Eyal Aharoni, vicepresidente de Éxito del Cliente explica la importancia de establecer un plan de evaluación de riesgos de seguridad que garantice la continuidad del negocio en caso de algún incidente cibernético.
El ejecutivo toma como refencia una encuesta realizada por el Instituto SANS donde se ha encontrado que la principal barrera citada por los profesionales de seguridad para mejorar sus pruebas de seguridad es una “falta de un enfoque sistemático para definir las pruebas (por ejemplo, falta de un plan de pruebas)”.
De hecho, ha confirmado que esto hace eco de las preguntas que reciben de profesionales de seguridad que conocen en conferencias, así como organizaciones que comienzan con sus propias pruebas de seguridad automatizadas.
Aharoni ha ofrecido algunas pautas para ayudar a comenzar a establecer un plan de evaluación de riesgos de seguridad efectivo, con la finalidad de verificar que los controles de seguridad sean efectivos.
En principio, ha indicado que cada organización es diferente y, dependiendo de su vertical, ubicación (es) y amenazas que haya encontrado en el pasado, es probable que ya se sepa cuáles son sus principales preocupaciones.
Dijo que, en términos generales, existen cinco enfoques que se pueden tomar: el primero es aprovechar las más de 290 técnicas MITER ATT & CK TM, ya que al realizar una prueba metódica contra todos estos se sabrá que se han cubierto los conceptos básicos.
Desafiar los controles de defensa a través de la cadena de asesinatos es el segundo enfoque. En la organización, al realizar pruebas sistemáticamente en la cadena de ataque, se puede medir y optimizar todos los controles de seguridad implementados en su infraestructura.
“Mimic APT grupos que te conciernen. Al simular el modus operandi de grupos APT específicos, puede abordar las preocupaciones geopolíticas y ajustar continuamente los controles para mantenerse preparado”.
El cuarto enfoque para establecer un plan de evaluación de riesgos de seguridad efectivo es simular tipos específicos de amenazas. En este sentido, ha señalado que desafiar los controles con diferentes cargas útiles y métodos de compromiso ayuda a obtener las respuestas a las preguntas más urgentes.
Por último, pero no menos importante, se debe garantizar la defensa contra las últimas amenazas. “A medida que surgen nuevas cepas de malware a diario, con nuevos indicadores de compromiso (IoC), es lógico probar contra ellos con la mayor frecuencia posible”.
Automatización y pruebas de seguridad
Una vez que se haya seleccionado el enfoque ideal del plan de evaluación de riesgos de seguridad o se sepa con cuál se quiere comenzar, Eyal Aharoni ha puntualizado que es hora de automatizar tanto como sea posible.
Por ejemplo, se pueden crear plantillas de simulación de ataque para probar los controles de seguridad contra ciertos conjuntos de técnicas de amenaza y programar simulaciones por adelantado para que se ejecuten cada hora, diaria o semanalmente.
“Automatice los informes para recibir notificaciones de los vacíos identificados, junto con la forma en que el equipo de seguridad puede remediarlos. La gerencia también puede recibir automáticamente informes de nivel ejecutivo sobre las últimas evaluaciones”.
Además, se podrían configurar las alertas automáticas que notifiquen a los responsables de seguridad cada vez que se haya desviado del puntaje de exposición de referencia.
También es importante permitir que diferentes personas del equipo ejecuten simulaciones de ataque y hagan un seguimiento de los resultados, debido a la bien establecida escasez de profesionales calificados en seguridad cibernética. “Cuanto más simple sea la prueba, más pruebas realizará, más brechas identificará y, en última instancia, más segura será su organización”.
Aharoni igualmente ha resaltado que existe una gran cantidad de herramientas de prueba de pen y red teaming, tanto patentadas como de código abierto, para ayudar a probar la infraestructura.
Sin embargo, ha apuntado que requieren de cierta experiencia técnica para usar, proporcionan pocas pautas de remediación y no pueden usarse para priorizar la remediación.
“Aquí es donde entran en juego las plataformas de Breach and Attack Simulation (BAS), eliminando la complejidad de las simulaciones de ataque para que cualquiera en el equipo pueda realizar pruebas y abordar las brechas identificadas con la ayuda de pautas integrales de mitigación”.
En vista de que los equipos de seguridad ya están presionados por el tiempo, la automatización en las pruebas, las alertas e informes ofrecidos por las plataformas BAS, garantizan que se pueda mejorar continuamente la postura de seguridad sin incurrir en gastos adicionales.