Olivier Le Moal - stock.adobe.co
Prepárese para la fatiga en ciberseguridad, recomienda el director de Cisco Talos
El personal cansado por la pandemia cometerá descuidos en temas de seguridad que aumentarán la exposición de las empresas ante ataques, dijo Craig Williams.
El principal problema que los equipos de ciberseguridad tendrán que enfrentar este año es el cansancio de la gente, afirmó Craig Williams, director de Cisco Talos, la división de inteligencia de amenazas de Cisco. «[Las personas están] cansadas de tener miedo, de trabajar en remoto, de estar aisladas. Por eso, es importante planificar el tema de la fatiga por la pandemia desde un punto de vista de ciberseguridad, porque las defensas de la gente caerán y, conforme esto pase, los problemas de seguridad aumentarán», explicó.
En una sesión virtual con la prensa latinoamericana, Williams señaló que esta situación cobra mayor importancia si tenemos en cuenta la enorme brecha de talento que enfrenta la industria de ciberseguridad. Además, dijo que la erosión del perímetro de la red, como resultado del trabajo remoto, ha cambiado la forma en que se debe ver el entorno de trabajo. «Las redes híbridas ahora son un tema en casi todas las empresas, y hay que asegurarse de que están adecuadamente defendidas», dijo el experto.
Williams remarcó la importancia de tener instaladas varias capas de seguridad. «Invertir en ciberseguridad es realmente invertir en mitigación de riesgos», subrayó.
El ransomware sigue siendo el rey
El ejecutivo confirmó que se seguirá viendo un aumento en los ataques de ransomware, porque siguen siendo la mayor fuente de ganancias para los atacantes. «Cuando un atacante tiene mucho éxito con un ataque en una región [del mundo], solo tiene que cambiar un poco la plantilla y el lenguaje y puede usar la misma infraestructura y el mismo ataque en otra región», comentó.
Para defenderse contra este tipo de ataques, Williams recomendó a las empresas analizar su enfoque de seguridad, identificar cuáles podrían ser los objetivos de los atacantes, definir qué podría pasar si sus usuarios son comprometidos y buscar herramientas de protección que puedan costear, como autenticación multifactor, segmentación de red y contar con políticas claras de seguridad.
Además, se debe revisar los respaldos que se tenga y dónde están, si son accesibles a través de la red, si cualquiera puede acceder a ellos y modificarlos, y si están fuera de línea. Williams dijo que, si bien hay muchas cosas diferentes que revisar, y diferentes perspectivas para revisarlas, desde un punto de vista simplista dependerá de las capas de seguridad que tenga instaladas.
«Si tiene una capa de protección para los terminales, ayuda; tener capas de protección en la red [DNS y segmentación], ayuda; determinar qué podría pasar, ayuda; saber qué buscar para ver si está ocurriendo [este tipo de ataque] lo antes posible, ayuda. No hay un solo tipo de acercamiento al ransomware que sirva para todos, solo asegurarse de que tiene las configuraciones de seguridad adecuadas y prepararse para ello», apuntó.
Williams recomendó buscar la ayuda de un equipo de respuesta ante incidentes para hacer una auditoría de sus prácticas actuales de seguridad, y que les ayude a entender qué podría hacer un atacante, revisen sus defensas y les ayuden a hacer lo mejor que puedan con los recursos que tienen.
Se puede hacer seguridad efectiva con pocos recursos
Ningún departamento de seguridad tiene los recursos que desea. Pero cuando esta situación es muy pronunciada, como en el caso de las pequeñas y medianas empresas (PyME), hay pasos que se pueden tomar para sacar el máximo provecho a su inversión.
«Lo primero es tratar de saber qué datos tiene que son valiosos, cómo están defendidos esos datos y si puede hacer algo para aumentar las defensas de esos datos», aconsejó Williams. Puede hacer mucho con el equipo que posiblemente ya tenga, dijo, como segmentar la red y diseñarla para que solo la gente que necesite acceso a sus ‹joyas de la corona› lo tenga.
«Lo segundo es ver cómo sus usuarios están interactuando diariamente. ¿Puede señalar personas que ingresan a la VPN desde países en los que no viven, o aplican decisiones basadas en otras políticas como entrar con una contraseña que no es la suya y sin tener autenticación multifactor? Prioricemos esas cuentas. O tome las IDs de sus usuarios y revise una de esas herramientas que revisan fugas de datos y busque esos mismos usuarios o correos en esas herramientas, y priorice a esa gente para la autenticación multifactor», aconsejó.
Williams resaltó: «Enfóquense en sus ganancias fáciles: autenticación multifactor, parches, seguridad DNS. Que sus defensas están implementadas».
El ejecutivo también recordó a las empresas revisar las soluciones gratuitas que tiene Cisco, como sus sistemas de seguridad OpenDNS y Umbrella DNS.
Cambios por el trabajo híbrido
Al hablar sobre la fuerza de trabajo híbrida, Williams afirmó que este modelo cambia todo el juego. «Cuando se trata de establecer una fuerza de trabajo híbrida, idealmente quieres que la gente tenga autenticación de dos factores, quieres tenerlos aislados [en un segmento de la red], y quieres hacer eso de forma adecuada para que, si son comprometidos, estés en posición de mitigar inmediatamente mucho del riesgo. Por eso la preparación es tan importante», remarcó.
Igualmente, el experto dijo que no se debe olvidar que los dispositivos móviles están siendo muy atacados y que, si bien en general son más seguros que las computadoras tradicionales, no son a prueba de balas. «Para protegerse contra riesgos, puede hacer que su compañía aplique una política de seguridad a través de su servidor MDM, porque eso previene que puedan instalar cosas sin permiso, o desde tiendas de apps no aprobadas. También pueden aplicar configuraciones DNS para asegurarse que utilicen el servidor DNS» para tener seguridad en sus conexiones a internet.
Tendencias para 2021
El director de Cisco Talos, Craig Williams, repasó algunas de las principales tendencias que observaremos este año en materia de ciberseguridad en América Latina:
- Seguirá el alza continua en la actividad de ransomware, ataques a las cadenas de suministro y exploits de redes remotas. «Las amenazas a redes remotas no pueden ser ignoradas, como lo que sucedió con la vulnerabilidad de ejecución remota de código de Microsoft, que permitió ataques automatizados por internet. Vamos a ver más exploits como ese, automatizados, aunque no todos van a tener éxito».
- Aumentará el uso de segmentación de red y la autenticación multifactor para enfrentar el entorno laboral híbrido, y la preparación para las consecuencias de un ataque también será fundamental. «La autenticación multifactor puede ayudarle a mitigar el riesgo porque previene que alguien ingrese en la red sin permiso. También, si la red está segmentada y un atacante entra en una máquina que no es segura, eso disminuye el impacto a la red».
- Continuará la explotación continua de vectores conocidos, pero ahora automatizados. «Se tiene que parchar. Se debe tener una estrategia de mitigación de riesgos que sea efectiva o buscar una auditoría de seguridad externa para recibir ayuda».