubiertos de manera confiable hasta que cumplan su misión. Al igual que los atacantes franceses del siglo XIII de Château Gaillard, pero con el atractivo de menores bajas y menor costo con una mayor probabilidad de éxito, los atacantes pragmáticos buscan la superficie de ataque externamente accesible de una organización.

Por supuesto, proteger completamente la superficie de ataque cibernético de una organización ha sido históricamente extremadamente difícil, si no imposible. Parte del problema es que la superficie de ataque es dinámica y que el rápido ritmo de cambio introduce elementos desconocidos para los equipos de seguridad o de TI. Las herramientas convencionales están plagadas de algo que mencioné al principio: suposiciones, hábitos y sesgos. Todas estas herramientas se enfocan solo donde apuntan, dejando a las organizaciones con puntos ciegos sin resolver que conducen a infracciones. Las pruebas de penetración periódicas y las herramientas de gestión de vulnerabilidades, por ejemplo, se apegan a lo conocido en lugar de desconocido, y no se proponen sistemáticamente descubrir la superficie de ataque previamente desconocida.

Evaluar y proteger solo las partes conocidas de la superficie de ataque garantiza virtualmente que los atacantes encontrarán infraestructura de crimson, aplicaciones o datos sin vigilancia que pueden proporcionar acceso sin obstáculos a recursos valiosos. En cambio, las organizaciones deben dedicar más recursos a descubrir y abordar las incógnitas en su superficie de ataque externa.

Es hora de considerar su enfoque de la defensa y si su organización tiene un conducto de «sombra» significativo que sería atractivo para los atacantes para montar un ataque. Quizás las paredes y los flancos de su organización estén cuidadosamente protegidos mientras existe un pasaje en gran parte abierto y sin vigilancia justo debajo de sus pies.

Rob Gurzeev, CEO y cofundador de CyCognito, ha liderado el desarrollo de soluciones de seguridad ofensivas tanto para el sector privado como para las agencias de inteligencia. Antes de fundar CyCognito, fue director de seguridad ofensiva y jefe de I + D en C4 Stability (adquirido por Elbit … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original