A medida que los ataques de ransomware afectan a las empresas y a la infraestructura de EE.UU., los directores ejecutivos se encuentran en un aprieto y los reguladores federales se preguntan: ¿qué han aprendido?

POR MICKEY BUTTS

Los directores ejecutivos de todo el mundo están repentinamente en el banquillo de los acusados por la creciente inestabilidad de la infraestructura crítica de la nación, desde ataques cibernéticos a hospitales y plantas de envasado de carne hasta sistemas de suministro de agua y gasoductos. Los ataques de ransomware, que ahora ocurren cada ocho minutos en EE.UU., están paralizando los departamentos de policía, el baloncesto de la NBA y los transbordadores a Martha's Vineyard.

Con la crisis cibernética en mente, el Comité Senatorial de Seguridad Nacional y Asuntos Gubernamentales llamó recientemente al director ejecutivo de Colonial Pipeline, Joseph Blount, para explicar la violación masiva de seguridad que cerró la línea de combustible más grande del país. Colonial ha admitido que la violación fue el resultado de una única contraseña comprometida utilizada en una red privada virtual (VPN) que carecía de autenticación multifactor.

"Mientras hacemos nuestro trabajo para investigar lo que sucedió en Colonial Pipeline, no debemos cometer el error de adoptar un enfoque aislado para abordar las vulnerabilidades de seguridad cibernética en la infraestructura crítica", dijo el representante Bennie G. Thompson (D-Miss.), quien dirige el Comité de Seguridad Nacional de la Cámara de Representantes, e inició su propia investigación en junio.

Para ayudar a los ejecutivos a navegar en estos tiempos peligrosos, los editores de EndPoint han respirado profundamente y reunido los mejores consejos de nuestros expertos durante el último año para cubrir el panorama de la seguridad. En este artículo, resumimos los consejos más útiles para el momento actual.

 

1.       Mantenga buenas prácticas de contraseñas

Es importante crear una contraseña segura utilizando una frase única y fácil de recordar de ocho a 12 caracteres, y ceñirse a ella en lugar de obligar a los empleados a realizar pequeños ajustes con una contraseña más débil. Después de eso, la mejor estrategia es emplear la autenticación multifactor (MFA) mediante un teléfono inteligente o una aplicación de autenticación.

“La realidad es que las contraseñas todavía están aquí”, dice Kelvin Coleman, director ejecutivo de National Cyber Security Alliance (NCSA). “Lo que les digo a los consumidores y las empresas es que deben crear contraseñas sólidas, habilitar MFA y ejecutar las actualizaciones y los parches de seguridad. No es necesario ser un mago técnico para hacer esto".

 

2.       Aléjate de la VPN

Las redes privadas virtuales crean más complejidad en lugar de menos. Los empleados se quejan de que pasan demasiado tiempo iniciando sesión en una red corporativa y sufren velocidades de Internet más lentas una vez que se conectan. Estas quejas deben atenderse y mantener configuradas correctamente las VPN. Cuando las empresas multiplicaron por diez la capacidad de VPN durante la pandemia, la avalancha de usuarios simultáneos degradó aún más el rendimiento. Agregue a esto el hecho de que las VPN pueden ser terriblemente inseguras: una vez que los ciberdelincuentes obtienen acceso directo a la red de una empresa, pueden acceder a todo en esa red, incluida la información confidencial de la empresa.

A Anton Chuvakin, jefe de estrategia de soluciones de seguridad en Google Cloud, no le gustan las VPN. “Se rompen”, dice. “Se rompen mucho. Y en los peores momentos ". En cambio, Chuvakin recomienda sistemas de Zero Trust basados en la nube que tratan a cada dispositivo que intenta iniciar sesión como una amenaza potencial. Los usuarios deben demostrar su identidad de varias formas cada vez que inician sesión en sistemas, aplicaciones y sitios web empresariales.

 

3.       Bloquear el movimiento lateral

Con el hackeo de la cadena de suministro de SolarWinds, los ciberdelincuentes utilizaron un malware para robar y falsificar credenciales digitales, que les permitieron ir de un extremo a otro a medida que obtenían acceso a unas 18,000 entidades que habían descargado del software de seguridad infectado. El costo de arreglar esta enorme brecha fue de aproximadamente 100 mil millones de dólares.

La clave para detener estos ataques es hacer que el llamado "movimiento lateral" sea lo más difícil posible para un atacante. Eso significa practicar una buena higiene de los terminales. Las prácticas efectivas comienzan con una gestión sólida de activos, configuraciones y parches. Las empresas también deben administrar cuidadosamente las identidades, sabiendo en todo momento quién tiene las credenciales para acceder a aplicaciones y sistemas en su red y brindando a los usuarios el nivel más bajo de acceso a los recursos que necesitan absolutamente para hacer su trabajo.

 

4.       Lucha contra la expansión de herramientas

La “expansión de herramientas” implica la proliferación ilimitada de aplicaciones autorizadas y no autorizadas en una empresa. Apilar herramienta tras herramienta puede abrir una puerta trasera potencialmente devastadora para los piratas informáticos. Muchas herramientas no autorizadas se instalan al azar sin que el departamento de TI lo sepa. Permanecen olvidados, sin parches y vulnerables, hasta que un pirata informático los encuentra y los usa para violar la red de una empresa.

Bradley Schaufenbuel, director de seguridad de la información de Paychex, dice que la expansión de herramientas se ha convertido en una preocupación importante para los equipos de seguridad. Su equipo ha encontrado nuevas vulnerabilidades de software malintencionado todos los días. “A menos que las herramientas estén aprobadas e inventariadas, los equipos de seguridad a menudo desconocen su existencia”, dice Schaufenbuel. "Y un equipo de seguridad no puede asegurar lo que no sabe que existe". Recomienda otorgar a los usuarios un periodo de amnistía para registrar herramientas de modo que puedan fortalecerse y actualizarse continuamente, y si eso no funciona, bloquear o eliminar de manera agresiva las herramientas no autorizadas de los sistemas de la empresa.

5.       Practique la respuesta a incidentes

Las empresas deben pasar de jugar a la defensiva a pasar a la ofensiva para prepararse activamente para un ataque exitoso y limitar el daño. Los equipos de seguridad deben saber exactamente lo que harán cuando se produzca una infracción de seguridad y practicar con regularidad su respuesta. Deben estar constantemente atentos a las señales de que los piratas informáticos o el software malintencionado han comprometido sus sistemas. Eso requiere sistemas de detección de intrusiones y anomalías que detecten rápidamente actividades inusuales, así como la automatización de indicadores de compromiso (IoC) para reducir el potencial de error humano. Una plataforma de respuesta y detección de puntos finales puede reunir rápidamente toda la información que necesitan los equipos de seguridad.

A partir de ahí, los ejecutivos deben priorizar la respuesta. Los más expertos ya habrán identificado sus procesos comerciales de misión crítica y la tecnología que los mantiene en funcionamiento. Eso ayuda a los equipos a decidir qué incidentes merecen una respuesta de alto nivel. Lamentablemente, en estos días, los incidentes suelen ocurrir.

 

Mickey Butts

Mickey Butts es editor senior de EndPoint. Anteriormente fue fundador y editor ejecutivo de la revista The Industry Standard, y ha escrito y editado sobre tecnología para Wired, The Financial Times, Businessweek, Harvard Business Review Press, The Boston Consulting Group y T Brand Studios de The New York Times.

 

 

Este blog fue publicado originalmente en EndPoint (una publicacion de Tanium) en inglés, bajo el título: 5 Ways Your Company Can Avoid Becoming a Headline