Ciberseguridad: no existen los falsos positivos


Todas las alertas significan algo, incluso si es solo que un empleado necesita más capacitación. La amenaza de violación es constante y aquellas empresas que hacen suposiciones sobre las alertas podrían tener un gran problema.

Concepto de ciberseguridad

Imagen: kerly chonglor / Shutterstock

El tema de los falsos positivos en el ámbito de la seguridad es uno que ha estado en mi mente últimamente como administrador de sistemas acosado. Un falso positivo implica una alerta sobre un problema que en realidad no es un problema, es un problema conocido o no es una amenaza tan grande como podría parecer.

VER: Política de respuesta a incidentes de seguridad (TechRepublic Premium)

Por ejemplo, recibí una alerta de que alguien inició sesión en un servidor de producción como root, lo cual está prohibido. Todos los usuarios deben confiar en cuentas únicas para este acceso, de modo que todos los comandos y acciones puedan ser rastreados y vinculados a cada individuo. Verifiqué la dirección IP involucrada, descubrí que era un compañero de trabajo al que llamaré a Dave y luego hablé con él para saber que su propia cuenta había sido bloqueada en ese servidor, por lo que tuvo que iniciar sesión como root para desbloquearlo y luego cerrar la sesión de inmediato.

El problema con los falsos positivos es que no solo pueden hacer que el particular de seguridad o de TI se sienta complaciente al asumir que lo que está sucediendo no es gran cosa, sino que pueden distraerlo de las amenazas reales al hacer que persiga a los peces más pequeños con poco o ningún propósito. No puedo ignorar la siguiente alerta de inicio de sesión de root asumiendo: «¡Dave está de nuevo, no es gran cosa!»

La solución tiene un enfoque basado en Zen: trate todas las amenazas por igual, sin importar dónde se encuentren. Esa alerta de un sistema de prueba puede parecer menor, pero ese mismo sistema de prueba, si se ve comprometido, podría permitir que un atacante se pase de él a la producción.

Hablé sobre falsos positivos con John Hammond, investigador senior de seguridad en Huntress, un proveedor de soluciones de ciberseguridad.

Hammond me dijo: «El año pasado fue una llamada de atención para muchas organizaciones. Vimos muchos problemas con la apertura del protocolo de escritorio remoto a Internet como un enfoque alternativo para permitir una mayor productividad en el hogar durante el rápido cambio al trabajo remoto. . El lado positivo es que surgieron conversaciones matizadas sobre el uso eficaz de las herramientas de seguridad. Estamos viendo una marea creciente en las comunidades de pequeñas empresas y revendedores de valor agregado. Aunque necesitan más atención cuando se trata de recursos de seguridad y educación, las empresas no están tampoco es inmune «.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

«Al evaluar sus herramientas de seguridad, ahora más que nunca, las organizaciones deben analizar detenidamente sus paneles de manage en busca de falsos positivos / negativos», continuó Hammond. «En 2021, realmente no existen herramientas perfectas o un falso positivo. Si su herramienta de seguridad lo está alertando, lo está alertando por una razón. Los controles de seguridad no se ajustarán cuando los compre, por lo que las organizaciones deberán hacerlo aprenda a ajustarlos y modificarlos para satisfacer sus necesidades comerciales y de seguridad «.

Scott Matteson: ¿Qué tipo de problemas vimos con la seguridad relajada entre las empresas en 2020?

John Hammond: Con el cambio continuo al trabajo remoto durante la pandemia, con demasiada frecuencia, RDP se abre a World-wide-web mientras las empresas están preocupadas por cómo permitir que los empleados accedan a la red corporativa. El RDP de cara al público es un mal movimiento, pero desafortunadamente fue la reacción instintiva de muchas empresas y organizaciones.

Scott Matteson: He visto esto mismo de primera mano y, en muchos casos, se suponía que los inicios de sesión RDP fallidos que alertaban eran usuarios legítimos que manipulaban sus contraseñas en lugar de atacantes reales. Tales suposiciones son muy peligrosas. ¿Cuál fue el razonamiento detrás de esto?

John Hammond: Si bien la solución adecuada es aprovechar un servicio VPN, algunas empresas toman la ruta de solución rápida y abren la accesibilidad remota a algunos servicios para los empleados, incluso si esto significa que los actores malintencionados también pueden encontrar una manera de ingresar. Ponerse un vendaje no curará los efectos a largo plazo, ya que los actores de amenazas están buscando activamente situaciones como estas para aprovechar.

Scott Matteson: ¿Qué se podría haber hecho mejor?

John Hammond: Quizás lo más easy de recordar, que a menudo se pasa por alto, es el principio de handle de acceso y privilegios mínimos para garantizar que solo los empleados de ciertos niveles tengan acceso a la información más confidencial. Tener otro equipo de fragmentos en su lugar para configurar adecuadamente los controles de seguridad y evitar que el acceso remoto sea una vulnerabilidad es clave.

VER: Deje de usar su computadora portátil o teléfono del trabajo para cosas personales, porque sé que lo está (TechRepublic)

Scott Matteson: ¿Existen herramientas perfectas? ¿Por qué o por qué no?

John Hammond: La respuesta corta es no. Una herramienta tiene que ser desarrollada y creada por un ser humano, y dado que los humanos no son perfectos, es probable que ocurran errores y accidentes desconocidos, creando fallas de computer software que podrían sangrar lentamente en una herramienta o programa. Sin embargo, de la misma manera, las personas son más inteligentes que las máquinas, y en el momento en que se crea la próxima gran herramienta de seguridad, alguien está tratando de derribarla inmediatamente esto solo demuestra que los humanos son necesarios en el lado defensivo para responder a tales amenazas.

Si su herramienta de seguridad lo está alertando, lo está alertando por una razón. Los controles de seguridad no se ajustarán cuando los compre, por lo que las organizaciones deberán aprender a ajustarlos y modificarlos para satisfacer sus necesidades comerciales y de seguridad.

Scott Matteson: ¿Existe realmente alguna vez un falso positivo? ¿Por qué o por qué no?

John Hammond: Si y no Eso depende de tu perspectiva. Ciertamente, se puede argumentar si se dispara una alarma y el administrador del sistema sabe que no hay nada de qué preocuparse si han visto cosas así antes y es un falso positivo. Sin embargo, la otra cara de la moneda es considerar que la máquina está programada para administrar una alerta cuando ocurre o se dispara algo específico, y considerando que aunque sea benigno, todavía puede haber algo por entender allí.

Scott Matteson: ¿Cómo debería abordarse esto?

John Hammond: Si las empresas no pueden permitirse un brazo de seguridad fuerte, tiene que haber un equipo que pueda identificar y remediar. No puede ser solo una persona de TI, sino más bien un grupo dedicado, inteligente y capacitado. Incluso si el equipo está subcontratado, todavía sirve para agregar esa capa excess de defensa.

VER: Trabajar a una distancia segura, de forma segura: el trabajo remoto en sitios industriales conlleva un riesgo cibernético adicional (TechRepublic)

Scott Matteson: ¿Qué nos depara el resto de 2021?

John Hammond: Como ocurre con la mayoría de los años, seguiremos viendo las mismas cosas que vimos en los últimos años, y muchas de estas amenazas, como el ransomware, no se detendrán y solo seguirán empeorando. Mirando a SolarWinds en individual, estamos empezando a ver que el incidente se rompe y se rompe en otros lugares. Fuera de las colas de las elecciones y la pandemia, este es, en general, un momento inoportuno para que se produzcan ataques. A menos que nos adelantemos y abordemos las vulnerabilidades de hace una década y reemplacemos el software program obsoleto, nada cambiará.

Scott Matteson: ¿En qué deberían centrarse los profesionales de TI y las empresas?

John Hammond: Todos los profesionales de TI y las empresas deben estar al tanto. Los profesionales de la seguridad deben monitorear varios avisos de seguridad y tomarse el tiempo para leerlos. Hemos visto muchas directivas de emergencia de CISA publicadas recientemente, y es importante asimilarlas. La seguridad ha sido una ocurrencia tardía durante demasiado tiempo y ya no puede serlo.

Ver también



Enlace a la noticia unique