Más allá de la prueba de penetración: cómo protegerse contra los ciberdelincuentes sofisticados

Estuve en una llamada con un cliente el otro día y ella estaba de muy buen humor cuando me compartió que el reciente prueba de penetración había regresado con cero hallazgos. Solo hubo unas pocas recomendaciones que estaban en línea con los objetivos que ella había compartido previamente con el equipo de pruebas.

Ella confiaba en este equipo tal y como los venían utilizando desde hacía algunos años; sabían cuándo le gustaban las pruebas realizadas, cómo le gustaban las cosas documentadas y podían realizar las pruebas más rápido (y más barato). Ciertamente, se estaba verificando la casilla de cumplimiento con esta prueba anual, pero ¿la organización realmente fue probada o protegida contra alguno de los ataques cibernéticos más recientes? No. En todo caso, la organización ahora tenía una falsa sensación de seguridad.

También mencionó que su reciente Ejercicio de Mesa (la parte de la prueba de penetración donde las partes interesadas clave involucradas en la seguridad de la organización discuten sus roles, responsabilidades y sus acciones y respuestas relacionadas al simulacro de ciberataque) para la respuesta a incidentes fue para ransomware. Tú tienes centrarse en el ransomware si aún no se ha cubierto en pruebas anteriores, pero ¿qué pasa con el riesgo humano o la amenaza interna? Si bien, según hallazgos recientes, Tres de cada cuatro ciberamenazas y ataques provienen del exterior de las organizaciones., y los incidentes que involucran a socios tienden a ser mucho mayores que los causados ​​por fuentes externas. Según esos mismos estudios, los privilegiados pueden causar más daño a la organización que los externos.

Entonces, ¿por qué seguimos haciendo pruebas de penetración superficiales cuando podemos emular amenazas realistas y realizar pruebas de estrés en los sistemas con mayor riesgo de causar el máximo daño al negocio? ¿Por qué no analizamos las amenazas más persistentes a una organización utilizando información disponible de ISAC, CISA y otros informes de amenazas para crear tableros realistas e impactantes? Luego podemos emular eso a través de pruebas de penetración y pruebas de estrés cada vez más realistas de los sistemas para permitir que un sofisticado equipo de piratería ética ayude, en lugar de esperar lo que probablemente sea una infracción inevitable en algún momento en el futuro.

Las organizaciones de auditoría y los reguladores esperan que las empresas realicen la debida diligencia en su propia tecnología y seguridad, pero todavía no exigen el nivel de rigor que se requiere hoy. Las organizaciones con visión de futuro se están volviendo más sofisticadas en sus pruebas e incorporando sus ejercicios teóricos de modelado de amenazas con sus pruebas de penetración y simulaciones de adversarios (también llamadas pruebas de equipo rojo). Esto ayuda a garantizar que estén modelando de manera integral los tipos de amenazas, ejerciendo su probabilidad y luego probando la eficacia de sus controles físicos y técnicos. Equipos de hacking ético debería poder pasar de una prueba de penetración ruidosa a una simulación de adversario más sigilosa con el tiempo, trabajando con el cliente para adaptar el enfoque a equipos delicados y fuera de los límites, como plataformas de comercio de servicios financieros o sistemas de juegos de casino.

Los equipos rojos no son sólo el grupo ofensivo de profesionales que prueban las redes de una empresa; Hoy en día, están formados por algunos de los expertos cibernéticos más buscados que viven y respiran la tecnología detrás de los ciberataques sofisticados.

Fuertes socios de seguridad ofensiva ofrecen equipos rojos robustos; Las organizaciones deberían buscar asegurarse de que puedan protegerse y prepararse para el peligroso ciberdelincuente o actor de amenaza de estado-nación de hoy. Al considerar un socio de ciberseguridad, hay algunas cosas a considerar.

¿Este socio está intentando venderle algo o es agnóstico?

Un equipo que busca equipar a su organización con la tecnología adecuada para sus circunstancias crea un programa de ciberseguridad legítimo y sólido. No todas las tecnologías son iguales para todos y, por lo tanto, los productos no deben recomendarse por adelantado, sino que deben sugerirse después de una revisión exhaustiva de las necesidades y requisitos únicos de su empresa.

Derivando I+D a partir de datos defensivos

Descubra si su equipo investiga y desarrolla herramientas y malware personalizados basados ​​en la detección y respuesta de endpoints más recientes y otras defensas avanzadas. No existe un enfoque uniforme para la ciberseguridad, ni debería existir nunca. Las herramientas utilizadas para preparar y defender una organización contra ataques cibernéticos avanzados se actualizan y matizan constantemente para combatir la creciente sofisticación de los delincuentes.

Obtener lo mejor

¿Son sus ingenieros de seguridad ofensivos verdaderamente del calibre de un Estado-nación para evadir la detección y mantener el sigilo, o son evaluadores de penetración basados ​​en el cumplimiento? En pocas palabras, ¿tiene el mejor y más experimentado equipo trabajando con usted? Si no, busca otro socio.

Compruebe la mentalidad

¿El equipo lidera con una mentalidad de cumplimiento o de preparación ante amenazas? Si bien las listas de verificación de cumplimiento son importantes para garantizar que se cuentan con los elementos básicos, son solo eso: una lista de verificación. Las organizaciones deben comprender qué necesitan, más allá de la lista de verificación, para mantenerse seguras las 24 horas del día, los 7 días de la semana.

En última instancia, encuentre un socio cibernético que haga las preguntas difíciles e identifique el alcance más amplio de consideraciones al analizar un programa. Debería ofrecer una solución ofensiva que mantenga a su organización un paso por delante de los ciberdelincuentes y que siga elevando el listón de la máxima resiliencia. ¡Vaya más allá de la prueba de penetración!