Proteja más con lo que tiene: Resiliencia de ciberseguridad en 2023

Co-Fundador y CTO de Cymulate. Anteriormente, Avihai fue el jefe del equipo de investigación cibernética en Avnet Cyber & Information Security. 2023 se perfila como otro año desafiante para los defensores de la ciberseguridad. Aunque algunos dirán que escuchan esto todos los años, esta vez es diferente. Los atacantes no están recortando y tienen un mayor acceso a tácticas al estilo de un estado-nación. El ransomware tampoco muestra signos de desaceleración. Un clima económico inestable seguirá ejerciendo presión sobre los presupuestos, y muchos proyectos nuevos, incluidos los proyectos de seguridad planificados y presupuestados, pueden experimentar retrasos. La presión para que los líderes de seguridad demuestren la resiliencia de sus programas de seguridad probablemente será mayor que nunca. Los programas de seguridad prácticos y rentables serán un tema predominante para muchas empresas este año. Entonces, ¿cómo hacer más con menos? Comencemos con la preparación. Esto comienza con la comprensión de la eficacia con la que funcionan las herramientas de detección y respuesta a incidentes. Aquí hay tres dominios esenciales que los líderes de seguridad deben evaluar y comparar su desempeño, junto con preguntas que deben hacerse: • Eficacia del programa de seguridad: de acuerdo con nuestra política de seguridad, ¿las herramientas en mi pila de seguridad detectan y bloquean amenazas de manera efectiva? ¿La política está incluso configurada de la forma en que la concibo? Además, ¿pueden las amenazas pasar cuando los controles funcionan según lo diseñado? ¿Podemos mantenernos al día con el volumen de actividad de amenazas? ¿Dónde puede ayudar la automatización? ¿Mi equipo sabe en qué concentrarse primero? ¿El tiempo que tardan en remediar se mantiene dentro de mis niveles de tolerancia al riesgo? • Exposición a amenazas: ¿Cómo cambiará nuestro perfil de riesgo o los entornos que necesitamos proteger en 2023? ¿Cómo ha cambiado mi superficie de ataque desde el año pasado y dónde estoy expuesto? ¿Podemos comprender rápidamente si estamos en riesgo de nuevas amenazas inmediatas a medida que surgen? ¿Mi cadena de suministro de software crea eslabones débiles? ¿Dónde están las posibles rutas de infiltración para un forastero? • El impacto comercial de las vulnerabilidades explotables: ¿Cuáles son nuestros sistemas, datos y operaciones más vulnerables, y qué podemos perder si son atacados con éxito? ¿Hemos tomado las precauciones adecuadas? ¿Hemos empleado medidas de validación de seguridad ofensivas además de programas defensivos? La siguiente área de planificación se centra en la optimización y automatización de medidas de validación de seguridad ofensivas.

Mejoramiento

Con presupuestos y personal fijos, el uso de cada punto de datos y fuente de información se vuelve fundamental, siempre que pueda separar el trigo de la paja. Las soluciones SIEM deben tener visibilidad de todas las operaciones, libres de las restricciones de las unidades de negocio y otras barreras lógicas. Los protocolos de respuesta a incidentes deben ejercerse regularmente bajo circunstancias controladas para garantizar que los planes puedan tener éxito en una emergencia. Las actualizaciones, mejoras y parches deben priorizarse según su impacto en los sistemas corporativos y la probabilidad de un ataque exitoso. La resiliencia cibernética debe convertirse en un proceso iterativo continuo para permitir un progreso exitoso sin agotar al personal. Aprovechar los sistemas para mejorar y ampliar el alcance del equipo puede convertirse en un enorme multiplicador de fuerzas. Donde la automatización se puede usar de manera segura y efectiva, en áreas como la formación de equipos rojos virtuales, las operaciones regulares de validación y otras operaciones que no requieren supervisión manual, puede permitir que el equipo actual cumpla y supere los objetivos y las métricas generales. Las soluciones SOAR pueden optimizar la mitigación cuando se descubren problemas o SIEM reconoce un problema que se extiende al personal cuando la automatización no es la mejor opción. La introducción de una automatización segura y efectiva permite que el elemento humano se utilice de manera óptima, donde más se necesita, mientras que los propios sistemas continúan manejando las operaciones repetitivas.

La línea de fondo

A pesar de la impredecible situación económica, lo único que podemos predecir es que los ciberatacantes no descansarán. Utilizarán las restricciones presupuestarias, la escasez de personal y un número creciente de nuevas vulnerabilidades como un llamado a la acción para más amenazas. Examinar detenidamente la postura de seguridad de la empresa y validar que los controles de seguridad funcionen correctamente se ha convertido en un desafío y seguirá siendo necesario hasta 2023 y más allá. Comprender si las amenazas pueden pasar y priorizar la aplicación de parches en función de las exposiciones será necesario probar que se hizo diligencia para proteger a la organización. Incluso las organizaciones más pequeñas deberían considerar la creación de equipos rojos automatizados para ayudar a escalar sus programas y proporcionar una evaluación continua de su riesgo cibernético en sus entornos locales y en la nube.