“Ya, pero desde fuera no habría sido lo mismo…”
...
Vamos a obviar por un segundo que se comprometieron cuentas de usuario mediante phishing. Vamos a obviar que existía la posibilidad de conectarse de forma remota, y que, de hecho, fueron técnicas utilizadas durante el ejercicio (cough, cough, Covid?). Incluso obviaremos que recientemente se hizo otro ejercicio similar, 100% desde el exterior, sin compartir nada de información, y que el resultado fue el mismo: compromiso total de la organización. Vamos a obviarlo todo y vamos a hablar, otra dichosa vez del…
“Modelo de Compromiso Asumido”
¿Qué dice el Modelo de Compromiso Asumido? Pues básicamente que no me cuentes milongas. Que por mucha confianza que tengas en tu perímetro, los atacantes pueden y podrán comprometer dicho perímetro. Que antes o después, te van a comprometer. Y que, de hecho, puede que ya estés comprometido y ni te hayas enterado. Que tu distinción entre lo externo y lo interno está a un phishing (o a un click) de desvanecerse. Que el empleado descontento existe y no es un factor de riesgo teórico. Que sigue siendo una de las principales preocupaciones de las empresas porque es uno de los mayores riesgos que existen. Que hemos participado no en uno o dos, sino en muchísimos proyectos en los que el vector de entrada había sido, precisamente, un empleado de la compañía. Sí, de esos que tienen ordenador corporativo, cuenta de dominio, y las contraseñas de la casa. Esos que incluso, intentan usar keyloggers físicos en el ordenador del jefe. Por no hablar de que no hace falta tener aprendices de brujo en casa, sino que es suficiente con encontrar a alguien que esté dispuesto a hacerse el tonto, y en un despiste, pinchar un USB en el ordenador del compañero que le cae mal. Y que si tu empleado no es tan bueno como este de Tesla, que rechazó un soborno de un millón de dólares, lo mismo la sorpresa es mayúscula.
El modelo de compromiso asumido nos obliga a un importante cambio de mentalidad. Nos obliga a dejar de confiar ciegamente en las redes, aplicaciones, servicios e identidades, internas o externas, percibiéndolas como no tan seguras e incluso, potencialmente comprometidas.
Este modelo nos fuerza a mejorar nuestras capacidades de detección, respuesta y recuperación ante las amenazas. Nos obliga a crear un entorno altamente restringido que limite enormemente las capacidades de movimiento al adversario. Dejamos de invertir el 100% de nuestras capacidades en prevención de la brecha, para invertir en reducir el tiempo desde que se produce dicho incidente hasta su detección. Y, muy importante, nos ayuda a responder de forma rápida y adecuada, sin alertar al atacante y permitir que adapte sus técnicas en el proceso.
Estamos en 2021, seguimos con las mismas historias que hace 5 años (o más), y luego nos preguntamos por qué salimos en el telediario. Pues eso.
¡Saludos!