Eyal Aharoni, vicepresidente de Éxito del Cliente en Cymulate, ha explicado la importancia de establecer un plan de evaluación de riesgos de seguridad que garantice la continuidad del negocio en caso de algún incidente cibernético.
El ejecutivo ha tomado como premisa una encuesta realizada por el Instituto SANS. La investigación ha encontrado que la principal barrera de los profesionales de seguridad (para mejorar sus pruebas de seguridad) es una “falta de un enfoque sistemático para definir las pruebas; por ejemplo, la carencia de un plan de pruebas».
De hecho, ha confirmado que esto hace eco de las preguntas que reciben de profesionales de seguridad que conocen en conferencias, así como organizaciones que comienzan con sus propias pruebas de seguridad automatizadas.
Es por esto que Aharoni ha ofrecido algunas pautas para ayudar a comenzar a establecer un plan de evaluación de riesgos de seguridad, efectivo, con la finalidad de verificar que los controles de seguridad sean eficaces.
En principio, ha indicado que cada organización es diferente y, dependiendo de su vertical, ubicación (es) y amenazas que haya encontrado en el pasado, es probable que ya se sepa cuáles son sus principales preocupaciones.
En términos generales, cree que existen cinco enfoques que se pueden tomar: el primero es aprovechar las más de 290 técnicas MITER ATT & CK TM, ya que al realizar una prueba metódica contra todos estos se sabrá que se han cubierto los conceptos básicos.
Desafiar los controles de defensa a través de la cadena de asesinatos es el segundo enfoque. En la organización, al realizar pruebas sistemáticamente en la cadena de ataque, se puede medir y optimizar todos los controles de seguridad implementados en su infraestructura.
“Mimic APT grupos que te conciernen. Al simular el modus operandi de grupos APT específicos, puede abordar las preocupaciones geopolíticas y ajustar continuamente los controles para mantenerse preparado”.
El cuarto enfoque para establecer un plan de evaluación de riesgos de seguridad efectivo es simular tipos específicos de amenazas.
Ha señalado que desafiar los controles con diferentes cargas útiles y métodos de compromiso ayuda a obtener las respuestas a las preguntas más urgentes.
Por último, pero no menos importante, considera que siempre se debería garantizar la defensa contra las últimas amenazas.
“A medida que surgen nuevas cepas de malware a diario, con nuevos indicadores de compromiso (IoC), es lógico probar contra ellos con la mayor frecuencia posible”.
Automatización y pruebas de seguridad
Una vez que se haya seleccionado el enfoque ideal del plan de evaluación de riesgos de seguridad, o se sepa con cuál se quiere comenzar, Aharoni ha puntualizado que es hora de automatizar tanto como sea posible.
Por ejemplo, se pueden crear plantillas de simulación de ataque para probar los controles de seguridad contra ciertos conjuntos de técnicas de amenaza y programar simulaciones por adelantado para que se ejecuten cada hora, diaria o semanalmente.
“Automatice los informes para recibir notificaciones de los vacíos identificados, junto con la forma en que el equipo de seguridad puede remediarlos. La gerencia también puede recibir automáticamente informes de nivel ejecutivo sobre las últimas evaluaciones”.
Además, indicó que se podrían configurar las alertas automáticas que notifiquen a los responsables de seguridad cada vez que se haya desviado del puntaje de exposición de referencia.
También ha insistido en la importancia de permitir que diferentes personas del equipo ejecuten simulaciones de ataque y hagan un seguimiento de los resultados, debido a la escasez de profesionales calificados en seguridad cibernética.
“Cuanto más simple sea la prueba, más pruebas realizará, más brechas identificará y, en última instancia, más segura será su organización”.
Resaltó que existe una gran cantidad de herramientas de prueba de pen y red teaming, tanto patentadas como de código abierto, para ayudar a probar la infraestructura.
Sin embargo, dijo que requieren de cierta experiencia técnica para usar, proporcionan pocas pautas de remediación y no pueden usarse para priorizar la remediación.
Cymulate y el Instituto SANS
Cymulate se ha asociado con el Instituto SANS para brindar las últimas estadísticas y mejores prácticas a las organizaciones, sobre todo aquellas que desean explorar las últimas ideas y estrategias para realizar evaluaciones de amenazas de seguridad y garantizar que sus controles de seguridad sean efectivos.
“En el primer libro blanco, ‘¿Son sus controles de seguridad las noticias de ayer?’, SANS establece la ‘yuxtaposición infosec’ sobre cómo se han realizado las pruebas de seguridad hasta la fecha y sugiere lo que podría mejorarse”.
El segundo documento, resumiendo la encuesta de SANS sobre cómo se realizan realmente las pruebas: “¿Qué hacen realmente los profesionales de seguridad cuando se trata de pruebas de seguridad?”, proporciona las últimas estadísticas y conclusiones sobre lo que podría hacerse mejor.