El mito de la protección en línea y lo que viene después



Probablemente haya visto anuncios de protección de identidad. Están en todas partes, probablemente porque casi la mitad de todos los ciudadanos estadounidenses
fueron víctimas de robo de identidad entre 2020 y 2022. Aunque estos anuncios afirman proteger su identidad, si escucha con atención, lo que proporciona el servicio es una alerta una vez que su identidad ha sido robada, o está en proceso de serlo.

Si bien estas alertas pueden ser inmensamente valiosas, esa es una interpretación muy generosa de «protección». Si me confiara la protección de sus objetos de valor y todo lo que pudiera hacer fuera hacerle saber que se los robaron, no estaría contento con mi desempeño.

Este mismo mito de protección se ha aceptado en la industria de la ciberseguridad: el mito de que una alerta producida cada vez que se cree que algo es malicioso o sospechoso califica como seguridad. Este barra baja para protección es lo que se les ha enseñado a aceptar a las empresas y los consumidores. Es con lo que se les ha enseñado a trabajar a los profesionales de la seguridad. Todo el ecosistema está diseñado en torno a la notion de que consumir y responder a las alertas es sinónimo de protección.

En lugar de proteger a la empresa, estas alertas voluminosas ponen en riesgo la seguridad de la empresa. Los equipos de seguridad se ahogan en alertas y cargan con un exceso de falsos positivos. Se estiran más allá de su capacidad debido a que trabajan en un modo «siempre encendido» altamente reactivo. De acuerdo a Encuesta Voice of SecOps de Deep Intuitionla industria está llegando a un punto de inflexión: casi el 90 % de los profesionales de ciberseguridad encuestados dicen que están estresados ​​en su función, mientras que el 40 % cree que su conjunto de soluciones de seguridad existente es inadecuado y casi la mitad (46 %) de los encuestados ha pensado en dejar el industria.

Ahora más que nunca, debemos redefinir la protección y apoyarnos en la prevención. Sin embargo, antes de ver cómo, veamos rápidamente cómo llegamos aquí: un problema de dos vertientes que surge tanto de la mentalidad de los primeros grupos de seguridad cibernética como de la tecnología disponible en ese momento.

Debemos dejar de vivir en el pasado

El virus ILoveYou apareció en mi primera semana en el Centro de Respuesta a Incidentes de Seguridad Nacional, causando daños por miles de millones de dólares. A principios de la década de 2000, lidiamos con ILoveYou como lo hicimos con cualquier desastre. Creamos un equipo de respuesta, recopilamos datos, trabajamos para detener el daño e hicimos recomendaciones para la próxima vez. Esta mentalidad se incorporó a todos los Equipos de Respuesta a Emergencias (o Incidentes) Informáticos que surgieron en la década de 2000, desde el inside del Pentágono hasta Carnegie Mellon. Se creó un ecosistema de respuesta a un evento.

Las tecnologías y la inteligencia disponibles en ese momento carecían del contexto, la precisión y la velocidad necesarios para enfrentar estas amenazas. Los profesionales se concentraron en lo que podían hacer: procesar los datos después de un evento lo más rápido posible. Aquí es donde las nuevas tecnologías pueden tener un impacto. Hubo mucha emoción cuando la detección y respuesta de punto closing (EDR) pudo responder minutos después de que un intruso ingresara a la purple. Si bien ese es un tiempo de respuesta encomiable, no querrá que alguien dentro de su casa husmee durante minutos antes de responder. Además de eso, las personas responsables de responder ahora están siendo enterradas por una avalancha de falsas alarmas.

Muchos aceptan que las tasas de detección de falsos positivos del 30 % al 50 % son inevitables, por lo que entrenamos a la inteligencia synthetic para consumir e intentar que esas alertas tengan sentido para nosotros. La ciberseguridad debe evolucionar más allá de acelerar los procesos ineficaces. Es hora de redefinir la protección y inclinarse de la respuesta a la prevención. ¿Qué pasaría si la detección fuera lo suficientemente precisa y rápida como para marcar la diferencia? antes de se generó una alerta?

Podemos dar a los defensores la capacidad de ver en profundidad las sesiones de crimson para exponer las técnicas que emplean los piratas informáticos. Podemos exponer esas técnicas lo suficientemente rápido como para marcar la diferencia, de modo que categorías enteras de ataques se detengan antes de que comiencen, y las evasiones menores, como cambiar las direcciones IP, ya no sean efectivas. La precisión de detección es tan buena que los falsos positivos son cosa del pasado. Es hora de desarrollar e introducir controles preventivos automatizados en una industria que está demasiado optimizada para la respuesta.

La verdadera protección ya no es un mito. La tecnología existe hoy para hacer esto una realidad. Con el ransomware en aumento, se pide acertadamente a los defensores que se centren en la resiliencia y la recuperación. La realidad es que los defensores agregarán este enfoque en la resiliencia y la recuperación como otra tarea o proyecto además de sus ya abrumadores días dedicados a perseguir incidentes y estar enterrados en falsas alarmas, todo mientras consideran abandonar el negocio. Podemos volver a capacitar y volver a capacitar a nuestra fuerza laboral cibernética para que sean administradores de la verdadera protección, dándoles tiempo y espacio para hacer su trabajo y marcar la diferencia. Este es el futuro de la ciberseguridad, y ese futuro comienza ahora.



Enlace a la noticia original