Cada octubre, todo se vuelve picante en las tiendas y cafeterías, y mi bandeja de entrada se inunda de recordatorios, seminarios web y listas de verificación. Puede que Halloween esté a la vuelta de la esquina, pero para aquellos de nosotros que nos dedicamos a la ciberseguridad, el Mes de la Concientización sobre la Seguridad es un hito estacional.
Sin duda, como profesional de la seguridad, me encanta este mes. Lanzado en 2004 por CISA y la Alianza Nacional de Ciberseguridad, el servicio tiene como objetivo hacer de la seguridad una responsabilidad compartida. Ayudar a ciudadanos, empresas e instituciones públicas a crear hábitos digitales más seguros. Y funciona. Esto llama la atención sobre diferentes formas de riesgo, genera conversaciones que de otro modo no ocurrirían y ayuda a los empleados a reconocer su interés e influencia personal en la seguridad de la organización.
Las iniciativas del Mes de Concientización sobre la Seguridad aumentarán su confianza, agudizarán sus instintos y mantendrán la seguridad como una prioridad para todos. Es decir, hasta que comiencen las decoraciones navideñas de invierno.
Después de eso, el impulso se desacelera. Sin refuerzo, la conciencia se desvanece rápidamente. La gente sabe qué hacer, pero las presiones del día a día y los cambios de prioridades provocan que vuelvan a entrar contraseñas débiles, configuraciones erróneas y cuentas no utilizadas. El progreso real requiere una estructura que valide lo que las personas recuerdan y encuentre lo que les falta: un sistema que valide continuamente sus identidades, configuraciones y privilegios.
En este artículo, analizamos más de cerca por qué la concienciación por sí sola no puede soportar todo el peso de la seguridad y cómo la búsqueda proactiva de amenazas puede cerrar la brecha entre lo que sabemos y lo que realmente se puede prevenir.
límites de reconocimiento
El Mes de la Concientización sobre la Seguridad se centra en el lado humano de la defensa. Recuerde a los empleados que cada clic, credencial y conexión son importantes. Este enfoque es valioso y he visto organizaciones invertir mucho en campañas creativas que realmente cambian el comportamiento de los empleados.
Sin embargo, muchas de estas mismas organizaciones todavía sufren violaciones graves. Esto se debe a que muchas brechas comienzan en lugares a los que la formación no puede llegar. Las malas configuraciones de seguridad por sí solas representan más de un tercio de todos los incidentes cibernéticos y aproximadamente una cuarta parte de los incidentes de seguridad en la nube. Las señales son claras. El reconocimiento tiene sus límites. Puedes mejorar la toma de decisiones, pero no puedes arreglar algo que la gente nunca verá.
Parte del problema es que las defensas tradicionales se centran principalmente en la detección y la respuesta. EDR le alerta sobre actividades sospechosas. SIEM correlaciona eventos después de que ocurren. Los escáneres de vulnerabilidad identifican debilidades conocidas. Estas herramientas operan principalmente en el lado derecho de la matriz de ciberdefensa y se centran en la fase reactiva de la defensa.
La defensa eficaz debe comenzar antes. El lado positivo izquierdo de la matriz, es decir, la identificación y la protección, debe basarse en garantías y no en suposiciones. La caza proactiva de amenazas establece mecanismos para brindar estas garantías y potencia el proceso en el que comienza la concientización. Crear mecanismos para brindar estas garantías y potenciar el proceso por el cual se inicia el reconocimiento. Busque configuraciones erróneas, credenciales filtradas y privilegios excesivos que creen oportunidades de ataque y elimínelos antes de que los atacantes puedan explotarlos.
La caza proactiva de amenazas cambia la ecuación
La mejor defensa comienza antes de la primera alerta. La búsqueda proactiva de amenazas identifica las condiciones que permiten que se formen ataques y responde a ellas tempranamente. Esto hace que su seguridad pase de una observación pasiva a una comprensión clara de dónde está en riesgo su seguridad.
Este cambio de la observación a la comprensión proactiva constituye el núcleo de los programas de seguridad modernos: la Gestión Continua de la Exposición a Amenazas (CTEM). En lugar de ser un proyecto único, un programa CTEM proporciona un marco estructurado y repetible para modelar continuamente amenazas, validar controles y proteger su negocio. Para las organizaciones que están listas para desarrollar esta capacidad, la Guía práctica para comenzar con CTEM proporciona una hoja de ruta clara.
Los atacantes ya están siguiendo este modelo. Los actores de amenazas en las campañas actuales combinan el abuso de identidad, la reutilización de credenciales y el movimiento lateral entre entornos híbridos a la velocidad de las máquinas. Cree mapas de automatización basados en IA y prepare toda su infraestructura en minutos. Los equipos que examinan los entornos desde la perspectiva de un atacante pueden ver cómo pequeños descuidos pueden conducir a vectores de ataque completos, permitiendo a los actores de amenazas eludir las capas de defensa. Esto convierte los datos de riesgo distribuidos en una imagen viva de cómo se producen las infracciones y cómo detenerlas temprano.
Los defensores necesitan la profundidad de la visibilidad contextual que ya tienen los atacantes. La búsqueda proactiva de amenazas aumenta la visibilidad y genera preparación en tres etapas:
Obtenga los datos correctos: recopile vulnerabilidades, diseño de red, conectividad para cada sistema, identidad (tanto SSO como datos almacenados en caché del sistema) y datos de configuración de cada parte de su entorno para crear una vista única centrada en el atacante. El objetivo es ver qué ven los atacantes, como credenciales débiles, brechas en la postura de la nube y relaciones de privilegios que crean puntos de entrada. Los gemelos digitales proporcionan una forma práctica de replicar de forma segura su entorno y ver todas sus exposiciones en un solo lugar. Mapeo de rutas de ataque: aproveche los gemelos digitales para conectar exposiciones y activos y mostrar cómo avanza una infracción a través de su entorno e impacta los sistemas críticos. Este mapeo revela importantes cadenas de explotación. Reemplace las suposiciones con evidencia y muestre exactamente cómo convergen múltiples exposiciones pequeñas para formar una ruta de ataque. Priorice por impacto comercial: vincule cada ruta validada con activos y procesos que respaldan las operaciones comerciales. En esta etapa, usted traduce los descubrimientos técnicos en riesgos comerciales y se concentra en remediar los riesgos que pueden causar la mayor interrupción en su negocio. El resultado es claridad y un conjunto de acciones validadas y priorizadas que fortalecen directamente la resiliencia.
La conciencia es un componente clave. Pero la caza activa de amenazas proporciona a los defensores algo que la conciencia por sí sola nunca podrá proporcionar: pruebas. Esto muestra exactamente dónde se encuentra su organización y qué tan rápido puede cerrar la brecha entre visibilidad y prevención.
De la conciencia a la preparación
El Mes de la Concientización sobre la Seguridad nos recuerda que crear conciencia es un paso importante. Pero el verdadero progreso comienza cuando la conciencia lleva a la acción. La percepción es tan poderosa como los sistemas que la miden y verifican. La búsqueda proactiva de amenazas convierte la conciencia en preparación al mantener la atención en lo más importante: las debilidades que forman la base de los ataques del mañana.
La conciencia enseña a las personas a reconocer los riesgos. La búsqueda de amenazas demuestra si el riesgo todavía existe. Estos trabajan juntos para formar un ciclo continuo que garantiza que la seguridad persista mucho después de que finalice la campaña de concientización. Este octubre, la pregunta para todas las organizaciones no es cuántos empleados completan la capacitación, sino si las defensas actuales resistirán si alguien las prueba. La conciencia construye la comprensión. La preparación proporciona protección.
Nota: Este artículo fue escrito y contribuido por Jason Frugé, CISO residente de XM Cyber.
Source link
