por Michael Chertoff
Las consecuencias de los ciberataques son cada vez más graves. Y a medida que los «malos actores» se financian cada vez más y la «superficie de ataque» en la que se despliegan las ciberamenazas se hace cada vez más grande y compleja, se hace prácticamente imposible garantizar que todo está bien parcheado.
Para gestionar el riesgo cibernético en este contexto, necesitamos cambiar de forma fundamental la forma en que medimos el desempeño del ciberriesgo. El autor explica tres cosas que las empresas deberían hacer para mejorar sus actuales medidas de ciberriesgo.
Si bien la eliminación de riesgos no existe, mediante una mejor medición e incentivos, no solo podemos gestionar estos riesgos tecnológicos, sino también convertirlos en oportunidades para una economía más resiliente.
• • •
Los titulares siguen repletos de informes sobre agencias gubernamentales y grandes empresas que son víctimas de ciberintrusiones. Esto sigue siendo cierto a pesar de la proliferación de directrices de ciberseguridad y del gran aumento del gasto mundial en ciberseguridad (alrededor de 150$ millones de dólares al año en todo el mundo (en productos y servicios cibernéticos). ¿Por qué? Además de cada vez más bien financiado actores de amenazas, la «superficie de ataque» en la que se despliegan estos ataques está cambiando drásticamente.
- El número de aplicaciones utilizadas por una organización típica ha crecido rápidamente durante la última década, según las últimas informando, las organizaciones típicas utilizan 130 aplicaciones SaaS, frente a las 16 aplicaciones de hace cinco años. Nuestra empresa trabaja con grandes empresas que gestionan miles de aplicaciones SaaS y locales. Cada aplicación requiere controles de postura (un estado general de preparación para la ciberseguridad), gestión de vulnerabilidades y controles de autenticación.
- La cantidad de dispositivos de Internet de las cosas (IoT) también se está disparando: algunas previsiones proyecto que habrá 41 600 millones de dispositivos de este tipo en 2025. Y las redes 5G permitirán un nivel mucho mayor de computación distribuida en la periferia. Drones y robótica ya no son cosa de los entornos militares, sino que se utilizan hoy en día en muchas industrias y áreas de servicio, desde la agricultura hasta los centros de distribución minorista, los servicios de entrega y más.
- El software y el firmware que ejecutan estos sistemas se encuentran sobre bases de códigos cada vez más complejas, tanto por su tamaño como por su dependencia del código de terceros. La base de códigos original del transbordador espacial solo era 400 000 líneas de código. Los coches modernos tienen 100 millones de líneas de código.
Se está haciendo prácticamente imposible garantizar que todo esté bien parcheado. Y las consecuencias son cada vez más graves. MKS Instruments, un proveedor de tecnología para la industria de los semiconductores, recientemente denunciado un impacto de 200 millones de $ por un ataque de ransomware. La explotación de las vulnerabilidades en los sistemas de control industriales y los dispositivos de IoT implica un impacto en la vida y la seguridad, como hemos visto en los últimos intentos para envenenar los sistemas de agua.
Para gestionar el riesgo cibernético en este contexto, necesitamos cambiar de forma fundamental la forma en que medimos el rendimiento. Las medidas que vemos que se utilizan hoy en día incluyen cosas como las evaluaciones de madurez (que utilizan una escala para definir los niveles progresivos de madurez de las capacidades utilizadas para gestionar el ciberriesgo), las certificaciones de cumplimiento (en las que una empresa o auditores externos certifican o validan que existe un conjunto predefinido de controles de seguridad), los informes de antigüedad de las vulnerabilidades (que miden la presencia de vulnerabilidades críticas y altas presentes en los activos de IT y cuánto tiempo llevan sin solucionarse) y las estadísticas de tiempo promedio de detección (que mide el tiempo que se tarda en detectar una amenaza) actividad dentro del entorno de una organización). Estas medidas son valiosas y necesarias, pero ya no son suficientes, y hay que cerrarlas de tres maneras.
Tres formas en las que necesitamos mejorar las actuales medidas de riesgo cibernético
En primer lugar, desde el principio, necesitamos ofrecer una mayor visibilidad a los niveles de riesgo inherentes a las organizaciones. Básicamente, «¿Qué se nos pide que defendamos?»
Durante dos décadas, hemos premiado al Departamento de Seguridad Nacional (DHS) Iniciativa de seguridad en áreas urbanas (UASI) concede subvenciones en función del grado relativo de riesgo en las diferentes áreas metropolitanas, y necesitamos un enfoque similar en la ciberseguridad. Esto incluye medir las amenazas, la complejidad y el posible impacto empresarial. Necesitamos paneles que midan las tendencias en factores como el número de aplicaciones, el tamaño y la naturaleza de las bases de datos y los repositorios de códigos, las regiones en las que operamos, la velocidad de las fusiones y adquisiciones y las dependencias de los principales proveedores. Esto cobrará especial importancia a medida que Big Data, la IA y el IoT evolucionen, ya que los beneficios y los riesgos de estas innovaciones se reducirán de manera desigual en las organizaciones.
En segundo lugar, necesitamos mucha más transparencia, precisión y precisión en cuanto a nuestra actuación contra las posibles amenazas y a si lo hacemos de forma coherente en toda la superficie de ataque.
La base de conocimientos más autorizada y transparente sobre el comportamiento de las amenazas disponible en la actualidad es la de MITRE Corporation ATAQUE Y GOLPE marco. La Agencia de Seguridad de Ciberseguridad e Infraestructuras (CISA) publicó recientemente una serie deObjetivos de rendimiento en ciberseguridad destinado a ayudar a establecer un conjunto común de prácticas de ciberseguridad fundamentales para la infraestructura crítica. Cada uno de los objetivos está asignado a técnicas de amenaza específicas de MITRE. Las empresas pueden comprobar el rendimiento de la seguridad con estas técnicas, y la CISA, el FBI y la NSA han emitido conjuntamente orientación recomendando que lo hagan.
Cada año, la CISA publica un compendio de sus esfuerzos en pruebas de penetración y informando indica que comprometer las cuentas válidas es la técnica en la que el mayor número de organizaciones quiebran. Esta tendencia no hará más que aumentar a medida que migremos a la nube, donde la identidad es el perímetro, y significa que las defensas en torno a la identidad y el acceso deben ser una de las principales prioridades. A medida que lo haga, la automatización y la medición continua del rendimiento de la seguridad cobrarán cada vez más importancia. Afortunadamente, las principales empresas de nube ofrecen herramientas que lo hacen, como las de Microsoft Puntuación segura.
Del mismo modo, con el avance de la IA y la capacidad de imitar a los usuarios legítimos, las técnicas de análisis de la reputación también cobrarán cada vez más importancia para identificar a los impostores. La Oficina de Aduanas y Protección Fronteriza de los Estados Unidos evalúa continuamente el riesgo de la carga entrante, en parte comprobando si el remitente es conocido y de confianza. Estos mismos principios se aplican en el ciberespacio. Las técnicas de análisis reputacional pueden (y se siguen aplicando) automáticamente para decidir si se bloquean ciertos sitios web, correos electrónicos entrantes o intentos de autenticación sospechosos.
Otro punto de vista para una defensa basada en amenazas es medir cómo se defienden los «activos de alto valor». Definir «activos de alto valor» puede resultar subjetivo y demasiado amplio, pero sabemos que ciertos sistemas son atacados repetidamente porque desempeñan funciones fundamentales para la confianza. Tras el Incidente de SolarWinds, el Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos definió esa lista de software crítico y un buen punto de partida es medir qué tan bien se defienden estos sistemas.
Para medir estas defensas, debemos evaluar no solo qué tan bien hemos protegido estos sistemas en funcionamiento, sino también con qué seguridad los proveedores de estos sistemas los han desarrollado y actualizado. El reciente robo de código fuente en Okta, un proveedor líder de soluciones de autenticación multifactorial e inicio de sesión único basadas en la nube, así como la violación en el administrador de contraseñas LastPass, ponga esto en relieve. Lamentablemente, las certificaciones existentes como ISO 27001 y SOC 2arrojan poca luz sobre si existen procesos de seguridad sólidos durante el ciclo de vida del software. Por lo tanto, el Estrategia nacional de ciberseguridadpublicado en marzo, pide incentivar una mejor seguridad del software, transfiriendo la responsabilidad a los proveedores de software y utilizando el poder adquisitivo del gobierno para incentivar la adopción de marcos modernos, como el Marco Seguro de Desarrollo de Software (SSDF) del NIST y el concepto relacionado de una lista de materiales del software (SBOM). A medida que se formalicen los marcos de certificación SSDF y SBOM, deberían adoptarse en los programas de gestión de riesgos de terceros de las empresas.
En tercer lugar, necesitamos planificar y medir el desempeño en función de eventos de baja probabilidad y altas consecuencias.
Hay una tendencia a cuantificar los impactos financieros del ciberriesgo mediante modelos como Valor en riesgo, que cuantifica (normalmente en dólares) la posible pérdida de valor de una entidad durante un período de tiempo definido con un nivel de confianza determinado. Estos modelos son útiles, pero dependen necesariamente de las entradas de datos. Según los datos que impulsen estos modelos, pueden presentar una visión demasiado optimista del riesgo. Historia dice esto es lo que ocurrió con el riesgo crediticio y de liquidez a principios de la década de 2000, y tenemos la crisis financiera de 2007-2008 para demostrarlo.
En el DHS, después del 11 de septiembre, estructuramos la planificación de la preparación en torno a un conjunto básico de escenarios de planificación, y los reguladores bancarios británicos ahora requerir planificación y pruebas similares en torno a escenarios «graves pero plausibles». Un buen punto de partida es lo que pasó con Maersk en el incidente de NotPetya, en el que la empresa estuvo a punto de perder permanentemente su sistema de IT a causa de un malware destructivo que más tarde se atribuyó a Rusia. Más recientemente, la migración de cargas de trabajo a la nube por parte de Ucrania antes de la invasión fue fundamental para poder capear un torrente de ciberataques rusos. El clima geopolítico actual subraya la importancia de reformular la planificación de la resiliencia en torno a cómo mantener a la empresa a flote en caso de que sus sistemas principales se vean comprometidos. ¿Hemos mantenido copias de seguridad sin conexión y hemos probado la recuperación? ¿Podemos reconstituir una forma de comunicarnos con los empleados esenciales? ¿Sabemos cómo garantizar que ciertos pagos importantes pero de bajo riesgo puedan continuar?
Podemos convertir el riesgo en oportunidad: si podemos unirnos en torno a mecanismos que midan el desempeño de la ciberseguridad con transparencia, precisión y precisión, podríamos trabajar con los países aliados para codificarlos e implementarlos. Entonces podrían reflejarse como requisitos básicos en la adquisición de tecnología en el extranjero, lo que crearía mayores oportunidades de diferenciación. La eliminación de riesgos no existe, pero mediante una mejor medición e incentivos, no solo podemos gestionar estos riesgos tecnológicos, sino también convertirlos en oportunidades para una economía más resiliente.