30 marzo 2022
COLUMNA DE OPINIÓN
Por Sebastián Vargas, consultor y docente especialista en gestión estratégica de la ciberseguridad y defensa de amenazas informadas con enfoque Blue team y Purple Team. Doctorando en Sociedad de la Información, Ingeniería Civil en Informática e Ingeniero en Ciberseguridad. Docente del Diplomado en Gestión técnica de la ciberseguridad de Educación Profesional de Ingeniería UC.
Hemos sido testigos del incremento día a día de la complejidad, intensidad y la evolución de los ciberataques en Chile y Latinoamérica, iniciamos esta revisión con los ataques a la cadena de suministro, según revista Byte ”La industria más atacada en 2021 fue el sector de la tecnología de la información (TI) y las comunicaciones. Los ataques de alto perfil en SolarWinds, Kaseya y, más recientemente, la vulnerabilidad descubierta ‘Log4Shell’ han abierto posibles puertas traseras en cientos de organizaciones. Lo anterior configura numerosas formas de ataques, basados en el riesgo de tercera parte o ataques directos a nuestros proveedores de confianza.
Los conflictos bélicos en Internet, liderados por la guerra y la ciberguerra entre Rusia-Ucrania, dan pie a la nueva amenaza moderna, las amenazas híbridas, estas se entienden como una mezcla de actividades hostiles que combinan métodos convencionales y también no convencionales, donde las actividades pueden ser coordinadas por agentes estatales o no estatales, manteniéndose por supuesto por debajo del umbral de un conflicto que ha sido declarado oficialmente”. (Iniseg, 2022)
También se visibilizan nuevas alternativas de solución como la propuesta por Gartner, la cual refiere a la creación de una “arquitectura de malla de ciberseguridad”. “Esta es una arquitectura flexible, que integra servicios de seguridad dispares y ampliamente distribuidos.
Las organizaciones deben prepararse para enfrentar panoramas adversos desde Internet, entender al adversario, descubrir sus motivaciones y qué métodos de ataque utilizarán. Durante el 2022, el grupo LAPSUS$ ha hackeado a importantes compañías globales, mostrando que los ataques se han incrementado, y a la vez, se han vuelto más sofisticados, explotando vulnerabilidades presentes, tanto en los sistemas, como en los usuarios internos y externos, dejando en evidencia la falta de higiene TI.
El panorama futuro no es más alentador, los costos de las violaciones de datos (por los datos comprometidos, el costo de resolver el incidente, las multas y sanciones, así como el daño reputacional) aumentaron de 3,86 millones de dólares a 4,24 millones de dólares, el costo total medio más alto en los 17 años de historia (IBM, 2021). Las cifras expuestas antes son realmente alarmantes y no se vislumbran muchos caminos de solución.
Podemos visualizar, que la problemática está lejos de ser resuelta, en el entendido que existen bandas criminales especializadas con distintos niveles de sofisticación. Según antecedentes difundidos por la empresa de ciberseguridad FireEye, existirían más de 1900 grupos adversarios no sólo del tipo APT (Advanced Persistent Threat), sino también de los conocidos como Financially-motivated (FIN). Entonces, ¿Cómo una organización con mínimos esfuerzos y baja madurez, según Cybersecurity Maturity Model Certification (CMMC) Nivel 1, podría pensar, siquiera, en hacer frente a dichos adversarios? Aunque sabemos que es un desafío dantesco, hemos aprendido que no basta con sólo aplicar controles de Seguridad de la Información, ya que estos son una perspectiva lo cual los hace insuficientes.
Un camino válido de solución es adoptar un enfoque de amenazas informado basado en MITRE ATT&CK®. Las tácticas pensadas en la temporalidad de un ciberataque, deben tomar un enfoque basado en el comportamiento del adversario (IOA), como bien las define MITRE en las fases denominadas tácticas:
– TA0043 Reconocimiento: El adversario está tratando de reunir información que pueda utilizar para planificar futuras operaciones.
– TA0042 Desarrollo de recursos: El adversario está tratando de establecer recursos que pueda utilizar para apoyar las operaciones.
– TA0001 Acceso inicial: El adversario está intentando entrar en su red.
– TA0002 Ejecución: El adversario está intentando ejecutar un código malicioso.
– TA0003 Persistencia: El adversario está tratando de mantener su posición.
– TA0004 Escalada de privilegios: El adversario está tratando de obtener permisos del nivel superior.
– TA0005 Evasión de la defensa: El adversario está tratando de evitar ser detectado.
– TA0006 Acceso a credenciales: El adversario está tratando de robar nombres de cuentas y contraseñas.
– TA0007 Descubrimiento: El adversario está tratando de descubrir su entorno.
– TA0008 Movimiento lateral: El adversario está tratando de moverse a través de su entorno.
– TA0009 Recolección: El adversario está tratando de reunir datos de interés para su objetivo.
– TA0010 Exfiltración: El adversario está intentando robar datos. Podemos llegar a entender la temporalidad de un ataque de forma más real, es importante conocer las técnicas y sub técnicas, con las que se ejecutarán los ciberataques, ya que ellas plasman la realidad de cómo nuestros sistemas tecnológicos serán atacados.
– TA0011 Mando y control: El adversario está tratando de comunicarse con los sistemas comprometidos para controlarlos.
Los invito a situarse en un escenario ¿cómo servirá esto en mi organización?, la respuesta si bien es compleja, la presentaremos en simple. Si usted está adoptando un enfoque de ciberseguridad defensiva, ha invertido X cantidad para la compra de tecnología, desarrollo de procesos y la contratación de personal, además de una estupenda campaña de awareness, tiene integrada distintas fuentes de logs para monitoreo, con lo cual ya se siente confiado.
Entonces la pregunta será ¿cuál táctica?, ¿cuál técnica?,¿qué subtécnica es capaz hoy de detectar, para protegerse?, la respuesta al inicio de esto puede ser abrumadora, quizás el 5% de la totalidad de los componentes mapeados, es parte de la problemática que estamos desarrollando; tenemos tantas alertas que son falsos positivos, y buscamos incesantemente un meta que no llegará, si no entendemos qué estamos buscando, todos los esfuerzos no tendrán un propósito.
Parte de crecer y madurar como equipos de ciberseguridad y organizaciones, es dejar de lado la conformidad aceptada a nivel de ciberseguridad, la que nos tiene sumergidos en un bajo nivel de madurez, a nivel nacional, esto tiene solución, debemos aceptar nuestro estado actual y proyectar el estado deseado, trabajar sobre la brecha, planificarlo, convencer y ganar apoyo del negocio, desde la forma estratégica debemos actuar para lograr las medidas técnicas que necesitamos.
Durante el desarrollo de este artículo de opinión, se presentó la problemática actual que poseen las organizaciones nacionales, se matizó con la dificultad de un escenario cambiante. Se propone como camino de solución un enfoque basado en conocer la situación actual, para mejorar los planes de ciberseguridad defensiva, debemos, imperativamente, entender qué estamos buscando detectar, para retornar a la pista.
En los tiempos que corren actualmente, se requiere tener una resiliencia distinta a la que manejábamos antes de que el cibercrimen se saliera de todo control posible, en el entendido de que Internet no es un ambiente seguro por defecto y debemos enfocar nuestros esfuerzos en generar una cultura de seguridad basada en una gobernanza efectiva utilizando técnicas de gestión estratégica.
Terminaremos el 2022 con dos tipos diferentes de equipos de seguridad según AttackIQ:
Seguridad reaccionaria: Se les conoce como el equipo del «no». No toman decisiones hasta el final. Incluso sus propios departamentos de TI no quieren trabajar con ellos porque piensan que no son muy amigables comercialmente y no piensan de manera realista.
Seguridad contra amenazas: Esto es lo que realmente quieres ser. Tienen apetito por el riesgo en tiempo real y se alimentan de constantes indicios de compromiso. El método MITRE ATT&CK®, por ejemplo, es un gran enfoque. Estos equipos tienen excelentes asociaciones con sus empresas
El gran desafío para el 2022, es lograr que los directorios entiendan la ciberseguridad como un habilitador en la operación de sus negocios en Internet y no meramente como un gasto sin un propósito claro. Debemos erradicar el «sentir que ya cumplimos y somos empresas maduras». Los directorios deben despertar, invertir y mirar el entorno para así marcar la ruta por donde podamos evaluar el nivel actual que tenemos, utilizando asesorías junto con guías al nivel deseado, para poder focalizar los esfuerzos sobre los gaps identificados, teniendo como objetivo gobernar la ciberseguridad y utilizar las técnicas de gestión para ello, con una guía irrestricta de modelamiento de amenazas como hilo conductor.
Bibliografía
– (Iniseg, 2022) https://www.iniseg.es/blog/seguridad/que-son-y-como-nos-afectan-las-amenazas-hibridas/
– https://cso.computerworld.es/tendencias/cuales-seran-las-tendencias-de-ciberseguridad-en-2022
– https://www.lisainstitute.com/blogs/blog/guerra-hibrida-amenazas-hibridas
– MITRE ATT&CK®. (s. f.). The MITRE Corporation. Recuperado 15 de septiembre de 2021,de https://attack.mitre.org/
– Cybercrime Damages $6 Trillion by 2021. (s. f.). Cybercrime Magazine. Recuperado 15 de septiembre de 2021, de https://cybersecurityventures.com/annual-cybercrime-report-2017/
– Cost of a Data Breach Report 2021. (s. f.). IBM. Recuperado 15 de septiembre de 2021, de https://www.ibm.com/security/data-breach
– ISO. (2013). ISO IEC 27014 (Preview). ISO IEC.Recuperado 15 de septiembre de 2021, de https://webstore.iec.ch/preview/info_isoiec27014%7Bed1.0%7Den.pdf
– Edith Cowan University. (s. f.). The Applicability of ISO/IEC27014:2013 For Use Within General Medical Practice. Research Online of Edith Cowan University. Recuperado 15 de septiembre de 2021, de http://ro.ecu.edu.au/cgi/viewcontent.cgi?article=1011&context=aeis
– Business Digital Security SAS. (s. f.). Business Digital Security. Recuperado 15 de septiembre de 2021, de https://business-digital-security.com/
– ISO 27014 Gobernanza de seguridad de la información. (2014, 4 abril). PMG SSI – ISO 27001. Recuperado 15 de septiembre de 2021, de https://www.pmg-ssi.com/2014/04/iso-27014-gobernanza-de-seguridad-de-la-informacion/