CISO Insider: Edición 3
Te damos la bienvenida a la tercera edición de la serie de CISO Insider. Soy Rob Lefferts, dirijo los equipos de ingeniería de Microsoft Defender y Sentinel. Comenzamos esta serie hace un año más o menos para compartir información sobre nuestras conversaciones con algunos de tus compañeros, así como de nuestra propia investigación y experiencia colaborando en el frente de la ciberseguridad.
Nuestras dos primeras ediciones analizaron las amenazas en escala como el ransomware y cómo los líderes de seguridad usan la automatización y las oportunidades de adquisición de aptitudes para ayudar a responder de forma eficaz a estas amenazas entre una falta de talento continua. En un momento en que los directores de seguridad se enfrenta a aún más presión para trabajar de forma eficiente en la inestabilidad económica actual, muchos tratan de optimizar usando soluciones basadas en la nube y servicios de seguridad administrada integrados. En esta edición, examinamos las prioridades de seguridad emergentes a medida que las organizaciones pasan a un modelo cada vez más centrado en la nube, reuniendo todo en su infraestructura digital desde los sistemas en el entorno local a los dispositivos de IoT.
La nube pública ofrece las ventajas de una seguridad básica fuerte, la eficiencia del coste y la informática escalable, lo que la convierte en un recurso clave en un momento de presupuestos cada vez más estrechos. Pero con este conjunto de ventajas se incluye una necesidad de "tapar los agujeros" que surgen en el nexo entre la nube pública y las nubes privadas y los sistemas en el entorno local. Examinamos lo que hacen los líderes de seguridad para administrar la seguridad en los espacios liminales entre los dispositivos en red, los puntos de conexión, las aplicaciones, las nubes y los servicios administrados. Por último, nos fijamos en dos tecnologías que representan el pináculo de este desafío de seguridad, IoT y tecnología de operaciones. La convergencia de estas dos tecnologías polarizadas (una reciente y otra heredada, ambas introducidas a la red sin seguridad integrada adecuada) crea un perímetro poroso que es vulnerable a los ataques.
La Edición 3 se fija en estas tres prioridades de seguridad centradas en la nube:
La nube es segura, pero ¿estás administrando el entorno de la nube de forma segura?
Una posición de seguridad integral empieza por la visibilidad y termina por una administración de riesgos clasificada por orden de prioridad.
Con una adopción de la nube acelerada, proliferan los servicios, puntos de conexión, aplicaciones y dispositivos. Además de una estrategia para administrar los puntos de conexión críticos de la nube, los directores de seguridad reconocen la necesidad de obtener una mayor visibilidad y coordinación en toda su superficie digital en expansión: una necesidad de administración de postura integral. Nos fijamos en cómo los líderes de seguridad están expandiendo su enfoque desde la prevención de ataques (que sigue siendo la mejor defensa, siempre que funcione) hasta la administración de riesgo mediante herramientas de administración de postura integral que ayudan a realizar el inventario de los recursos y a modelar el riesgo de la empresa; sin olvidarse de la identidad y control de acceso.
Aprovecha la Confianza cero y la higiene para dominar el diverso entorno cargado de redes de IoT y tecnología de operaciones.
El crecimiento exponencial de los dispositivos IoT y tecnología de operaciones conectados sigue presentando desafíos para la seguridad, especialmente teniendo en cuenta la dificultad de conciliar tecnologías que combinan herramientas de terceros nativas de nube y equipo heredado retroadaptado para redes. Se prevé que el número de dispositivos IoT globales alcance los 41 600 millones en 2025, lo que creará un área expuesta a ataques expandida para los atacantes que usan estos dispositivos como puntos de entrada para ciberataques. Estos dispositivos tienden a ser objetivo de ataques al ser puntos de vulnerabilidad de una red. Es posible que se hayan introducido ad hoc y conectado a la red de TI sin instrucciones claras del equipo de seguridad, que se hayan desarrollado sin seguridad básica por parte de terceros o que el equipo de seguridad los haya administrado incorrectamente debido a desafíos como protocolos de su propiedad y requisitos de disponibilidad (OT). Descubre cuántos líderes de TI están desarrollando su estrategia de seguridad de IoT/tecnología de operaciones para navegar este perímetro cargado de huecos.
La nube es segura, pero ¿estás administrando el entorno de la nube de forma segura?
En un momento en el que falta talento y los presupuestos son limitados, la nube ofrece muchas ventajas: rentabilidad, recursos infinitamente escalables, herramientas de vanguardia y protección de datos más fiable que lo que la mayoría de los líderes de seguridad sienten que pueden conseguir en el entorno local. Aunque los directores de seguridad solían ver los recursos en la nube como un intercambio entre una mayor exposición a riesgos y una mayor rentabilidad, la mayoría de los líderes de seguridad con los que hablamos hoy en día han adoptado la nube como la nueva normalidad. Confían en la sólida seguridad básica de la tecnología de la nube: “Confío en que los proveedores de servicios en la nube tengan todo en orden en cuanto a la administración de identidad y acceso, el sistema de seguridad y la seguridad física”, afirma un director de seguridad.
Pero la mayoría de los líderes de seguridad reconocen que la seguridad básica de la nube no garantiza la seguridad de los datos, puesto que la protección de los datos en la nube depende en gran medida de cómo se implementen los servicios en la nube a los sistemas locales y la tecnología casera. El riesgo aumenta en los huecos entre la nube y el límite organizativo tradicional, las políticas y las tecnologías que se usan para proteger la nube. Es posible que la configuración se realice de forma incorrecta, de forma que las organizaciones queden expuestas y dependan de los equipos de seguridad para identificar y cerrar los huecos.
“Un alto número de brechas se deben a una configuración errónea, a que alguien configure incorrectamente algo o cambie algo que permita que se filtren los datos”.
En 2023, el 75 % de las brechas de seguridad en la nube vendrán causadas por la administración inadecuada de identidades, acceso y privilegios, con respecto al 50 % de 2020 (Los mayores riesgos de la configuración errónea y las vulnerabilidades en la seguridad en la nube: Informe | CSO Online). El desafío no solo existe para la propia seguridad de la nube, sino también para las directivas y los controles usados para proteger el acceso. Como afirma un director de seguridad de servicios financieros, “La seguridad en la nube es muy buena si se implementa correctamente. La nube en sí y sus componentes son seguros. Pero después te preguntas: ¿estoy escribiendo mi código correctamente? ¿Estoy configurando los conectores en la empresa correctamente?” Otro líder de seguridad resume el desafío: “La configuración errónea de esos servicios en la nube es lo que deja dichos servicios abiertos a los actores de amenazas”. Conforme más líderes de seguridad se vuelven conscientes de los riesgos de la configuración errónea de la nube, la conversación sobre la seguridad en la nube ha pasado de “¿La nube es segura?” a “¿Estoy usando la nube de forma segura?”
¿Qué significa usar la nube de forma segura? Muchos de los líderes con los que hablo enfocan su estrategia de seguridad en la nube desde la base, enfrentándose a los errores humanos que exponen la organización a riesgos como vulneraciones de identidad y configuraciones erróneas. Esto también coincide con nuestras recomendaciones: proteger las identidades y administrar su acceso de forma adaptable son dos acciones absolutamente fundamentales para cualquier estrategia de seguridad en la nube.
Para cualquier usuario que no se haya decidido, esto puede ser de ayuda: McAfee ha informado de que el 70 % de los registros expuestos (que suman un total de 5400 millones) se pusieron en peligro debido a la configuración incorrecta de servicios y portales. Administrar el acceso mediante controles de identidad e implementar una higiene de seguridad sólida puede ayudar mucho a cerrar las brechas. McAfee también ha informado de que el 70 % de los registros expuestos (que suman un total de 5400 millones) se pusieron en peligro debido a la configuración incorrecta de servicios y portales. Administrar el acceso mediante controles de identidad e implementar una higiene de seguridad sólida puede ayudar mucho a cerrar las brechas.
Una estrategia de seguridad en la nube sólida implica estos procedimientos recomendados:
1. Implementa una estrategia de plataforma de protección de aplicación nativa en la nube (CNAPP) de un extremo a otro: Administrar la seguridad con herramientas fragmentadas puede provocar puntos ciegos en la protección y mayores costes. Tener una plataforma integral que te permita insertar la seguridad desde el código a la nube es esencial para reducir la superficie expuesta a ataques en la nube general y automatizar la protección contra amenazas. La estrategia CNAPP implica los siguientes procedimientos recomendados:
Una plataforma de protección de aplicación nativa en la nube como la que ofrece Microsoft Defender for Cloud no solo ofrece visibilidad en los recursos de varias nubes, sino que también ofrece protección en todas las capas del entorno al tiempo que supervisa amenazas y correlaciona las alertas en incidentes que se integran con la SIEM. Así, se simplifican las investigaciones y los equipos del SOC pueden mantenerse al tanto de las alertas multiplataforma.
Un poco de prevención (cerrar los huecos de identidad y configuración errónea) combinada con herramientas sólidas de respuesta ante ataques es una gran ayuda para proteger todo el entorno de la nube, desde la red empresarial hasta los servicios en la nube.
Una posición de seguridad integral empieza por la visibilidad y termina por una administración de riesgos clasificada por orden de prioridad.
El cambio a la TI centrada en la nube no solo expone a la organización a brechas en la implementación, sino también a un conjunto de recursos de red en proliferación: dispositivos, aplicaciones, puntos de conexión, así como a cargas de trabajo en nube expuestas. Los líderes de seguridad están gestionando esta posición en este entorno sin perímetro con tecnologías que ofrecen visibilidad y respuestas con prioridad. Estas herramientas ayudan a las organizaciones a asignar un inventario de recursos que cubre toda la superficie expuesta a ataques, abarcando dispositivos administrados y no administrado tanto dentro como fuera de la red de la organización. Mediante estos recursos, los directores de seguridad pueden evaluar la posición de seguridad de cada recurso, así como su rol en la empresa para desarrollar un modelo de riesgo clasificado por orden de prioridad.
En nuestras conversaciones con los líderes de seguridad, observamos una evolución de la seguridad basada en perímetros hacia un enfoque basado en posición de seguridad que adopta un ecosistema sin fronteras.
Como indica un director de seguridad, "Para mí, la posición va más allá de la identidad... No miramos solo a la posición tradicional en la que está el perímetro, sino que bajamos hasta el punto de conexión". (Utilidades – agua, 1390 empleados). "La identidad se ha convertido en el nuevo perímetro" comenta un director de seguridad de tecnología financiera, que pregunta: "¿Qué significa la identidad en este nuevo modelo en el que no hay dentro ni fuera?" (Tecnología financiera, 15 000 empleados).
Dado este entorno poroso, los directores de seguridad comprende la urgencia de la administración de la posición completa, pero muchos se preguntan si tienen los recursos y la madurez digital para llevar esta visión a la práctica. Por suerte, mediante una combinación de marcos demostrados del sector (actualizados para las necesidades actuales) e innovación en seguridad, la administración de la posición completa está al alcance de la mayoría de organizaciones.
Obtén herramientas en tu ciberinfraestructura que te permitan crear in inventario de recursos. Después, determina cuáles son críticos y cuáles representan el mayor riesgo para la organización, y qué posibles vulnerabilidades hay en los dispositivos; decide si esta situación es aceptable o si necesitas instalar revisiones o aislarlos.
Estas son algunos procedimientos recomendados y herramientas que los líderes de seguridad usan para administrar su posición en un entorno abierto centrado en la nube:
La visibilidad es el primer paso en la administración de posición holística. Los directores de seguridad están preguntando "¿Sabemos todo lo que hay como un primer paso? ¿Contamos con visibilidad antes de pasar a la administración?" Un inventario de recursos de riesgo incluye los recursos de TI como redes y aplicaciones, bases de datos, servidores, propiedades de nube, propiedades de IoT y los datos y recursos de IP almacenados en esta infraestructura digital. La mayoría de plataformas, como Microsoft 365 o Azure, incluyen herramientas de inventario de recursos integradas que pueden ayudarte a empezar.
Una vez que la organización cuenta con un inventario de recursos completo, es posible analizar los riesgos con respeto a las vulnerabilidades internas y las amenazas externas. Este paso depende en gran mediada del contexto y es único para cada organización, una evaluación de riesgo fiable depende de una fuerte asociación entre la seguridad, la TI y los equipos de datos. Este equipo multifuncional aprovecha las herramientas de priorización y de puntuación de riesgo automatizada en su análisis, por ejemplo, las herramientas de priorización de riesgo integradas en Microsoft Entra ID, Microsoft Defender XDR y Microsoft 365. Las tecnologías de priorización y puntuación de riesgo automatizadas también pueden incorporar guías de expertos para solucionar las brechas e información contextual para una respuesta ante -amenazas eficaz.
Con una comprensión clara del entorno de riesgo, los equipos técnicos pueden colaborar con líderes empresariales para dar prioridad a las intervenciones de seguridad con respecto a las necesidades empresariales. Evalúa el rol de cada recurso, su valor para la empresa y el riesgo que representa si se ve en peligro, hazte preguntas como "¿Qué nivel de confidencialidad tiene esta información y qué impacto tendría para la empresa que se filtrase?" o "¿Cómo de críticos son estos sistemas, cuál sería el impacto de su inactividad para la empresa?" Microsoft ofrece herramientas para dar soporte a la identificación y priorización completa de las vulnerabilidades de acuerdo con los modelos de riesgo empresarial, incluidos Puntuación de seguridad de Microsoft, Puntuación de cumplimiento de Microsoft, Azure Secure Score, Administración de superficie expuesta a ataques externos de Microsoft Defender y Administración de vulnerabilidades de Microsoft Defender.
Un modelo de inventario de recursos, análisis de riesgos y riesgos empresariales representa la base de la administración de posición completa. Esta visibilidad e información ayuda al equipo de seguridad a determinar la mejor forma de asignar recursos, qué medidas de fortificación necesita aplicar y cómo optimizar el equilibrio entre riesgo y usabilidad para cada segmento de la red.
Las soluciones de administración de la posición ofrecen el análisis de visibilidad y vulnerabilidad necesarios para ayudar a las organizaciones a comprender en dónde centrar sus esfuerzos de mejora de su posición. Con esta información, pueden identificar y dar prioridad a áreas importantes de su superficie expuesta a ataques.
Aprovecha la Confianza cero y la higiene para dominar el diverso entorno cargado de redes de IoT y tecnología de operaciones
Los dos desafíos de los que hemos hablado (la brecha de implementación de la nube y la proliferación de los dispositivos conectados a la nube) están creando una situación muy arriesgada para los entornos de dispositivos de IoT y de tecnología de operaciones. Además del riesgo inherente de un área expuesta a ataques mayor que introducen los dispositivos de IoT y de tecnología de operaciones, los líderes de seguridad de dicen que intentan racionalizar la convergencia de las estrategias de IoT nuevas con las de tecnología de operaciones heredada. El IoT puede ser nativo de la nube, pero estos dispositivos suelen priorizar la velocidad de los negocios sobre la seguridad fundacional; la tecnología de operaciones tiende a ser equipos heredados administrados por proveedores desarrollados sin seguridad moderna e introducidos ad hoc en la red de TI de la organización.
Los dispositivos de IoT y tecnología de operaciones están ayudando a las organizaciones a modernizar los espacios de trabajo, basarse más en los datos y reducir las exigencias al personal mediante cambios estratégicos como la administración remota y la automatización. International Data Corporation (IDC) calcula que en 2025 habrá 41 600 millones de dispositivos IoT conectados, una tasa de crecimiento superior a la de los dispositivos de TI tradicionales.
Pero esta oportunidad implica un riesgo significativo. Nuestro informe Cyber Signals de diciembre e 2022 sobre la convergencia de TI y tecnología de operaciones exploró los riesgos que representan estas tecnologías para la infraestructura crítica.
Entre las conclusiones clave se incluyen:
1. El 75 % de los controladores industriales más comunes en las redes de OT de los clientes tienen vulnerabilidades de alta gravedad no corregidas.
2. Del 2020 al 2022, hubo un aumento del 78 % en las revelaciones de vulnerabilidades de gravedad alta de en equipos de control industrial producidos por vendedores populares.
3. Muchos dispositivos visibles de forma pública en Internet ejecutan software no soportado. Por ejemplo, el software desactualizado Boa sigue teniendo un uso amplio en dispositivos de IoT y kit de desarrollo de software (SDK).
Los dispositivos de IoT suelen representar el eslabón más débil de la infraestructura digital. Dado que no se administran, actualizan ni cuenta con revisiones de la misma forma que los dispositivos de TI tradicionales, pueden servir como una puerta de entrada útil para los atacantes que quieren infiltrarse en la red de TI. Una vez que se ha accedido, los dispositivos de IoT son vulnerables a la ejecución de código remota. Un atacante puede obtener control y aprovechar vulnerabilidades de seguridad para implantar redes de robots (botnets) o malware en un dispositivo de IoT. En ese punto, el dispositivo puede servir como una puerta abierta a toda la red.
Los dispositivos de tecnología de operaciones representan un riesgo aún mayor, ya que muchos son críticos para el funcionamiento de la organización. Históricamente, las redes de tecnología de operaciones no han estado conectados o han estado aislados de forma física de la red de TI, pero cada vez más se combinan con los sistema de TI e IoT. Nuestro estudio de noviembre de 2021 realizado en conjunto con el Ponemon Institute, El estado de la ciberseguridad de IoT/tecnología de operaciones en empresas, descubrió que más de la mitad de las redes de tecnología de operaciones ahora están conectadas a redes de TI empresariales. Una proporción similar de empresas (el 56 %) cuenta con dispositivos conectados a Internet en su red de tecnología de operaciones para casos como el acceso remoto.
La conectividad de la tecnología de operaciones expone a las organizaciones al riesgo de una mayor interrupción y tiempo de inactividad en caso de ataque. La tecnología de operaciones suele ser la base de la empresa, lo que proporciona a los atacantes un objetivo atractivo que pueden aprovechar para causar daños significativos. Los dispositivos en sí son objetivos fáciles, ya que suelen implicar equipos heredados o abandonados que no han sido diseñados para ser seguros, son anteriores a las prácticas de seguridad modernas y pueden tener protocolos propietarios que eluden la visibilidad por parte de las herramientas de supervisión de TI estándar. Los atacantes tienden a aprovechar estas tecnologías mediante el descubrimiento sistemas conectados a Internet expuestos, la obtención de acceso mediante credenciales de inicio de sesión de empleados o el aprovechamiento de acceso concedido a proveedores de terceros y contratistas. Los protocolos de ICS no supervisados son un punto de entrada común para los ataques específicos de tecnología de operaciones (Informe de protección digital de Microsoft 2022).
Para afrontar los retos únicos de administrar la seguridad del IoT y la tecnología de operaciones en esta combinación de distintos dispositivos conectados de distintas formas a la red de TI, los líderes de seguridad siguen estos procedimientos recomendados:
Comprender todos los recursos con los que cuentas en una red, cómo está todo interconectado y los riesgos empresariales y la exposición que implica cada punto de conexión es esencial para una administración de IoT/tecnología de operaciones eficaz. Una solución de detección y respuesta para una red de IoT y tecnología de operaciones y SIEM como Microsoft Sentinel también puede ofrecerte mayor visibilidad de los dispositivos de IoT/tecnología de operaciones en tu red y ayudarte a supervisarlos en busca de comportamientos anómalos como la comunicación con hosts desconocidos. (Para obtener más información sobre la administración de protocolos de ICS expuestos en tecnología de operaciones, consulta "El riesgo de seguridad único de los dispositivos de IoT", Microsoft Security).
Siempre que sea posible, segmenta las redes para impedir el movimiento lateral en caso de ataque. Los dispositivos IoT y las redes OT deben aislarse de las redes informáticas corporativas mediante cortafuegos. Con todo, también es importante asumir que tu tecnología de operaciones y TI son convergentes y establecer protocolos de Confianza cero en toda la superficie expuesta a ataques. La segmentación de las redes es cada vez más difícil. En el caso de las organizaciones reguladas como la sanidad, los servicios públicos y la fabricación, la conectividad entre tecnología de operaciones y TI es la base de la función empresarial; por ejemplo, las máquinas de mamografías o resonancias magnéticas inteligentes conectadas a sistemas de informes de salud electrónicos, las líneas de fabricación inteligentes o la purificación del agua que requiere supervisión remota. En estos casos, la Confianza cero es crítica.
Los equipos de seguridad pueden cerrar las brechas mediante prácticas de higiene básicas como:
- Eliminar las conexiones a Internet innecesarias y los puertos abiertos, restringiendo o denegando el acceso remoto y utilizando servicios VPN
- Administrar la seguridad de los dispositivo mediante la aplicación de revisiones y el cambio de contraseñas y puertos predeterminados
- Garantizar que los protocolos ICS no están expuestos directamente a Internet
Para obtener guías accionables sobre cómo lograr este nivel de información y administración, consulta "El riesgo único de los dispositivos de IoT/tecnología de operaciones", Microsoft Security Insider.
Conclusiones que requieren acción
1. Utiliza una solución de detección y respuesta de red (NDR) consciente de IoT/OT y una solución de administración de eventos e información de seguridad (SIEM)/orquestación y respuesta de seguridad (SOAR) para obtener mayor visibilidad sobre los dispositivos de IoT/tecnología de operaciones en tu red, supervisar los dispositivos en busca de comportamientos anómalos o no autorizados, como la comunicación con hosts desconocidos
2. Protege las estaciones de ingeniería mediante la supervisión con soluciones EDR
3. Reduce la superficie de ataque eliminando las conexiones a Internet innecesarias y los puertos abiertos, restringiendo el acceso remoto mediante el bloqueo de puertos, denegando el acceso remoto y utilizando servicios VPN
4. Asegúrate de que los protocolos ICS no están expuestos directamente a Internet
5. Segmenta las redes para limitar la capacidad de un atacante de moverse lateralmente y comprometer los recursos tras la intrusión inicial. Los dispositivos IoT y las redes OT deben aislarse de las redes informáticas corporativas mediante cortafuegos
6. Asegúrate de que los dispositivos son robustos aplicando parches, cambiando las contraseñas por defecto y los puertos SSH
7. Asume que tu tecnología de operaciones y TI son convergentes y establecer protocolos de Confianza cero en toda la superficie expuesta a ataques
8. Asegúrate de la alineación de la organización entre la tecnología de operaciones y TI al promocionar una mayor visibilidad e integración de equipos
9. Sigue siempre los procedimientos recomendados de seguridad de IoT/tecnología de operaciones basados en inteligencia sobre amenazas fundamental
A medida que los líderes de seguridad aprovechan la oportunidad para simplificar su infraestructura digital en un entorno de aumento de las amenazas y la presión de hacer más con menos recursos, la nube se está alzando como la base de la estrategia de seguridad moderna. Como hemos visto, los beneficios de un enfoque centrado en la nube superan a los riesgos, sobre todo para organizaciones que emplean procedimientos recomendados para administrar sus entornos de nube mediante una estrategia de seguridad en la nube sólida, una administración de posición completa y tácticas específicas para cerrar brechas en el perímetro de IoT/tecnología de operaciones.
Para obtener guías accionables sobre cómo lograr este nivel de información y administración, consulta "El riesgo único de los dispositivos de IoT/tecnología de operaciones", Microsoft Security Insider.
Todas las investigaciones citadas de Microsoft recurren a empresas de investigación independientes para contactar con profesionales de la seguridad y realizar estudios cuantitativos y cualitativos, lo que garantiza la protección de la privacidad y el rigor analítico. Las citas y conclusiones que se incluyen en este documento, a menos que se especifique lo contrario, son resultado de estudios de investigación de Microsoft.
Seguir a Seguridad de Microsoft