Category Archives: Ciberseguridad

El nuevo informe global de OT y ciberseguridad describe los desafíos clave para las organizaciones industriales

Posted on

Por: Fortinet

Fortinet publicó recientemente el Informe sobre el estado de la tecnología operativa y la ciberseguridad 2022. Basado en una encuesta detallada realizada en marzo de 2022 a más de 500 profesionales de tecnología operativa global (OT), los datos del informe destacan el estado actual de la seguridad de OT y proporcionan una hoja de ruta para proteger mejor a las organizaciones de OT.

La necesidad de mejorar la seguridad de OT se subraya en el informe, que encontró: el 93% de las organizaciones de OT experimentaron una intrusión en el último año, y el 78% de ellas experimentaron más de tres intrusiones.

No más con espacio de aire

Tradicionalmente, la seguridad no era una consideración tan crítica cuando se diseñaban controladores lógicos programables (PLC), los cerebros de cualquier sistema de control industrial (ICS) o red OT. Los PLC nunca verificaron la autenticidad de los remitentes de mensajes, y las comunicaciones del controlador tenían capacidad de cifrado cero. Anteriormente, no había necesidad de estas medidas de seguridad porque la red OT de una organización siempre estaba separada de su red de TI.

Ahora, sin embargo, la situación es muy diferente. Las redes OT y TI han convergido, y los procesos industriales se han digitalizado. Los beneficios de la integración de estos dos tipos de redes son grandes. Incluyen mejoras en productividad, eficiencia, capacidad de respuesta y rentabilidad. Desafortunadamente, esta nueva conectividad también ha traído la consecuencia negativa no deseada de hacer que las redes OT sean vulnerables a los ciberataques. La interconexión de TI / OT ha permitido a los actores de amenazas atacar los sistemas ciberfísicos de entornos de OT que ya no tienen espacio en el aire, lo que resulta en muchos incidentes graves.

Aspectos destacados del informe

Después de sumergirnos en los datos del informe, podemos extraer estas pepitas de información clave:

  • Visibilidad hacia abajo equivale a vulnerabilidad hacia arriba: La falta de visibilidad centralizada de los dispositivos, aplicaciones y usuarios de OT aumenta la vulnerabilidad. Esta falta de visibilidad contribuye en gran medida a los riesgos de seguridad OT de las organizaciones y a tener una postura de seguridad débil.
  • Problemas finales: Las intrusiones de seguridad de OT afectan significativamente la productividad de una organización y sus resultados. Debido a las intrusiones, casi el 50% de las organizaciones encuestadas sufrieron una interrupción operativa que afectó su productividad con el 90% de las intrusiones que requirieron horas o más para restaurar el servicio. Además, un tercio de los encuestados vio afectados los ingresos, la pérdida de datos, el cumplimiento y el valor de la marca debido a las intrusiones.
  • Problemas de responsabilidad: La propiedad de la seguridad OT es inconsistente en las organizaciones encuestadas. Solo el 15% de los encuestados dice que su CISO es responsable de la seguridad de OT en su organización. Creemos que tener no expertos a cargo de la seguridad de OT está causando problemas.
  • Desafíos de complejidad: La seguridad de OT está mejorando gradualmente, pero todavía existen brechas de seguridad en muchas organizaciones. El informe encontró que una gran mayoría de las organizaciones utilizan entre dos y ocho proveedores de seguridad diferentes para proteger sus dispositivos industriales y tienen entre 100 y 10,000 dispositivos en funcionamiento. Esta complejidad realmente desafía a cualquier equipo de seguridad que utilice múltiples herramientas de seguridad. También crea una brecha en su defensa cibernética y una invitación abierta para que las amenazas se escapen.
Prácticas recomendadas para proteger la OT

Además de proporcionar las últimas estadísticas sobre el estado de la ciberseguridad de OT, el Informe sobre el estado de la tecnología operativa y la ciberseguridad de 2022 ofrece información sobre la mejor manera de manejar las vulnerabilidades de OT y la mejor manera de fortalecer la postura de seguridad general de una organización. Algunas de las mejores prácticas clave para las organizaciones de OT son:

  • Empleando soluciones que ofrecen visibilidad centralizada de todas las actividades de OT: Una visibilidad enfocada de extremo a extremo de las actividades industriales es primordial para las organizaciones que requieren seguridad hermética. El informe revela que las organizaciones de primer nivel que no reportaron intrusiones en el último año, solo el 6% de los encuestados, tenían más de tres veces más probabilidades de haber logrado una visibilidad centralizada que sus contrapartes que fueron víctimas de intrusiones.
  • Consolidación de proveedores y soluciones de seguridad: Para eliminar la complejidad y obtener visibilidad centralizada de los dispositivos, las organizaciones deben integrar su tecnología OT y TI y asociarse con menos proveedores. Mediante el uso de soluciones de seguridad integradas, los equipos de seguridad pueden reducir la superficie de ataque de su organización y mejorar su seguridad.
  • Implementación de la tecnología de control de acceso a la red (NAC): Las organizaciones que lograron evitar intrusiones en los últimos 12 meses tenían más que probabilidades de tener un NAC como FortiNAC. Esta herramienta de seguridad de vanguardia garantiza que solo las personas autorizadas puedan acceder a sistemas críticos y activos digitales.
El enfoque de la plataforma

El informe de 2022 muestra que existen brechas generalizadas en la seguridad de los sistemas industriales, y hay numerosas áreas que piden mejoras. Dado que la ciberseguridad ahora debe abarcar completamente los entornos de red de TI y OT para ser efectiva, creemos que un enfoque de plataforma de malla como Fortinet Security Fabric es esencial para mantener seguras a las organizaciones industriales. Con la visibilidad centralizada que ofrece una plataforma de malla, las vulnerabilidades y los riesgos de OT se pueden tapar y las amenazas más sofisticadas de la actualidad se pueden repeler.

Más sobre la encuesta

Los encuestados eran personas que ocupaban puestos de liderazgo responsables de la seguridad de OT y OT, desde gerentes hasta ejecutivos de nivel C. Estos encuestados representaban una variedad de industrias pesadas de usuarios de OT, incluida la fabricación, el transporte y la logística, y la atención médica. Se basa en una encuesta a más de 500 profesionales globales de OT realizada en marzo de 2022.

Lea el informe para obtener más información sobre lo que otros están haciendo para proteger mejor sus redes OT y lo que puede hacer con las suyas.

Una zambullida a las mejores prácticas de seguridad digital

Posted on

Por: Juan Marino / Cisco Systems

Observando el avance aparentemente desenfrenado del cibercrimen y amenazas cada vez más sofisticadas, nos preguntamos: ¿qué diferencia una empresa de otra o un sector de otro en la defensa de sus activos e información contra la ofensiva digital? ¿Por qué una organización funciona mejor que otra en la recuperación de incidentes de ciberseguridad? Sabemos que las respuestas no son sencillas, y precisamente por eso estas preguntas han guiado la segunda edición del informe Cisco Security Outcomes, que trae los resultados de una investigación de campo aplicada a más de 5.100 profesionales de TI y seguridad, en 27 países.

El estudio es una continuación de la primera edición de Cisco Security Outcomes, que mapea las prácticas más eficientes en la respuesta a incidentes de ciberseguridad. Esta vez, bajamos algunos niveles y medimos lo más importante en la gestión de esta política. Las 25 prácticas generales mapeadas fueron probadas y correlacionadas a la obtención de 11 resultados, siendo que cinco de ellos llaman la atención, porque se mostraron efectivos para la mayoría de las organizaciones entrevistadas.

Un punto para destacar es que el sector financiero sigue siendo el principal objetivo de los ciberataques y, como consecuencia, presenta un alto grado de madurez en ciberseguridad. Recientemente, se observó una intensificación de las amenazas en todos los sectores económicos, especialmente en las áreas de salud y educación, siendo salud uno de los más atacados. Nunca está de más recordar que el interés aquí es el valor de los registros médicos.

Volviendo a las estrategias exitosas en la gestión de ciberseguridad, los «cinco principales» indicadores de éxito son:

1) Actualización tecnológica proactiva;

2) Tecnología bien integrada;

3) Respuesta adecuada a incidentes;

4) Recuperación inmediata de desastres;

5) Detección precisa de amenazas.

La actualización tecnológica diferencia a las empresas por ser una práctica aún en desventaja en las estrategias corporativas. Para hacerse una idea, de las tecnologías de seguridad utilizadas por las empresas, 39% son consideradas obsoletas y casi 13% de los entrevistados afirman que al menos 8 de cada 10 herramientas de seguridad presentan signos de desgaste. Un hecho que, por sí solo, puede ayudar a explicar muchos de los beneficios de una estrategia de actualización tecnológica proactiva. Al parecer, las últimas tecnologías aportan capacidades avanzadas para hacer frente a una horda de amenazas cibernéticas en constante evolución. Y destaco aquí que el 81,6% de las organizaciones con arquitecturas basadas en la nube relatan sólidas capacidades de actualización tecnológica.

Sobre el indicador de la integración, es decir, tecnologías y procesos integrados, los entrevistados afirman que esta práctica mejora la eficiencia del monitoreo y de la auditoría. También es importante reforzar la relevancia de la interoperabilidad y de la integración no solo de la tecnología, sino de los procesos corporativos, para llegar a un estándar considerado ideal en ciberseguridad.

Muchos proveedores afirman, con todas las letras, que sus productos se integran con soluciones de los competidores, pero vemos que esto sucede poco en la práctica. No es raro encontrarnos con empresas con dificultad de uso de una solución, porque el esfuerzo y el costo técnico de hacerla funcionar integrada a las demás herramientas imposibilitan la estrategia. Y aquí un aviso al mercado: más de 3/4 de las organizaciones preferirían comprar soluciones integradas a construirlas y más del 41% de las empresas con sistemas altamente integrados para la identificación de recursos y riesgos importantes presentan capacidades de detección de amenazas mucho más robustas. Entonces, en un sentido real, la lucha contra los enemigos y contra la fragmentación van de la mano.

En lo que respecta a la respuesta a incidentes, vemos que casi todas (aproximadamente 92%) las organizaciones con personas, procesos y tecnología sólida logran anticipar amenazas con capacidades de detección y respuesta. Aquí una curiosidad: el estudio identificó que, a pesar de la tendencia al outsourcing, equipos internos presentan mejor desempeño y son más productivos en el área de ciberseguridad que profesionales o empresas tercerizadas.

Una de las métricas más objetivas para esta comparación es el tiempo medio de respuesta (MTTR) o el tiempo medio de corrección o contención de un incidente de seguridad. En el estudio, las empresas con equipos internos disfrutan de un MTTR un 50% menor que los modelos tercerizados (unos 6 días frente a 13 días). Aquellas que operan con modelos de personal híbridos alcanzan desempeño mediano (cerca de 8 días), con MTTRs que no son tan rápidos como los de los equipos internos, pero responden mucho más rápido que los tercerizados.

Puede que se pregunten si hay una vuelta al pasado aquí. Y eso es todo. Después de permanecer en segundo plano en las violaciones de datos y en el espionaje cibernético durante varios años, el tema de la continuidad de los negocios y la recuperación de desastres (BCDR) vuelve al centro de atención. La razón de esto es la creciente actuación de ransomware. Las interrupciones de los principales proveedores de hosting y así sucesivamente forzaron grandes cambios en las estrategias para garantizar la resiliencia ante amenazas implacables.

El Security Outcomes Study clasificó la recuperación de desastres inmediata como el cuarto contribuyente más importante para la creación de programas exitosos de seguridad cibernética. Y mostró correlaciones importantes en  los 11 resultados, excepto uno (cultura de seguridad). Por otro lado, menos de tres de cada diez empresas afirman que las funciones de recuperación de desastres cubren al menos el 80% de los sistemas esenciales. La mitad está en el rango del 50% al 79% y algo menos del 20% admiten tasas de cobertura inferiores a esa.

A primera vista, no parece tan malo. Después de todo, la mayoría de los sistemas esenciales de la mayoría de las empresas tienen cobertura. Pero, desafortunadamente, este hecho ignora la molesta tendencia de que los desastres ocurren en lugares inesperados y nuestros datos sugieren que esto sucede con más frecuencia de lo que nos gustaría admitir.

Un indicativo que se ha demostrado muy eficaz es la repetición de los ensayos de recuperación de desastres, algo similar a lo que hacen las brigadas de bomberos en los edificios, por ejemplo. Hay muchas maneras diferentes de probar los recursos, incluyendo tutoriales de plan, ejercicios teóricos, pruebas en vivo, pruebas paralelas y pruebas de producción completa. Preguntamos a los encuestados sobre la frecuencia con que sus empresas realizan estos ejercicios y comparamos esto con la probabilidad de mantener la continuidad de los negocios.

La pregunta que surgió fue: ¿Debemos desencadenar el caos? En el tema de la prueba de estrés del plan de recuperación de desastres, vamos a maximizar el «estrés». Estamos hablando de la ingeniería del caos, en el que los sistemas se interrumpen (de manera intencional) periódicamente para probar la capacidad de soportar condiciones y eventos inesperados. ¿Quiere saber si lanzar una llave inglesa a los sistemas de TI y seguridad puede ayudar a que la empresa sea más resistente? Preguntamos a los encuestados hasta qué punto las empresas participan en la ingeniería del caos y descubrimos que esto es más común de lo que esperábamos. Es importante darse cuenta de que existe una relación entre esta práctica y la integración tecnológica. Más de la mitad de las empresas para las que la ingeniería del caos es la práctica estándar informa de tecnologías altamente integradas que apoyan los recursos de recuperación.

No está claro, sin embargo, si la integración exige o viabiliza la ingeniería del caos. Al igual que con muchos aspectos en este campo, probablemente es un poco de ambos. La certeza es que hay que vigilar esta nueva disciplina, especialmente si usted va a responder por un ambiente complejo de TI. Las empresas que adoptan la práctica estándar de ingeniería del caos son dos veces más propensas a alcanzar altos niveles de éxito que aquellas que no la utilizan. Y no eres el único que está en desacuerdo con ese resultado. La buena noticia es que podemos poner en peligro la situación antes de que nos impacte de nuevo, haciendo que trabaje a su favor a través de la práctica de la ingeniería del caos.

¡Puedes leer el informe completo aquí!

Resiliencia de la seguridad para un futuro híbrido y de múltiples nubes

Posted on

Por: Jeetu Patel / Cisco Systems

El ochenta y uno por ciento de las organizaciones le dijeron a Gartner que tienen una estrategia de múltiples nubes. A medida que más organizaciones se suscriben a ofertas en la nube para todo, desde centros de datos alojados hasta aplicaciones empresariales, la topología del entorno de TI típico se vuelve cada vez más compleja.

Ahora agregue la proliferación de entornos de trabajo híbridos , el rápido ascenso de los dispositivos de Internet de las cosas (IoT) y un panorama de amenazas cibernéticas cada vez más sofisticado y malicioso, y queda claro de inmediato que proteger la integridad de su ecosistema de TI ahora es un nivel superior. problema.

En un mundo impredecible, las organizaciones de todo el mundo están invirtiendo en iniciativas que infundirán resiliencia en todos los aspectos de su negocio, desde las finanzas hasta las cadenas de suministro. Para proteger esas inversiones, creemos que también deben invertir en resiliencia de seguridad: la capacidad de proteger su negocio contra amenazas e interrupciones, y responder a los cambios con confianza para que pueda emerger aún más fuerte.

Esto requiere una solución de siguiente nivel.

Es por eso que estamos construyendo Cisco Security Cloud, una plataforma global, integrada y entregada en la nube que asegura y conecta organizaciones de cualquier forma y tamaño. Este servicio nativo de la nube tiene como objetivo ayudarlo a proteger a los usuarios, los dispositivos y las aplicaciones en todo su ecosistema. Será un conjunto completo e integrado de servicios diseñado para escalar con su negocio.

Una plataforma de seguridad abierta que elimina el bloqueo de proveedores

Cisco Security Cloud abordará directamente estos desafíos al reunir la profundidad y amplitud de la cartera de seguridad de Cisco, y es:

  • Nube nativa y multinube: conexión segura de usuarios, dispositivos e IoT a sistemas, aplicaciones y datos, en entornos híbridos, optimizando el rendimiento y brindando una experiencia sin fricciones al acercar la seguridad a los usuarios, sus datos y sus aplicaciones.
  • Unificado : reúne las capacidades principales, incluida la gestión de políticas, las consolas de gestión y los paneles para una mejor eficacia de la seguridad de extremo a extremo.
  • Simplificado : reduce la fricción para los usuarios y TI al consolidar los agentes de punto final y tener un enfoque incesante en la experiencia del usuario.
  • Impulsado por IA/ML : aprovechando volúmenes masivos de telemetría en toda nuestra cartera, desde los dispositivos y redes que protegemos, lo que permite una mejor detección, alteración y automatización para mejorar la eficacia de la plataforma.
  • Abierta y extensible : proporciona API para la integración y para admitir un mercado y un ecosistema de desarrolladores enriquecidos.
Únase a nuestro innovador viaje de seguridad

Hemos estado en este viaje durante años. En Cisco Secure hemos estado entregando componentes clave de esta nube de seguridad, y esas soluciones ya protegen 840 000 redes, 67 millones de buzones de correo y 87 millones de terminales para clientes de todo el mundo.

El cambio a entornos híbridos de múltiples nubes

Hoy anunciamos la oferta llave en mano Secure Access Service Edge (SASE) de Cisco, Cisco+ Secure Connect Now , para simplificar la forma en que las organizaciones conectan y protegen a los usuarios, dispositivos, datos y aplicaciones, en cualquier lugar. Basado en la plataforma Meraki y disponible como suscripción, unifica las operaciones de seguridad y redes, así como la conectividad y visibilidad del cliente en una única solución nativa de la nube, que se puede configurar en minutos.

El paso al trabajo híbrido

Cisco continúa desarrollando soluciones de acceso confiable continuo que verifican constantemente la identidad del usuario y del dispositivo, la postura del dispositivo, las vulnerabilidades y los indicadores de compromiso. Para evaluar el riesgo después de la autenticación, la información de ubicación es fundamental, pero creemos que los datos de GPS son demasiado intrusivos. Así que hoy estamos presentando una nueva capacidad de huella digital Wi-Fi pendiente de patente (disponible en versión preliminar pública este verano) para comprender la ubicación del usuario sin comprometer la privacidad de la ubicación. También anunciamos nuevas capacidades de análisis de confianza de sesión para evaluar el riesgo después del inicio de sesión mediante el uso de estándares abiertos para señales y eventos compartidos. Revelaremos la primera integración de esta tecnología con una demostración de Duo MFA y Box esta semana.

Abordar amenazas avanzadas

A medida que las organizaciones se vuelven más interconectadas como ecosistemas y los ataques se vuelven más sofisticados y personalizados, ya no es adecuado evaluar el riesgo y las amenazas de forma genérica en toda la industria. Las organizaciones necesitan niveles más profundos de asesoramiento y experiencia. Nos complace lanzar el nuevo servicio Talos Intelligence On-Demand , disponible ahora, que ofrece una investigación personalizada sobre el panorama de amenazas exclusivo de cada organización. Talos Intelligence on Demand puede ayudar con la investigación personalizada e informar a nuestros clientes sobre los riesgos, amenazas y estrategias de mitigación únicos para sus organizaciones.

La necesidad de simplificación

La simplificación es fundamental para impulsar una mejor eficacia de la seguridad. Con ese fin, nos complace anunciar el nuevo Cisco Secure Client (disponible este verano), que combina AnyConnect, Secure Endpoint y Umbrella, para simplificar la forma en que los administradores y usuarios administran los puntos finales. Esto sigue al lanzamiento del nuevo Centro de administración de firewall seguro en la nube, que unifica la administración de los firewalls en la nube y en las instalaciones.

Hay más trabajo por hacer, por supuesto, y los anuncios de hoy en la Conferencia RSA son los últimos avances en apoyo de esta visión. Continuaremos trabajando en todos los aspectos de Security Cloud para mejorar la resiliencia de seguridad de nuestros clientes ante cambios sin precedentes y amenazas crecientes. Porque los problemas del siguiente nivel merecen soluciones del siguiente nivel.

Cómo Cisco Duo está simplificando el acceso seguro para organizaciones de todo el mundo

Posted on

Por: Jackie Castelli / Cisco Systems

En Cisco Duo, nos esforzamos continuamente por mejorar nuestros productos para facilitar a los profesionales de la seguridad la aplicación de políticas de acceso basadas en los principios de confianza cero.

Simplificación de la experiencia del administrador y del usuario final para un acceso seguro 

Duo se esfuerza por hacer que el acceso seguro sea sencillo para los empleados y, al mismo tiempo, reduce la carga administrativa de TI (tecnología de la información) y los equipos de asistencia técnica. Esto es posible gracias a la sólida relación entre nuestros clientes y nuestro equipo de investigación de usuarios. Los conocimientos que obtuvimos nos ayudaron a implementar algunas mejoras interesantes en las capacidades de Duo Single Sign-On (SSO) y Device Trust .

Duo SSO unifica las identidades en todos los sistemas y reduce la cantidad de credenciales que un usuario debe recordar e ingresar para obtener acceso a los recursos. Active Directory (AD) es la fuente de autenticación más popular conectada a Duo SSO y representa casi el 80 % de todas las configuraciones. Para hacer que la integración de Duo con AD sea aún más fácil de implementar, hemos introducido la compatibilidad con Duo SSO para múltiples bosques de Active Directory para organizaciones que tienen usuarios en múltiples dominios. Además, agregamos la función Restablecimientos de contraseñas vencidas en Duo SSO. Proporciona una experiencia fácil para que los usuarios restablezcan rápidamente su contraseña de Active Directory vencida, inicien sesión en su aplicación y continúen con su día. Continuando con el tema del autoservicio, presentamos un portal de administración de dispositivos alojados– una característica muy solicitada por los clientes. Ahora los administradores ya no necesitan alojar y administrar el portal, y los usuarios finales pueden iniciar sesión con Duo SSO para administrar sus dispositivos de autenticación (p. ej., TouchID, llaves de seguridad, teléfono móvil, etc.) sin necesidad de abrir tickets de asistencia técnica de TI.

También estamos simplificando la experiencia del administrador. Hemos facilitado a los administradores la configuración de Duo SSO con Microsoft 365 mediante una integración lista para usar . Duo SSO superpone la sólida autenticación y el motor de políticas flexibles de Duo sobre los inicios de sesión de Microsoft 365. Además, hemos escuchado de muchos clientes que quieren ofrecer una experiencia de inicio de sesión perfecta en la marca para su fuerza laboral. Para respaldar esto, hemos hecho que la marca personalizada sea tan simple que los administradores puedan personalizar rápidamente su experiencia de autenticación de usuario final desde la página de configuración en el panel de administración de Duo.

Device Trust es una capacidad crítica requerida para permitir el acceso seguro para la fuerza laboral moderna desde cualquier ubicación. Hemos facilitado que las organizaciones adopten la confianza en los dispositivos y distingan entre dispositivos administrados y no administrados. Las organizaciones pueden aplicar una política de punto final de confianza para permitir el acceso solo desde dispositivos administrados para aplicaciones críticas. Hemos eliminado el requisito de implementar y administrar certificados de dispositivos para hacer cumplir esta política. La aplicación Device Health ahora verifica el estado administrado de un dispositivo. Esto reduce los gastos administrativos y permite a las organizaciones lograr un mejor equilibrio entre seguridad y facilidad de uso. También hemos agregado integraciones listas para usar con soluciones de administración unificada de terminales, como Dispositivos unidos a un dominio de Active DirectoryMicrosoft IntuneJamf Pro y VMware Workspace ONE . Para las organizaciones que implementaron una solución que no figura en la lista anterior, Duo proporciona una API de dispositivo que funciona con cualquier sistema de gestión de dispositivos empresariales.

Respaldo a los requisitos de soberanía de datos globales 

Para respaldar nuestra creciente base de clientes en todo el mundo, Duo amplió su presencia en el centro de datos a  Australia, Singapur y Japón en septiembre del año pasado. Y ahora, Duo se complace en anunciar el lanzamiento de dos nuevos centros de datos en el Reino Unido y la India . Tanto los centros de datos nuevos como los existentes permitirán a los clientes cumplir con todos los requisitos locales, al tiempo que mantienen el cumplimiento de ISO27001 y SOC2 y un objetivo de disponibilidad del servicio del 99,999%.

El lanzamiento de los nuevos centros de datos es la columna vertebral de la estrategia de expansión internacional de Duo. En los últimos dos años, Duo alcanzó importantes hitos de crecimiento internacional y completó la atestación C5 (Alemania), la certificación AgID (Italia) y la evaluación IRAP (Australia), todo lo cual demuestra que Duo cumple con los estándares básicos obligatorios para uso del público. sector en los países mencionados anteriormente.

¿Cómo protegernos contra Ransomware?

Posted on

Por: Gustavo Medina / Cisco Systems

Si el cibercrimen se midiera como un país, entonces el delito cibernético ya sería la tercera economía más grande del mundo después de EE. UU. y China y el Ransomware definitivamente es una de sus practicas mas lucrativas. El ransomware es un software malicioso (malware) que se utiliza en un ciberataque para cifrar los datos de la víctima con una clave de cifrado que es conocida solo por el atacante, lo que hace que los datos sean inutilizables hasta que se realice el pago de un rescate (normalmente en criptomonedas, como Bitcoin); además los atacantes a menudo extorsionan y amenazan con vender o filtrar datos extraídos si no se paga el rescate.

En estos últimos días este tema ha estado en muchos titulares de noticias. Por ejemplo, el grupo cibercriminal Conti permanece muy activo y los ataques de ransomware de Conti reportados contra organizaciones estadounidenses e internacionales han aumentado a más de 1,000 según la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA). Navegando al propio blog de este grupo en la dark web donde publican o venden archivos confidenciales robados a las víctimas que se niegan a negociar el pago del rescate podemos ver que publican información para ejercer presión.

En general, algunas organizaciones consideran que pagar el rescate es la forma más rentable de recuperar sus datos y desafortunadamente, esto puede ser cierto; el año pasado el grupo de ransomware conocido como DarkSide fue responsable de un ataque en Estados Unidos que provocó que Colonial Pipeline (un sistema de oleoducto) cerrara 5550 millas de tubería, dejando varados innumerables barriles de gasolina, diésel y combustible para aviones en la costa este y la compañía terminó pagando cerca de 5 millones de dólares a este grupo para retomar las operaciones.

Sin embargo, los organismos encargados de hacer cumplir la ley recomiendan no pagar debido a que hacerlo fomenta que esta actividad delictiva continue e incluso ya en algunos países pagar el rescate podría ser ilegal ya que proporciona financiación a actividades delictivas. Otro punto importante cuando se trata del sector público es que seguramente ningún contribuyente estaría contento si el dinero de sus impuestos se utilizara para pagar a cibercriminales.

Recientemente el FBI giró una alerta advirtiendo que las agencias gubernamentales locales son objetivos atractivos para que los cibercriminales ataquen con ransomware porque supervisan servicios críticos de los que depende el pueblo causando interrupciones en la atención médica, los servicios de emergencia y las operaciones de seguridad.

Muchas personas me han preguntado de este tema en estos días y una de las cosas que me llama la atención es la idea equivocada que se tiene de como operan estos grupos criminales, algunos creen que operan como en las películas en las que un hacker esta en su garaje o habitación tratando de vulnerar un objetivo. La realidad es que estos grupos funcionan como cualquier compañía de tecnología lícita con un departamento de recursos humanos, programas de empleado del mes e incluso revisiones de desempeño. Como en cualquier compañía también pueden existir empleados descontentos; justamente esto hizo que un empleado de Conti filtrara en la dark web un Manual de Ransomware utilizado por este grupo.

Nuestro equipo de investigación e inteligencia frente a amenazas Talos cuenta con un equipo de hablantes nativos dedicados que tradujeron estos documentos en su totalidad al inglés para entender mejor su operación.  Estos documentos traducidos de cirílico revelan que en estos grupos cibercriminales hasta personas no muy técnicas pueden llevar a cabo ataques de ransomware contra organizaciones siguiendo instrucciones detalladas.

¿Cómo protegernos?

Invertir en resiliencia de seguridad, también conocida como resiliencia cibernética, le permite a las organizaciones resistir las amenazas impredecibles de hoy y emerger más fuertes. La resiliencia cibernética se refiere a la capacidad de una organización para identificar, responder y recuperarse rápidamente de un incidente de seguridad de TI. Desarrollar resiliencia cibernética incluye hacer un plan centrado en el riesgo que asume que la empresa en algún momento enfrentará una brecha o un ataque. Ademas es fundamental prestar atención al panorama de amenazas actual y mantenerse al día, así como asegurarse que la inteligencia detrás de las inversiones en soluciones de ciberseguridad esta respaldada por un grupo reconocido en la industria.

Los métodos de seguridad no solo deben centrarse en la detección, sino que también deben incluir la capacidad de mitigar el impacto una vez que entra el atacante. Las organizaciones deben analizar su modelo de seguridad de manera holística y obtener visibilidad y control en todos los niveles: antes de que ocurra un ataque, durante el tiempo que está en progreso e incluso después de que comience a dañar los sistemas o robar información.

En Cisco contamos con una guía de diseño validada para la protección contra Ransomware que incluye los siguientes componentes:

Para obtener más detalles sobre esta guía de diseño pueden ir al siguiente enlace:

https://www.cisco.com/c/en/us/solutions/collateral/enterprise/design-zone-security/breach-defense-design-guide.html

Podemos ayudarlo a detectar y proteger su empresa de amenazas: De click aquí.

Los mandamientos de la confianza digital

Posted on

Por: Juan Marino / Cisco Systems

En este siglo XXI vivimos la plenitud de la Era de la Información. Sin embargo, el gran movimiento de datos aumenta las vulnerabilidades ante ataques cibernéticos, lo que exige a las empresas y gobiernos acciones que controlen los riesgos y protejan adecuadamente los datos de la población.

Para alcanzar la Soberanía Digital, término cada vez más común cuando el asunto es ciberseguridad, los gobiernos han invertido en leyes que regulan el flujo, la manipulación y la protección de los datos por parte de las empresas.

Los países están reaccionando a la digitalización de sus economías y al vasto acervo de datos que crea, al basarse en el concepto de soberanía para afirmar la autoridad suprema sobre los datos y garantizar el control y la protección de los datos. «Mis datos, mi ley» es ahora la nueva norma. En todo el mundo, nuevas estructuras de datos apuntan a barreras nacionales para el movimiento de datos, acceso a datos, uso y almacenamiento de datos.

Regulaciones y legislaciones, sin embargo, impactan el valor de la información violada. Por eso necesitamos debatir la raíz del problema. Vemos que, particularmente en América Latina, la capacidad de inviolabilidad de la seguridad de la infraestructura que transporta los datos ha recibido poca atención. Siendo más específico, hablamos poco sobre la responsabilidad del proveedor de los dispositivos de red, servidores, plataformas, sistemas y servicios involucrados en el transporte, entrega y manipulación de la información. Y menos aún sobre el compromiso de los fabricantes con la seguridad de la infraestructura que ellos entregan.

Como líder en los mercados en los que opera, Cisco tomó la delantera, creó y firmó el compromiso global «New Trust Standard o Nuevo Estándar de Confianza«, un documento que baliza las tecnologías confiables del futuro. ¿Alguna vez se ha preguntado si el fabricante del router o del switch que está en su red tiene acceso a la información que pasa a través de él? ¿Se ha preguntado cómo se puede responsabilizar a este proveedor en caso de filtración de información? La idea de este documento es que las empresas y los gobiernos no carguen solos con la responsabilidad de la filtración de datos y de garantizar a sus clientes que sí pueden confiar en la infraestructura que utilizan.

New Trust Standard es una recopilación de lo que hemos escuchado en conversaciones con miles de clientes en todo el mundo a lo largo de los años. Se trata de una estructura de expectativas y responsabilidades, en la que las empresas y sus clientes pueden acordar nuevas reglas para relaciones digitales confiables. Recuerde que la confianza no tiene solamente que ver con el cifrado, la certificación o la supervisión de la cadena de suministro. Está relacionada con una combinación de factores. Lo que seguramente cambiará con el tiempo, en respuesta a la evolución de las expectativas de los clientes, la tecnología, las amenazas digitales y la administración de datos internacional.

Estos son los 5 elementos del Patrón de Confianza:
  • Aleje a los invasores – filosofía Zero Trust
  • Gestione el riesgo del proveedor – Cadena de suministro confiable
  • Respetar los derechos de los datos – Expectativas y regulaciones
  • Sea honesto sobre lo que hace – Transparencia
  • Demuestre – Certificaciones y pruebas regulares de penetración
#1 Aleje los invasores – filosofía Zero Trust

Compruebe cada conexión, cada dispositivo, siempre. Sea escéptico, curioso, detallista. Estos son los requisitos de trabajo para los profesionales de la seguridad, porque la confianza comienza con una sospecha saludable. Como su nombre indica, cero confianza es una filosofía de «nunca confiar, siempre verificar». Al seleccionar una empresa, una mentalidad de cero confianza significa cuestionar las prácticas y políticas de seguridad de esta organización. El New Trust Standard dice que usted tiene el derecho de solicitar, y de esperar, respuestas claras. Si la empresa maneja datos confidenciales, una mentalidad zero trust significa siempre cuestionar las suposiciones. ¿Los clientes quienes dicen ser? ¿Están seguros los dispositivos? ¿La aplicación A tiene una razón válida para conversar con la aplicación B? El enfoque de décadas pasadas para el control de acceso y una red virtual privada (VPN) ya no se sostiene. Presupone que cualquier dispositivo que se conecte desde dentro de la red corporativa puede ser confiable. Y que cuando un usuario y un dispositivo pasan por un punto de verificación, es seguro dejar que se conecten a varias aplicaciones sin reautenticar.

#2 Gestione el riesgo del proveedor

Pregunte si su proveedor tiene una cadena de suministro confiable. Cuando compra un automóvil, confía en que el fabricante tome medidas razonables para evaluar la calidad de las piezas del proveedor, como los frenos y los cinturones de seguridad. Del mismo modo, los clientes esperan que sus proveedores de servicios conozcan todos los componentes de sus productos y tomen medidas razonables para detectar y mitigar vulnerabilidades que puedan conducir a la manipulación de datos, espionaje, interrupción y falsificación. No es tan fácil. Los proveedores de servicios en la nube suelen utilizar software de terceros para procesar pagos, autenticación, gestión de datos y almacenamiento, entre otros. Incluso el código propietario generalmente incluye componentes de código abierto proporcionados por personas de todo el mundo, y muchos de estos componentes tienen varios componentes agrupados.

#3 Respete los derechos de los datos

Manténgase por delante de la evolución de las expectativas de los clientes y las regulaciones gubernamentales. Los clientes esperan que los proveedores mantengan sus datos protegidos y seguros, y este es un requisito fundamental de confianza en el mundo digital. Además, quieren ser informados sobre cómo se recopilan, utilizan y administran sus datos y, en última instancia, los clientes quieren el control de sus datos. Este deseo de visibilidad y control abarca cualquier relación de datos, desde un individuo involucrado en las redes sociales, un hospital que almacena registros médicos, a una empresa que utiliza servicios de colaboración en la nube. Cada vez más, los consumidores tomarán decisiones sobre sus proveedores con privacidad y transparencia en mente.

#4 Sea transparente

Divulgue toda la información necesaria para que los clientes tomen decisiones fundamentadas. La transparencia se produce cuando los hechos relevantes sobre una empresa se ponen a disposición de los clientes de manera oportuna y eficiente. La transparencia va más allá del cumplimiento de las normas de divulgación. Muestra cómo manejas las operaciones comerciales, el contenido del cliente y la información de privacidad, incluyendo: Qué datos recopila y cómo los usa y protege; Cómo respeta los derechos del interesado; Los detalles principales de sus políticas sobre la divulgación de violaciones y vulnerabilidades de seguridad; Cómo responde a las solicitudes de datos del gobierno; Cuáles son sus planes de continuidad de los negocios.

En general, una empresa transparente confía en que su tratamiento de datos sea justo, ético y responsable. Toma las medidas adecuadas para proteger los datos del cliente y respetar la privacidad. Y está dispuesta a divulgar públicamente las políticas, los procesos y la tecnología que utiliza para proteger datos. Los titulares recientes han hecho que las empresas sean más conscientes de los costes financieros y de la reputación de la seguridad inadecuada.

#5 Compruebe

Demuestre el cumplimiento. Como ya mencionamos, los otros pilares del estudio son los compromisos esenciales con la transparencia, un enfoque de cero confianza para el acceso a la red, la soberanía de los datos y una cadena de suministro confiable. Las certificaciones son la prueba de que la empresa mantiene dichos compromisos.

Las certificaciones de seguridad incluyen el estándar internacional ISO/IEC 27001, System and Organization Controls (SOC 2) en América del Norte, FedRAMP en el sector público estadounidense y Cloud Computing Compliance Controls Catalog (C5) en Alemania. Para obtener certificaciones, los proveedores de productos y servicios de TI se someten a una auditoría realizada por un tercero independiente y acreditado, generalmente una empresa de auditoría.

En los Estados Unidos, por ejemplo, los auditores reciben acreditación de la Junta Nacional de Acreditación (ANAB) de ANSI-ASQ. Las certificaciones de privacidad demuestran a clientes, reguladores y otras partes interesadas que el proveedor defiende los principios de privacidad reconocidos internacionalmente y respeta los derechos fundamentales de los interesados al tratar con PII (Información de Identificación Personal). Las certificaciones reconocidas incluyen las normas corporativas vinculantes de la UE, las normas de privacidad transfronteriza de la APEC, el reconocimiento de privacidad de la APEC para los procesadores y el Escudo de Privacidad de los EE.UU. (no válido para las transferencias de la UE, pero aún reconocido por los EE.UU.). Estas certificaciones son administradas y verificadas por reguladores de privacidad o agentes de responsabilidad independientes aprobados por el regulador.

No es reciente el compromiso de Cisco con la calidad y la seguridad de la información. Desde hace años existe dentro de la compañía una organización llamada Security & Trust Organization (STO), que se dedica a definir la estrategia de seguridad, crear procesos y asegurar que se cumplan. Fue esta organización, incluso, la que creó el documento New Trust Standard. Como pioneros en varios segmentos y, principalmente, en la adopción de un proceso de desarrollo de producto seguro, gestión seria de confianza y desempeño ético en toda su actividad, tenemos este compromiso Sacramentado con nuestros clientes.

Un informe del Foro Económico Mundial (WEF) enumera la Soberanía Digital, la Privacidad de Datos y la Ciberseguridad como los tres temas relevantes que componen la actual agenda global a nivel geopolítico. Cisco, como empresa global y uno de los más grandes jugadores de tecnología, tiene una gran responsabilidad con esta agenda. Después de todo, construimos el 70% de la infraestructura de Internet, las misiones críticas se comunican a través de nuestra plataforma de comunicación, miles de redes están protegidas con nuestros sistemas. Por toda esta responsabilidad, tenemos que tomarnos muy en serio la gestión de la seguridad de nuestros clientes y, más que eso, mostrar lo que estamos haciendo y por qué lo estamos haciendo. Esta es nuestra diferencia con respecto a los demás jugadores del mercado.

¡De click aquí y lea el reporte completo!

SASE: la clave de un acceso seguro a la nube

Posted on

Por: Mariano O’Kon / Cisco Systems

El mundo actual vive un rápido crecimiento en la fuerza de trabajo remota, que requiere acceso a las aplicaciones de la empresa con un rendimiento óptimo, desde cualquier lugar.

La pandemia de COVID-19 ha acelerado la necesidad de transformación digital en todos los sectores. Durante este ultimo año, hemos visto una gran disrupción en muchas industrias y organizaciones a un ritmo como nunca. Los hospitales, las escuelas, las empresas, el gobierno, las organizaciones y las comunidades ahora dependen de Internet para funcionar al nivel más básico.

En la actualidad, el 80% del tráfico de las empresas va hacia Internet.

Esta megatendencia aceleró la adopción de redes SD-WAN ya me brindan mayor seguridad, automatización, visibilidad de la red y soporta múltiples tipos de conexión (MPLS, 4G/5G, Internet).

Esta rápida adopción de redes SD-WAN para conectarse a aplicaciones ubicadas en múltiples nubes, ha obligado a las empresas a repensar cómo se administra el acceso y la seguridad desde el campus hasta la nube y el perímetro de red.

Para facilitar este acceso a la red de forma segura, una nueva tendencia que ha ganado cada vez más espacio es el modelo SASE (siglas en inglés de Secure Access Service Edge), el cual combina capacidades de Red con funciones de seguridad nativas de la nube.

SASE, más allá de dar acceso a los usuarios por medio de cualquier dispositivo y desde cualquier lugar, permite una personalización de acuerdo con las necesidades de los clientes, eliminando por completo las necesidades de una infraestructura in situ.

¿Dónde surgió SASE? La firma Gartner creó el término SASE y lo describió por primera vez en una documentación técnica durante el 2019, donde establece sus objetivos y cómo debería ser una implementación de SASE.

El objetivo de SASE es brindar acceso seguro a aplicaciones y datos de su centro de datos o plataformas en la nube como Azure, AWS, Google Cloud o proveedores de SaaS basados en identidad: individuos específicos, grupos de personas en ciertas ubicaciones de oficinas, dispositivos, IoT, etc.

Se puede pensar en SASE como la pareja perfecta entre una red inteligente en múltiples sitios y ciberseguridad integral, que agiliza el acceso a su red, mejora su modelo de seguridad, impulsa el rendimiento óptimo de su red y reduce la cantidad de proveedores y dispositivos con los que deben lidiar su personal de TI.

Los beneficios de este modelo son muchos. El principal de ellos es la seguridad de punta a punta, que antes se hacía en las instalaciones corporativas. Desde el servidor hasta el usuario en extremo final, toda la infraestructura está protegida contra ataques que se vuelven cada vez más diversificados.

Para desplegar su arsenal de seguridad de SASE, Cisco cuenta con diferentes componentes:

  1. Identificación de usuarios: mediante Cisco Segure Access by Duo
  2. Seguridad de punta a punta: servicios de seguridad en la nube de Cisco Umbrella
  3. Conectividad: Cisco SD-WAN, Cisco Secure Endpoint, Cisco AnyConnect

El objetivo de Cisco es ayudar a que nuestros clientes puedan conectarse, protegerse y automatizarse para acelerar su agilidad digital en un mundo que prioriza la nube, para que la experiencia que las organizaciones brindan a sus usuarios sea le mejor, sin importar dónde estén, manteniendo la seguridad y privacidad, y con total visibilidad de lo que está pasando.

El talento humano esta distribuido equitativamente, pero la oportunidad no. Le invito a conocer más sobre las soluciones de Cisco que permiten construir un futuro mas inclusivo para todos.

Cómo la tecnología bien integrada puede mejorar la seguridad de su organización

Posted on

Por: Helen Patton / Cisco Systems

Cuando Cisco creó el primer Estudio de resultados de seguridad a principios de este año, surgieron cinco prácticas clave como las más críticas para programas de seguridad exitosos. Pero, ¿por qué estas prácticas son tan impactantes¿Y qué deben hacer los líderes de seguridad para implementarlos y mantenerlosEstas preguntas (y más) han sido respondidas en nuestro Estudio de resultados de seguridad recientemente publicad, Volumen 2.

Como parte de ese estudio, profundizaremos aún más en cada uno de estos cinco impulsores a través de una serie de blogs de cinco publicaciones. Y aquí, en la Parte 2 de nuestra serie de blogs, hablaré sobre la segunda de las cinco prácticas principales: tecnología de seguridad bien integrada.

¿Qué encontramos?

Había una pregunta principal que buscábamos responder en torno a esta práctica clave: ¿Por qué querría una organización integrar sus tecnologías de seguridad con el resto de su arquitectura de TI? Como era de esperar, la razón principal fue mejorar la eficiencia del seguimiento y la auditoría.

Entonces, con la ayuda de nuestro socio de investigación, Cyentia, buscamos comprender más sobre qué tipos de integraciones eran más comunes, cómo se lograron esas integraciones y cómo esos factores influyeron en los diferentes resultados de seguridad.

Comprar vs Construir

Más de las tres cuartas partes de los encuestados preferirían comprar tecnología de seguridad que construirla ellos mismos, especialmente cuando se trata de soluciones basadas en la nube. Al evaluar la tecnología, las empresas más exitosas priorizan la integración con su pila tecnológica actual antes que las capacidades del producto base.

Además, si las empresas se apegan a una plataforma de productos en lugar de soluciones puntuales, tienen más del doble de probabilidades de ver tecnologías de seguridad integradas con éxito. Sí, como mencionamos en el informe, somos plenamente conscientes de que esto es un buen augurio para Cisco, que ofrece una plataforma de productos de seguridad bien integrada. Pero no olvide que este fue un estudio doble ciego: los encuestados no sabían quién hacía las preguntas y Cisco no sabía a quién se estaba encuestando.

Curiosamente, nos sorprendió saber que prácticamente no hay diferencia en los resultados de seguridad entre aquellos que compran productos con integraciones listas para usar y aquellos que crean integraciones por su cuenta. Un poco menos de la mitad (~49 %) de las organizaciones que usan cualquiera de estos enfoques reportan fuertes niveles de integración.

Para la mayoría de las organizaciones en la mayoría de las industrias, parecería que habría un mayor beneficio en la compra de productos listos para usar en lugar de construir los suyos propios. Pero resulta que este no es el caso. Como se señaló anteriormente, el diferenciador real fue duplicar la apuesta por una solución basada en la nube y en la plataforma, probablemente con un proveedor preferido.

Mejora de la automatización

También queríamos saber si tener soluciones integradas ayudó con los resultados deseados, como una automatización mejorada. Las empresas con tecnologías de seguridad bien integradas tenían siete veces más probabilidades de lograr altos niveles de automatización para los procesos de monitoreo de eventos, análisis de incidentes y respuesta a incidentes (4,1 % frente a 28,5 %).

Por supuesto, no se trata solo de automatización. Si tiene una pila de seguridad bien integrada, puede optimizar el trabajo que realizan sus equipos de seguridad y TI, lo que lleva a otros resultados preferidos, como una mayor eficiencia y compromiso de los empleados.

Estrechando su enfoque

Si está buscando integrar su pila de seguridad, ¿dónde debería enfocarse inicialmente?

Hicimos esta pregunta enfocándonos en las cinco áreas funcionales del Instituto Nacional de Estándares y Tecnología NIST (Identificar, Proteger, Detectar, Responder, Recuperar) . Si bien la integración de cualquiera de estas cinco funciones tuvo resultados positivos, la función Identificar tuvo el mayor impulso.  

Entonces, ¿qué recomendamos?

Con los equipos de seguridad al límite y las amenazas en constante evolución que se avecinan, tener una pila de tecnología de seguridad bien integrada es un paso fundamental para aumentar la eficiencia y la precisión. Pero, ¿dónde comienza su viaje hacia la integración?

Según los resultados de nuestra encuesta, sugeriría que los equipos de seguridad deberían:

  • Investigue las oportunidades de automatización: una mayor automatización es uno de los beneficios clave de una pila de tecnología de seguridad integrada. Busque oportunidades para automatizar comenzando con funciones que ayuden a identificar activos y considere priorizar esas funciones al determinar dónde se puede mejorar la integración.
  • Considere comprar tecnologías de seguridad, en lugar de crearlas usted mismo: las empresas tienen el doble de probabilidades de tener un programa de seguridad exitoso cuando se asocian con proveedores preferidos para ofrecer soluciones de seguridad integradas. Considere qué proveedores considera “preferidos” e inclúyalos estrechamente en su estrategia de seguridad.
  • Asegúrese de que los requisitos de compra incluyan capacidades de integración de tecnología de seguridad: revise los requisitos de RFP de su tecnología para garantizar que la integración con su pila de seguridad se incluya como un requisito central en el proceso de selección de nueva tecnología. La capacidad de integración debe tener un peso ligeramente mayor que las capacidades del producto base por sí solas.
  • Busque soluciones de seguridad basadas en la nube: los datos muestran que es más fácil lograr una sólida integración tecnológica con productos de seguridad basados ​​en la nube. Siempre que sea posible, busque soluciones de seguridad en la nube para incorporarlas a su pila de seguridad.

En pocas palabras: la tecnología de seguridad integrada es la mejor tecnología de seguridad. Y espero que nuestra investigación continua y las recomendaciones correspondientes lo coloquen en el camino hacia mejores resultados de seguridad.  

Haga clic aquí para leer otras publicaciones de nuestra serie de blogs y permanezca atento a la parte 3, centrada en la preparación para una respuesta oportuna a incidentes. Y lo más importante, consulte el Estudio de resultados de seguridad, Volumen 2 para explorar todas nuestras investigaciones más recientes.  

Los 9 temas principales para los CISO de cara a 2022

Posted on

Por: Juan Marino / Cisco Systems

Es esa época del año en que inevitablemente terminamos reflexionando un poco sobre lo que pasó. Generalmente, hacemos una lista de resoluciones para el próximo año, nuestras prioridades y cómo alcanzarlas. Durante los últimos meses, tuve la oportunidad de conversar con decenas de CISOs de diferentes países y, de estas conversaciones surgieron nueve temas prioritarios para 2022.

#1: Mejorar la comunicación entre los directivos

Existe el potencial de optimizar la comunicación entre los equipos de alta dirección, los consejos asesores, los equipos de liderazgo ejecutivo y los CISO. Si bien algunos informaron que tenían oportunidades adecuadas para interactuar, la mayoría de los CISO que escuchamos compartieron que las conversaciones que tenían a menudo no estaban estructuradas y a menudo no tenían una cadencia regular. Como era de esperar, también hubo una sensación de que el rol de CISO sigue siendo más valorado cuando hay una crisis y, por el contrario, empujado hacia abajo en la lista de prioridades cuando no está sucediendo un incidente.

Las tres formas en que esto podría mejorarse como se discutió en los eventos a los que asistimos son 1) un modelo de gobierno estructurado con representación de alto nivel 2) un conjunto acordado de KPI que reflejen los requisitos comerciales y 3) oportunidades regulares para demostrar cómo la seguridad es un facilitador del negocio.

#2: Garantizar que la seguridad sea resistente al cambio empresarial

Los CISO revelaron que la resiliencia es un tema cada vez más importante en un sentido más amplio y, por lo tanto, es esencial que la seguridad sea resistente al cambio y pueda moverse con el negocio. Esto se puede lograr planificando las actividades de continuidad del negocio / recuperación ante desastres con anticipación y compartiendo la propiedad de ellas. Los CISO deben incluirse en las actividades de BC/DR, ya que su aporte sigue siendo esencial en este proceso, pero existe una clara necesidad de más acciones, como el ejercicio superior tangible para incluir la gestión empresarial en la discusión.

#3: El riesgo debe ser un problema compartido

En más de una ocasión, los CISO  dijeron que cuando el tema del riesgo surgió durante las discusiones de la junta, el equipo de seguridad fue descrito como una pequeña isla por sí sola. Establecer la propiedad del riesgo y el reconocimiento del riesgo con los colegas de negocios a menudo puede ser difícil, pero para mitigar los riesgos futuros, existe una gran necesidad de identificar a varios propietarios de riesgos en el negocio y no simplemente delegarlo en el CISO.

#4: Preparándose para “La Gran Resignación”

Hubo una opinión de que la contratación de nuevo personal era difícil e incluso con requisitos amplios, puede llevar meses identificar una nueva contratación, lo que a menudo conduce a la situación indeseable de correr con equipos esbeltos. Actualmente se está escribiendo mucho sobre la “gran renuncia”, que es probable que continúe interrumpiendo todas las industrias en este nuevo año. Por lo tanto, es justo decir que es probable que este problema empeore antes de mejorar. Algunos CISO están viendo el trabajo remoto como una posible solución; Los equipos distribuidos se ven como una necesidad en algunas circunstancias, pero también existe la necesidad de que los equipos se reúnan cara a cara de manera regular.

#5: Mantener al equipo de TI fuera de la oscuridad

Para muchos CISOs, un problema creciente que debe ser abordado es de nuevas soluciones creadas sin el conocimiento de los equipos de seguridad, incluso cuando se establecen directrices claras que prohíben tal comportamiento dentro de las empresas. Con frecuencia, la velocidad y la disponibilidad tienden a prevalecer sobre los factores de seguridad. Como resultado, se enfrentan constantemente al problema del equipo de “TI en la oscuridad”, que aumentará a medida que más y más empresas se mueven en la nube. La solución de los desafíos de TI comienza con la usabilidad, evitando soluciones alternativas arriesgadas

#6: ¿Luz al final del túnel para la gestión de riesgos de terceros?

Esto sigue siendo un problema, especialmente en torno a las evaluaciones de terceros que a menudo son muy largas, en un formato no estándar y realizadas con plazos muy cortos para una respuesta.  La buena noticia aquí es que se está trabajando para producir marcos que garanticen una certificación estandarizada para terceros, como en el sector de servicios financieros del Reino Unido, con la Declaración de Supervisión del Banco de Inglaterra – SS2/21: Outsourcing y gestión de riesgos de terceros, que entra en vigencia el 31 de marzo de 2022. El progreso en esta área seguramente será muy bienvenido, dado lo mucho que los CISO necesitan poder confiar en los procesos probados, pero los CISO aún deben asegurarse de que su alcance de áreas de riesgo sea lo suficientemente amplio como para incluir a cualquier proveedor o empleado que tenga acceso de inicio de sesión remoto a cualquier aplicación empresarial. Eso incluye a cualquier subcontratista que pueda trabajar para el contratista, ya que el intercambio de credenciales es común en todas las empresas.

#7 Más enfoque en los datos y la privacidad

Este es un problema en el que no se reconoce el valor de los datos.  La privacidad se está regulando cada vez más con la entrada en vigor de la regulación regional y local.  El juicio de Schrems también requerirá que los CISO se centren más en los datos y en dónde se almacenan.En los últimos años ha habido un gran enfoque en las reglas GDPR de la UE, lo que ha revelado las áreas en las que los CISO han estado enfocando su energía cuando se trata de datos y privacidad. En términos generales, estos incluyen verificar la identidad del usuario, verificar el estado de todos los dispositivos del usuario y asegurar el acceso a cualquier aplicación. Para obtener más detalles sobre cada uno de estos, a continuación se puede encontrar un enlace a nuestra guía de privacidad de datos que se puede aplicar a áreas fuera de GDPR.

#8 Gestión de la deuda de seguridad

Los CISO dejaron en claro que el tema de la deuda técnica o la deuda de seguridad está ganando importancia. La necesidad de gestionar sistemas más antiguos mientras se adapta al nuevo entorno y el riesgo y el costo en que esto incurre es especialmente importante a considerar en el área de tecnología operativa (OT).Además, algunos sistemas OT no se pueden parchear fácilmente o incluso tienen herramientas de seguridad básicas como anti-malware instalado en ellos.  Finalmente, este problema es especialmente pertinente cuando los sistemas todavía utilizan software de fin de vida útil (EOL) que sigue siendo crítico para la organización.Para citar a mi colega de CISO de Global Advisory, Dave Lewis, en su presentación de la Cumbre Virtual de Ciberseguridad 2021 a principios de este año, “Deuda de seguridad, corriendo con tijeras” para rastrear y abordar la deuda de seguridad, las organizaciones deben desarrollar e implementar procesos definidos y repetibles. Deben buscar estrategias como el modelo de confianza cero, confiar pero verificar, saneamiento de entradas y salidas, y por supuesto, asegurarse de ejecutar parches.

#9 Ransomware, ransomware y más ransomware

Este es el principal problema táctico que preocupa a los CISOs. Para obtener información sobre lo que puede hacer para proteger su empresa contra el ransomware, consulte el reciente estudio de Cisco Secure sobre el tema. En este informe, les ayudará a decidir dónde enfocar sus esfuerzos. El Security Outcomes Study vol.2, se realizó de forma independiente y se basa en una encuesta con más de 5.000 profesionales activos de TI, seguridad y privacidad en 27 países. Usted encontrará las cinco principales prácticas clave para aumentar la eficiencia de la seguridad de la información de su empresa, principalmente contra los ataques de ransomware.

Tendencias emergentes de ciberamenazas

Posted on

Por: Ghassan Dreibi / Cisco Systems

Con este blog, considero que es un excelente momento para reflexionar sobre dos cosas sumamente importantes:

  1. La ciberseguridad está en cada uno de nosotros… llamesé organización, gobierno, colaborador, no importa, todos podemos generar conciencia y hacerlo no solo un mes al año, sino el año completo.
  2. Las tendencias clave y emergentes del año pasado, ya que no ha habido escasez de titulares de seguridad sobre los cuales reflexionar, por lo que hablaré sobre tres cuestiones clave que me llamaron especialmente la atención.
La cadena de suministro.

Antes de 2021, se suponía que los ataques a la cadena de suministro eran exclusivamente una herramienta solo para actores de amenazas sofisticados patrocinados por el estado. Se pensaba que los recursos y conocimientos necesarios para comprometer a un proveedor de software e integrar código malicioso estaban fuera del alcance de los actores de amenazas criminales, sin embargo, en julio de 2021 esta suposición fue aplastada.

El ransomware REvil se distribuyó a través de la explotación de una vulnerabilidad previamente no identificada en el código del servidor de Kaseya VSA, una herramienta de monitoreo y administración del sistema. Los actores de amenazas abusaron de la vulnerabilidad para distribuir su código malicioso como una actualización de confianza distribuida desde el servidor comprometido a los sistemas cliente administrados por la herramienta.  Con el agente falso malicioso instalado, el software escribe una versión legítima, pero explotable, antigua de una aplicación de Windows Defender en el disco, y finalmente la usa para ejecutar el ransomware. Por lo tanto, el disco se cifra desde una aplicación de confianza y firmada, que se ejecuta desde un directorio de confianza.

El impacto del ataque fue más amplio de lo que podría imaginarse en un principio. Kaseya VSA se utiliza a menudo para administrar un gran número de sistemas en una amplia variedad de organizaciones. Golpear los servidores dentro de los proveedores de servicios administrados significó que un servidor violado afectó a muchas organizaciones. Detener muchas empresas significa más pagos de rescate potenciales para que los malos los cobren y, por lo tanto, será una táctica tentadora para muchos otros atacantes en el futuro.

En muchos sentidos, los actores de APT bien recursos actúan como líderes de pensamiento para el resto del panorama de amenazas, mostrando lo que un actor de amenazas ambicioso y efectivo puede lograr. Es posible que los actores criminales que llevaron a cabo el ataque de Kaseya hayan tenido algún tipo de apoyo o protección estatal, o que hayan logrado el ataque completamente a través de sus propios esfuerzos. En cualquier caso, es probable que veamos más casos de cadenas de suministro que se utilizan para distribuir malware en el futuro.

Robo de recursos informáticos con fines de lucro.

Los actores de amenazas criminales están motivados por las ganancias. Uno de los modelos de negocio más exitosos que han creado es el del ransomware, donde un sistema puede detenerse cifrando datos y requiriendo el pago para que el sistema vuelva a su estado normal. Aunque lucrativo, este modelo es muy abrupto. Las víctimas pueden notar que el sistema se compromete muy rápidamente y deben resolver la situación para continuar con su función normal. Sin embargo, hay debilidades en este modelo para el atacante. El flujo de ingresos se basa en la búsqueda continua de nuevas víctimas, lo que requiere tiempo y recursos. Si el compromiso es solo un inconveniente menor para la víctima, y en ausencia de una copia de seguridad que funcione, la víctima puede optar por volver a imaginar el sistema.

La persistencia en un sistema comprometido puede ofrecer más oportunidades para extraer valor que el enfoque de una sola toma del ransomware. Apropiarse de recursos de sistemas comprometidos fue una táctica implementada por muchas de las primeras botnets. En estos ataques, el controlador de botnet robó recursos, incluido el ancho de banda de la red, mediante el envío de spam o el lanzamiento de ataques de denegación de servicio desde los sistemas de sus víctimas infectadas.

En los últimos años, los atacantes han desarrollado criptomineros para robar recursos informáticos de sistemas comprometidos. La minería de criptomonedas requiere grandes cantidades de potencia informática para resolver los desafíos criptográficos necesarios para adquirir nuevos tokens de criptomonedas. Desarrollar y operar las instalaciones informáticas legítimas para lograr los cálculos necesarios es costoso. Sin embargo, robar estos recursos es fácil por lo tanto, vemos el desarrollo de malware de criptominería que se encuentra como un proceso de fondo en sistemas comprometidos, robando recursos para ganar dinero a los malos.

Aunque el beneficio de un solo sistema es pequeño, los atacantes pueden persistir en sistemas comprometidos durante largos períodos de tiempo y controlar un gran número de sistemas afectados.

El creciente despliegue de sistemas y dispositivos inteligentes en nuestros hogares y lugares de trabajo significa efectivamente que estamos instalando muchos dispositivos informáticos pequeños conectados a la red sin considerar necesariamente cómo defenderemos y monitorearemos estos dispositivos. Una cosa es cierta: los malos buscarán comprometer y extraer valor de estos sistemas, casi con seguridad robando su potencia informática y conectividad de red.

No quite el dedo del renglón…

En los últimos dos años, las tendencias a largo plazo del aumento del trabajo remoto y el uso de servicios entregados en la nube se han acelerado masivamente debido al trabajo remoto durante la pandemia de COVID-19. Con los usuarios y los sistemas a los que acceden fuera del entorno de oficina tradicional, la cuestión de cómo autenticar a los usuarios se ha vuelto cada vez más importante.

Los nombres de usuario y las contraseñas nunca han sido un mecanismo particularmente seguro para verificar las identidades de los usuarios. Los usuarios son propensos a revelar sus nombres de usuario y contraseñas en respuesta a las señales de ingeniería social de los ataques de phishing. Los estudios han demostrado que los usuarios incluso revelarán voluntariamente su contraseña a cambio de una golosina de chocolate. El uso continuo de sistemas heredados, las malas elecciones en la implementación del sistema o los malos algoritmos hash también han permitido a los atacantes recopilar un gran número de nombres de usuario y pares de contraseñas de texto sin formato.

El uso de la autenticación multifactor ofrece una capa adicional de seguridad. Estos enfoques, incluido Cisco Duo, requieren que los usuarios se autentiquen con un método de inicio de sesión adicional, como responder a una alerta en su dispositivo móvil. Los teléfonos personales son excelentes para autenticar a los usuarios, ya que los usuarios se dan cuenta rápidamente cuando sus teléfonos no están cerca, y estos dispositivos con frecuencia están protegidos por datos biométricos, como una huella digital.

Sin embargo, el reconocimiento biométrico se basa en una “cadena de custodia” segura. El dispositivo que lee la huella digital debe ser seguro, el software que interactúa con el dispositivo de huellas dactilares debe ser seguro, al igual que la conexión que transmite el resultado al sistema de autenticación. Nada de esto puede darse por sentado.

Hemos demostrado que es posible imprimir en 3D una huella digital que engañará a los sistemas de lectura de huellas dactilares con equipos de impresión 3D de grado de consumidor y nada más que un escaneo de la huella digital del usuario. Esto significa que cualquier actor de amenazas con recursos adecuados podría desarrollar técnicas de clonación de huellas dactilares para engañar al reconocimiento biométrico. Si bien la biometría ofrece una vía adicional de autenticación, todos debemos ser conscientes del hecho de que el mundo de la biometría también abre la posibilidad de nuevos tipos de ataques.

Constante evolución.

A medida que evoluciona nuestro uso de la tecnología y las capacidades de los actores de amenazas, también lo hace el panorama de amenazas que enfrentamos. En Talos, monitoreamos continuamente el panorama de amenazas, nuestra inteligencia de amenazas ayuda a impulsar la cartera de seguridad de Cisco. Nuestros analistas de respuesta a incidentes están disponibles tanto para resolver incidentes de ciberseguridad cuando ocurren, para compartir nuestra experiencia para garantizar que las organizaciones se enfrenten a la menor cantidad de incidentes posible y para prepararse con anticipación para que los incidentes se resuelvan de manera rápida y fácil.La tecnología y las tácticas de los malos seguirán cambiando, por lo que debemos asegurarnos de que nuestras posturas seguras sean adecuadas para las amenazas a las que nos enfrentamos.