Comprender el panorama de la ciberseguridad en 2021

Es posible que hayas escuchado el dicho: “Nunca dejes que una crisis se desperdicie”. Desafortunadamente, los piratas informáticos se han tomado esa idea en serio durante COVID-19. La cantidad de ataques cibernéticos se disparó cuando los piratas informáticos explotaron repetidamente puertas traseras vulnerables en los sistemas corporativos en medio de la distracción causada por la pandemia. Los objetivos incluían atención médica, servicios financieros e instituciones del sector público como la Organización Mundial de la Salud. Los ataques contra el sector financiero aumentaron un 238 % a nivel mundial entre febrero y abril de 2020.

Según Alissa Abdullah, subdirectora de seguridad de Mastercard y exdirectora de informática adjunta de la Casa Blanca durante la presidencia de Barack Obama, el COVID-19 y el cambio resultante hacia el trabajo virtual “ha cambiado las oportunidades del adversario y ha cambiado su enfoque en algunos de los otros herramientas que estamos usando”.

Los piratas informáticos también atacaron las plataformas de colaboración. En abril de 2020, los piratas informáticos obtuvieron más de 500,000 nombres de usuario y contraseñas de cuentas de Zoom y los vendieron en foros de delitos de la web oscura por tan solo un centavo por cuenta; simplemente se regaló alguna información. También surgieron ciberataques relacionados con la vacuna COVID-19; en diciembre de 2020, la Agencia Europea de Medicamentos informó que algunos datos sobre la vacuna Pfizer/BioNTech COVID-19 fueron robados durante un ciberataque. Casi al mismo tiempo, IBM hizo sonar la alarma sobre los piratas informáticos que apuntaban a empresas centrales para la distribución de la vacuna COVID-19.

Espere que sucedan más ataques cibernéticos con mayor rapidez

Los ataques cibernéticos y sus costos asociados seguirán acelerándose. Considere lo siguiente: Cybersecurity Ventures predice que los ataques cibernéticos ocurrirán cada 11 segundos en 2021, casi el doble de la tasa de 2019 (cada 19 segundos) y cuatro veces la tasa de 2016 (cada 40 segundos). Se estima que el delito cibernético ahora le cuesta al mundo $ 6 billones anuales, el doble del total de $ 3 billones de 2015. Para 2025, se prevé que el ciberdelito le cueste al mundo 10,5 billones de dólares cada año.

El precio de los delitos cibernéticos incluye el robo de propiedad intelectual y datos personales y financieros, así como dinero real, más el costo de las interrupciones comerciales posteriores al ataque, la pérdida de productividad y el daño a la reputación, entre otras cosas, explica Steve Morgan, fundador. de Empresas de Ciberseguridad. Además de estas consecuencias directas, los costos ocultos del delito cibernético también incluyen mayores primas de seguros, calificaciones crediticias más bajas y honorarios legales debido a que los clientes inician litigios.

Un informe de seguridad de IBM de 2020 que encuestó a 524 organizaciones violadas en 17 países en 17 industrias indicó que el costo promedio de una violación de datos fue de $ 3.86 millones y tardó un promedio de 280 días en contenerse. Las consecuencias pueden continuar durante años después del incidente.

Bajo ataque: phishing selectivo, ingeniería social y vishing

En el Reino Unido en 2019, el 90 % de las filtraciones de datos se debieron a errores humanos. Durante la pandemia, los empleados han estado preocupados por el estrés personal y financiero amplificado, lo que los vuelve más vulnerables al phishing selectivo, un tipo de phishing que se dirige a personas o grupos específicos en una organización, y a los ataques de "ingeniería social" diseñados para manipular psicológicamente a las personas para que revelen información sensible.

Más específicamente, los ataques de ingeniería social tienen como objetivo engañar a los empleados para que hagan algo que parece legítimo pero no lo es. Si bien las empresas suelen capacitar a los empleados para identificar solicitudes fraudulentas, en medio de las circunstancias anormales de la pandemia, se ha vuelto más difícil para los empleados diferenciar las estafas de las solicitudes legítimas.

“Todo el mundo sabe que no se puede recoger un USB en un estacionamiento [y ponerlo en su computadora], pero capacitar a los empleados sofisticados sobre los correos electrónicos falsos de los jefes sigue siendo un problema real”, dice Thomas Ruland, un experto en finanzas de Toptal. network y Director de Finanzas y Operaciones de Decentriq, una empresa que se especializa en el intercambio seguro de datos y la colaboración. “Cuando no está en la misma oficina, el intercambio accidental de datos puede ocurrir con más frecuencia. Cuando las personas están trabajando en la misma oficina física, puede simplemente preguntar, 'Oye, ¿realmente enviaste esto?' pero es más difícil de analizar cuando se trabaja desde casa”.

El problema del "vishing" (phishing de voz) también se ha visto exacerbado por la pandemia, ya que los atacantes utilizan llamadas para obtener credenciales de VPN u otra información confidencial de los empleados. Las estafas de vishing a menudo intentan parecer legítimas al proporcionar a las posibles víctimas información personal precisa, como el número de seguro social o el número de cuenta bancaria de una persona. Una cantidad sorprendente de otra información personal está disponible públicamente para los atacantes, que solo necesitan explorar las plataformas de redes sociales u otros sitios web asociados para acceder a dichos detalles.

Explotación de puntos débiles en la seguridad en la nube

COVID-19 estimuló la adopción apresurada de nuevas tecnologías a medida que las organizaciones instituyeron nuevos procesos digitales en medio de la interrupción del trabajo en la oficina. En las primeras etapas de la pandemia, muchas empresas no tuvieron más remedio que aceptar nuevos riesgos, incluidos estándares de control reducidos, para mantener las operaciones.

Uno de los principales resultados de cambios tan rápidos y drásticos fue la adopción generalizada de la nube. En su Informe sobre el estado de la nube de 2021, Flexera descubrió que las demandas de trabajo remoto impulsaron a más de la mitad del grupo encuestado a aumentar su uso de la nube más allá de lo planeado. Otros encuestados indicaron que sus organizaciones podrían acelerar la migración dadas las dificultades para acceder a los centros de datos tradicionales y los retrasos en sus cadenas de suministro. Mientras que el 20 % de las empresas reveló que su gasto anual en la nube superó los 12 millones de dólares, un aumento del 7 % con respecto al año anterior, el 74 % informó que sus costos superaron los 1,2 millones de dólares, frente al 50 % del año anterior.

Desafortunadamente, las acciones tomadas bajo presiones operativas y de tiempo extremas han llevado inevitablemente a brechas en la seguridad cibernética. Y el 75 % de los encuestados en el Informe de seguridad en la nube 2020 de Cybersecurity Insiders indicó que estaban "muy preocupados" o "extremadamente preocupados" por la seguridad de la nube pública. Las preocupaciones sobre la seguridad de la nube se exacerban aún más cuando las organizaciones utilizan dos o más proveedores de nube pública, como lo hace el 68 % de los encuestados.

Los expertos en seguridad y los empleadores están principalmente preocupados por tres desafíos de seguridad en la nube. En primer lugar, la configuración incorrecta de la nube y el contenedor, cuando un administrador implementa sin darse cuenta configuraciones para un sistema en la nube que entran en conflicto con las políticas de seguridad de la organización. Otro es la visibilidad limitada de la red, en la que una organización no está segura de qué hardware y software están conectados a la red y qué eventos de red están ocurriendo. Y la tercera gran preocupación son los entornos de tiempo de ejecución en la nube desprotegidos, que brindan oportunidades para que los atacantes se aprovechen de una organización.

Uso de dispositivos y redes personales no autorizados por parte de los empleados

COVID-19 y el cambio al trabajo virtual impulsaron la adopción generalizada de programas de traer sus propios dispositivos. Especialmente en las primeras etapas de la pandemia, muchos trabajadores no tuvieron más remedio que usar dispositivos personales, Wi-Fi público o redes domésticas para trabajar de forma remota. Tales circunstancias brindan una oportunidad para que los piratas informáticos accedan a los recursos de la organización; cuando los dispositivos personales se ven comprometidos, pueden servir como plataformas de lanzamiento en la red corporativa.

“Uno de los mayores riesgos de seguridad cibernética es el dispositivo personal”, dijo Trina Glass, abogada de Stark & ​​Stark, a la Society for Human Resource Management. “Ya sea un teléfono inteligente o una computadora portátil, existen serios problemas que plantea el uso de tecnología personal en un entorno de trabajo que involucra información confidencial. Los empleados pueden guardar documentos en sus escritorios o enviar borradores de documentos a su correo electrónico personal. Es posible que no tengan un software antivirus actualizado o que usen una protección de contraseña personal obsoleta”.

Ataques a la cadena de suministro y riesgos de terceros

En diciembre de 2020, se conoció la noticia de que SolarWinds, una importante empresa de gestión de TI, sufrió un ciberataque que pasó desapercibido durante meses. A principios de ese año, piratas informáticos extranjeros habían irrumpido en los sistemas de SolarWinds e insertado un código malicioso. Posteriormente, cuando SolarWinds envió actualizaciones de software a sus 33.000 clientes, el código de los atacantes lo acompañó y creó una puerta trasera a los sistemas de TI de los clientes. Los piratas informáticos utilizaron estas puertas traseras para instalar malware espía adicional. Finalmente, alrededor de 18 000 de los clientes de SolarWinds instalaron estas actualizaciones, incluidas agencias estadounidenses como los Departamentos de Seguridad Nacional y del Tesoro, y empresas privadas como Intel, Microsoft y Cisco.

Los piratas suelen apuntar y atacar elementos inseguros de la cadena de suministro de software o hardware. Accenture descubrió que el 40% de los ataques de ciberseguridad se originan en la cadena de suministro extendida. Los atacantes suelen buscar los eslabones más débiles, como pequeños proveedores con pocos controles de ciberseguridad o componentes de código abierto. La mayoría de las veces, después de identificar su objetivo, los piratas informáticos agregan puertas traseras al software legítimo y certificado o comprometen los sistemas utilizados por proveedores externos. Por lo tanto, los ataques a la cadena de suministro exponen la verdad de que los controles de ciberseguridad de una organización son tan fuertes como el eslabón más débil de la cadena.

¿Qué puedes hacer para mejorar la ciberseguridad de tu empresa?

Ahora que el mundo lleva más de un año en la pandemia, las empresas deben ir más allá de simplemente instituir medidas provisionales y, en cambio, anticipar la "próxima normalidad". Los directores de seguridad de la información, los directores financieros y los equipos de seguridad cibernética deben descubrir cómo trabajarán juntos sus fuerzas de trabajo, clientes, cadenas de suministro y pares del sector para proporcionar una seguridad cibernética adecuada. Aquí hay cinco maneras de empezar:

Mejore la vigilancia en torno al acceso: confianza cero y autenticación multifactor

La seguridad de la red de TI tradicional se basa en el concepto de castillo y foso: todos los que están dentro de la red son de confianza de forma predeterminada y es difícil que los que están fuera de la red obtengan acceso. Los ciberataques que tuvieron lugar durante la pandemia de COVID-19 han expuesto las limitaciones de esta estrategia. Las empresas deben considerar la adopción de una estrategia de confianza cero que mantenga controles de acceso estrictos y que no confíe en ninguna persona, dispositivo o aplicación de manera predeterminada, ni siquiera en aquellos que ya se encuentran dentro del perímetro de la red. Un modelo de confianza cero requiere verificación de identidad y autorización para cada persona y dispositivo que intente acceder a recursos en una red privada. En 2019, Gartner predijo que para 2023, el 60 % de las empresas pasarían de las VPN a iniciativas de confianza cero.

Además, las empresas deberían exigir la autenticación de dos factores para los empleados. La autenticación de dos factores requiere que un usuario proporcione dos tipos diferentes de información para acceder a una cuenta en línea o sistema de TI; por lo general, esto incluye un par de nombre de usuario/contraseña (autenticación de un solo factor) y otra prueba de identidad, como un código enviado al teléfono o la dirección de correo electrónico de un empleado.

El Foro Económico Mundial recomienda que las empresas también comiencen la transición hacia la autenticación multifactor biométrica utilizando huellas dactilares, caras, comportamiento de escritura u otros factores para verificar la identidad de los usuarios. A diferencia de las empresas que almacenan las contraseñas de sus clientes en sus servidores, la biometría del usuario se almacena en el dispositivo del usuario y, por lo tanto, no existe un único punto de recopilación de datos para que accedan los ciberdelincuentes y el riesgo de fraude en línea y robo de identidad se reduce considerablemente. . Se proyecta que el tamaño del mercado global de sistemas biométricos crezca de $ 36,6 mil millones en 2020 a $ 68,6 mil millones para 2025.

Repensar la cadena de suministro y el riesgo de terceros

Para reforzar la ciberseguridad, las organizaciones deben examinar sus herramientas y requisitos de seguridad para compartir y mantener información privada con los proveedores. Las organizaciones deben comenzar por revisar todos los proveedores y posibles servicios de terceros en la sombra; asigne niveles de riesgo a los proveedores, delineando aquellos más críticos para las operaciones y teniendo el mayor acceso a información vital; y luego calibrar el alcance de la evaluación correspondientemente.

Luego, las empresas deben actualizar los controles y las restricciones de acceso para terceros, y desarrollar controles de pérdida de datos más sólidos. Las organizaciones también deben asegurarse de que los proveedores que actualmente no están preparados para un mayor riesgo cibernético se comprometan a desarrollar planes de preparación cibernética para manejar la información de manera segura e interactuar con las redes corporativas de las organizaciones. Además, cuando sea posible, las empresas deben integrar registros críticos de terceros en el monitoreo de seguridad empresarial y crear sistemas de alerta para el monitoreo y la respuesta coordinados. Tomar todos estos pasos ayudará a desarrollar la resiliencia cibernética en las cadenas de suministro.

Desarrolle y mejore un conjunto de habilidades de seguridad en la nube

A medida que las organizaciones se alejan de las soluciones de ciberseguridad locales tradicionales y se acercan a arquitecturas centradas en la nube, deben aprender a defender la nube.

La configuración incorrecta de la nube y el contenedor puede ser un problema porque, a diferencia de una red local donde solo los profesionales de TI pueden configurar e implementar la infraestructura de red, en un entorno de nube, muchas más personas pueden hacerlo. Los atacantes a menudo aprovechan las configuraciones incorrectas para acceder a una red porque son fáciles de detectar. Las organizaciones pueden ayudar a administrar las configuraciones incorrectas siguiendo la Guía de mercado de Gartner para plataformas de protección de carga de trabajo en la nube para establecer una línea de base para los activos conectados a la red. (El informe completo está disponible para su compra aquí). A partir de ahí, las organizaciones deben monitorear esos activos en busca de desviaciones y potencialmente emplear medidas de defensa automatizadas para proteger sus sistemas contra ataques.

En cuanto a la visibilidad de la red, las herramientas de detección de activos brindan detección de dispositivos y conocimiento no solo de lo que hay en la red, sino también de qué activos están desprotegidos. Estas herramientas brindan transparencia en las relaciones entre los activos, su uso, la red y otros dispositivos, incluidos los módulos de software instalados en la red.

Por último, las organizaciones pueden defenderse de entornos de tiempo de ejecución en la nube desprotegidos para cargas de trabajo en contenedores. Cuando un dispositivo intenta ejecutar una aplicación, los entornos de tiempo de ejecución actúan como intermediarios entre la aplicación y el sistema operativo.

Utilice la inteligencia artificial y el aprendizaje automático

Aunque los analistas de seguridad humana ya emplean herramientas de automatización para extraer las alertas más urgentes de conjuntos de datos masivos y hacer que los humanos tomen medidas, las herramientas de inteligencia artificial (IA) y aprendizaje automático (ML) son cada vez más sofisticadas.

“Vamos más allá de los algoritmos que solo miran sus métricas y le dicen a un humano que haga algo con respecto a un determinado valor atípico”, dice el vicepresidente de ingeniería y jefe de aprendizaje automático de Splunk, Ram Sriharsha, en el Informe de seguridad de datos 2021 de la compañía. “Como cuestión de escala, necesitamos algoritmos y automatización que actúen. En el dominio de la seguridad, no solo entrenaremos modelos sobre malos actores y comportamientos anteriores para identificar comportamientos nuevos y similares. Veremos algoritmos que solo miren lo que está sucediendo, miren el tráfico, miren los datos, para identificar malos patrones y tomar medidas evasivas”.

Las organizaciones deben considerar el uso de sistemas de gestión de ciberseguridad basados ​​en IA y de autoaprendizaje. Sin embargo, a medida que se desarrollan las soluciones de ciberseguridad AI/ML, también lo hacen los atacantes. Mediante el aprendizaje contradictorio, los malos actores obtienen suficiente información sobre un modelo de IA/ML para diseñar formas de envenenar el sistema y hacerlo ineficaz para la defensa. El aprendizaje adversarial es similar a, por ejemplo, engañar a un vehículo autónomo para que no entienda una señal de alto. Y según la investigación de Gartner, el 30 % de todos los ciberataques de IA aprovecharán el envenenamiento de datos de entrenamiento, el robo de modelos de IA o muestras adversarias para atacar sistemas impulsados ​​por IA hasta 2022. Sin embargo, a pesar de estas amenazas a los sistemas de IA/ML, una encuesta reciente de Microsoft reveló que 25 de 28 empresas indicaron que no tenían las herramientas adecuadas para asegurar sus sistemas AI/ML. No seas uno de ellos.

Lanzamiento de capacitación interactiva en ciberseguridad para empleados

Aunque aparentemente simple, es fundamental que las organizaciones mejoren la capacitación de los empleados en torno a las medidas de ciberseguridad. Las organizaciones deben diseñar programas y ejercicios de capacitación basados ​​en roles para aumentar la conciencia sobre los nuevos riesgos cibernéticos en un entorno remoto, incluidas las nuevas amenazas, las reglas para el uso de dispositivos aprobados y los procesos para informar incidentes cibernéticos.

Los equipos de gestión también deben proporcionar simulaciones y recorridos para escenarios de ataques cibernéticos para involucrar activamente a los empleados. La gerencia también debe proporcionar pautas claras sobre las acciones requeridas y cuándo se deben escalar las decisiones.

Por último, se debe recordar a los empleados que no utilicen redes Wi-Fi o impresoras públicas y que no almacenen documentos en las computadoras de sus hogares.

Mantenerse alerta contra los riesgos de ciberseguridad

Para responder a la escalada de ciberataques en forma de ingeniería social y ataques a la cadena de suministro, y al aumento de las TI en la sombra y las medidas provisionales vulnerables, las empresas deben centrarse en adaptarse a la "próxima normalidad". Es decir, la gerencia debe asociarse con los equipos de seguridad cibernética para aumentar la vigilancia en torno al acceso, repensar la cadena de suministro y los riesgos de terceros, desarrollar conjuntos de habilidades de seguridad en la nube, aprovechar las herramientas de IA y ML y mejorar la capacitación interactiva de los empleados. La creación de entornos seguros para los clientes brinda a las empresas una ventaja competitiva y genera confianza y lealtad con sus clientes actuales y futuros.