19 ene 2021

El avestruz enterrando la cabeza: ¿desde fuera habría sido lo mismo?



Buenas a todos los lectores de Flu. Hoy quería hablaros en nuestro blog de un tema que por desgracia se repite no solo en nuestro sector, el de la ciberseguridad, sino en muchos otros en general, el de las personas que no quieren ver ni asumir la realidad del mundo que les rodea. Imagino que muchos de vosotros lo sufriréis habitualmente, tratando con gente que prefiere cambiarse de acera cuando llega la responsabilidad, no sea que les salpique y se les pegue algo, y que adoptan habitualmente la mentalidad de si no miro al problema, igual se soluciona solo. Estas actitudes pueden funcionar en organizaciones grandes y en puestos de poca responsabilidad, donde las decisiones de un empleado son de poco calado y las repercusiones, también. Pero por desgracia, a partir de determinados puestos las decisiones que se tomen pueden afectar a muchas personas, y más en grandes organizaciones que dan servicio a miles de empresas y particulares. 

Si sois asiduos a la prensa internacional, todos los días siguen cayendo hackeadas decenas de empresas de gran envergadura, donde los recursos (por su capacidad económica) no deberían ser un problema. Vivimos en un escenario de ciberamenazas creciente, donde los actores maliciosos se siguen profesionalizando, pero en el que las empresas siguen fallando en los mismos aspectos. ¿Cómo es esto posible?

En nuestro día a día tratamos con muchas organizaciones, unas más grandes y otras más pequeñas, y algo que observas tras varios años en esto es que todas ellas acaban cometiendo los mismos errores (a su nivel, lógicamente). Como ya uno empieza a ser perro viejo, durante los pentests y con cuatro ataques contados, acabas comprometiendo a una gran parte de las organizaciones desde el primer día de trabajo, consiguiendo ser administrador de toda la red y de los entornos cloud a los pocos días. Es decir, lo que viene siendo que esa organización contaría con un catálogo de malas prácticas de seguridad. Todo aquel que tenga dos dedos de frente, o que sepa un po-qui-tín de seguridad, se lleva las manos a la cabeza cuando ve los resultados y las conclusiones de un informe de estas características, ¿verdad?. Pero no son 4, ni 5 las veces que han llegado los responsables y han lanzado la frase dinamitadora de… 

 “Ya, pero desde fuera no habría sido lo mismo…”

...

...What?

Vamos a obviar por un segundo que se comprometieron cuentas de usuario mediante phishing. Vamos a obviar que existía la posibilidad de conectarse de forma remota, y que, de hecho, fueron técnicas utilizadas durante el ejercicio (cough, cough, Covid?). Incluso obviaremos que recientemente se hizo otro ejercicio similar, 100% desde el exterior, sin compartir nada de información, y que el resultado fue el mismo: compromiso total de la organización. Vamos a obviarlo todo y vamos a hablar, otra dichosa vez del…

“Modelo de Compromiso Asumido”

 
Do you feel special?

¿Qué dice el Modelo de Compromiso Asumido? Pues básicamente que no me cuentes milongas. Que por mucha confianza que tengas en tu perímetro, los atacantes pueden y podrán comprometer dicho perímetro. Que antes o después, te van a comprometer. Y que, de hecho, puede que ya estés comprometido y ni te hayas enterado. Que tu distinción entre lo externo y lo interno está a un phishing (o a un click) de desvanecerse. Que el empleado descontento existe y no es un factor de riesgo teórico. Que sigue siendo una de las principales preocupaciones de las empresas porque es uno de los mayores riesgos que existen. Que hemos participado no en uno o dos, sino en muchísimos proyectos en los que el vector de entrada había sido, precisamente, un empleado de la compañía. Sí, de esos que tienen ordenador corporativo, cuenta de dominio, y las contraseñas de la casa. Esos que incluso, intentan usar keyloggers físicos en el ordenador del jefe. Por no hablar de que no hace falta tener aprendices de brujo en casa, sino que es suficiente con encontrar a alguien que esté dispuesto a hacerse el tonto, y en un despiste, pinchar un USB en el ordenador del compañero que le cae mal. Y que si tu empleado no es tan bueno como este de Tesla, que rechazó un soborno de un millón de dólares, lo mismo la sorpresa es mayúscula.

El modelo de compromiso asumido nos obliga a un importante cambio de mentalidad. Nos obliga a dejar de confiar ciegamente en las redes, aplicaciones, servicios e identidades, internas o externas, percibiéndolas como no tan seguras e incluso, potencialmente comprometidas. 

Este modelo nos fuerza a mejorar nuestras capacidades de detección, respuesta y recuperación ante las amenazas. Nos obliga a crear un entorno altamente restringido que limite enormemente las capacidades de movimiento al adversario. Dejamos de invertir el 100% de nuestras capacidades en prevención de la brecha, para invertir en reducir el tiempo desde que se produce dicho incidente hasta su detección. Y, muy importante, nos ayuda a responder de forma rápida y adecuada, sin alertar al atacante y permitir que adapte sus técnicas en el proceso.

Estamos en 2021, seguimos con las mismas historias que hace 5 años (o más), y luego nos preguntamos por qué salimos en el telediario. Pues eso.

¡Saludos!

No hay comentarios:

Publicar un comentario