Los últimos años nos han demostrado la rapidez con la que los ciberdelincuentes se adaptan a nuestros tiempos cambiantes. Por un lado, han respondido a cambios sociales como el trabajo híbrido. Por otro lado, se han mantenido al día con las tendencias tecnológicas, no solo para mejorar sus propias operaciones (muchas ahora usan inteligencia artificial -IA-, por ejemplo), sino también para explotar las brechas de seguridad que vienen con las nuevas herramientas.

Los ataques exitosos son tan frecuentes en parte porque el mundo laboral permanece en un estado de cambio continuo.

Las arquitecturas de las tecnologías de la información (TI) cada vez más complejas, las presiones para escalar rápidamente las operaciones de seguridad y la escasez de talento pueden hacer que sea más difícil que nunca defenderse de un ataque.

¿Qué se puede hacer? Afortunadamente, mucho. Veamos a continuación dos tendencias que dan a los piratas informáticos la posibilidad de meter un pie en la puerta de una organización para ingresar y hacer sus fechorías y las innovaciones de seguridad que cierran esa puerta.

 

El cambio a la computación en la nube

La adopción de la computación en la nube se está disparando. Desde las organizaciones más grandes hasta las tiendas familiares, todos confían cada vez más en ella. En algunos casos, están desarrollando su propia nube o confían en lo que está disponible comercial o públicamente.

La migración a la computación en la nube se ha convertido en una característica estándar de la transformación digital, un término que describe un cambio generacional continuo en la informática empresarial que hace que las empresas pasen de los centros de datos locales a las redes de servidores remotos.

Una de las razones de este cambio es que la computación en la nube ayuda a simplificar las operaciones comerciales.

El almacenamiento de información en la nube puede potencialmente atraer la atención de los piratas informáticos. Además, las organizaciones que utilizan múltiples servicios en la nube aumentan enormemente la escala de su infraestructura digital y, a su vez, la escala de lo que debe monitorearse. Para el área de alto riesgo de la protección de datos, puede ser una preocupación particular.

Los datos son el elemento vital de la mayoría de las corporaciones y, por lo tanto, sus repositorios son objetivos principales para los delincuentes. Tradicionalmente, los equipos de seguridad de datos monitorearían la actividad de la base de datos en busca de comportamientos sospechosos: quién accede a esos datos, cuándo y dónde sucede, y qué hacen esos usuarios con ellos. Pero la adopción de la computación en la nube significa que las organizaciones pueden almacenar información en una combinación de proveedores, así como en centros de datos locales convencionales.

Si una empresa no tiene una vista única de todos sus datos, está aceptando ciegamente los riesgos al no observar ciertas áreas o cambiando entre diferentes sistemas para monitorear conjuntos de datos individualmente.

La primera opción es obviamente mala y la segunda también tiene inconvenientes. Si se están viendo los datos en herramientas discretas individuales, se está perdiendo la oportunidad de descubrir los riesgos que se pueden detectar al reunir todos los datos.

 

Monitoreo de la computación en la nube híbrida

La última generación de herramientas de seguridad de bases de datos puede integrar una amplia gama de plataformas. Puede detectar comportamientos maliciosos más sutiles. Si un miembro de la empresa se pasó al lado oscuro y está extrayendo datos de múltiples bases de datos en múltiples nubes, un analista que mire manualmente los registros de actividad podría no darse cuenta de que esta persona está sacando datos de la empresa por varias puertas. Si puede hacer que todas esas puertas se canalicen hacia un pasillo centralizado, entonces puede comenzar a ver el panorama general de lo que está sucediendo.

El desafío es que no todas las actividades aparentemente sospechosas son en realidad motivo de preocupación. Si se envían todas y cada una de estas violaciones o anomalías individualmente al equipo de respuesta, termina perdiendo el tiempo y causando fatiga de alerta.

Ahí es donde interviene la IA. Un motor de riesgo ajustado por aprendizaje automático puede evaluar una variedad de criterios para determinar la gravedad de un evento, en función de los parámetros establecidos por el equipo de seguridad. Estos pueden incluir la confidencialidad de los datos involucrados, las credenciales del usuario y cualquier error asociado que haya producido la actividad. Solo los eventos que cumplan con un umbral establecido se escalarán a los especialistas de respuesta. Perseguir cientos de actividades potencialmente sospechosas es tan inútil como frustrante. Hay que priorizarlos de forma inteligente.

 

Trabajo híbrido

El trabajo híbrido está en sus comienzos. Para los equipos de seguridad, eso es un dolor de cabeza. El aumento de dispositivos y usuarios en múltiples ubicaciones dificulta la detección de comportamientos sospechosos, mientras que el auge del correo electrónico y la mensajería crea mucho espacio para los ataques de phishing. Pero, sobre todo, los usuarios externos que inician sesión en las redes corporativas aumentan la cantidad de posibles puntos de entrada para los piratas informáticos. Muchas personas trabajan en sus propios dispositivos y, si tienen computadoras portátiles corporativas, a menudo las usan para tareas personales porque se sienten normales en casa.

Puede haber virus o malware en estos dispositivos de doble propósito. En el pasado, las personas trabajaban desde casa, pero estaban acostumbradas y tenían la configuración correcta. Debido a la pandemia de la Covid-19, algunas personas se vieron obligadas a usar configuraciones improvisadas, como una computadora portátil personal y VPN (red privada virtual) para conectarse a la oficina.

Sin embargo, no se trata solo de trabajo híbrido. A medida que los negocios digitales evolucionan y crecen, los servicios en la nube pueden multiplicarse, creando potencialmente activos digitales que los equipos de seguridad no conocen.

En términos de la industria, las superficies de ataque de las corporaciones se han ampliado permanentemente.

La superficie de ataque de una empresa se refiere a cualquier lugar de una red corporativa que los piratas informáticos puedan atacar, desde una computadora portátil doméstica hasta un servidor en la nube y un dispositivo de la Internet de las cosas (IoT). Las empresas luchan por mantenerse al día, y no es de extrañar. Miles de organizaciones aún usan hojas de cálculo para realizar un seguimiento de su superficie de ataque, una técnica que no solo requiere mucho tiempo, sino que pasa por alto la TI en la sombra: los activos desconocidos u olvidados que acechan en los sistemas corporativos.

 

Gestión de la superficie de ataque

¿Cómo se sabe lo que no se sabe? Para un equipo de seguridad empresarial, la forma clásica de descubrir cómo los piratas informáticos pueden ingresar con éxito a su red corporativa es probarlo ellos mismos. Más a menudo, contratan a especialistas conocidos como probadores de penetración, los piratas informáticos de sombrero blanco que prueban los sistemas para encontrar vulnerabilidades.

Las pruebas de penetración pueden encontrar una ruta hacia una red, pero los consultores especializados que hacen el trabajo son escasos. Y al realizar un solo ataque, la prueba de penetración revela solo un conjunto de fallas.

Ante esto, se observa el surgimiento de una idea llamada gestión de superficie de ataque, que utiliza la automatización para rastrear todos los activos y aplicaciones que se ejecutan en una red, conocidas y desconocidas, lo que permite a los equipos de seguridad cerrar de manera proactiva las vulnerabilidades, como parches perdidos o almacenamiento en la nube mal configurado.

Este monitoreo automatizado a menudo no se limita a la propia red de una empresa. Muchas herramientas también buscan exposiciones que los piratas informáticos podrían explotar en los sistemas de los socios, lo que puede extenderse a los proveedores de la computación en la nube y los proveedores de aplicaciones. El objetivo es brindarle el punto de vista de un atacante sobre la organización.

 

Para más info completa nuestro formulario https://www.telextorage.com/contacto/ o ecribinos a info@telextorage.com

 

Algunas de las marcas internacionales con las que trabajamos en conjunto:

Seguridad Información sensible: https://www.thalesgroup.com/es/countries/americas/thales-argentina

Ciberseguridad para empresas: https://latam.kaspersky.com/

Protección de datos: https://www.dell.com/es-es/dt/data-protection/index.htm