Si bien el aumento del ransomware y las filtraciones de datos no contribuye en nada a aumentar la confianza en las tecnologías de seguridad, la dura realidad actual es que las organizaciones no pueden confiar en estrategias aisladas de resiliencia de datos y recuperación ante desastres para mantener alejados a los delincuentes.
Según el Informe global de inteligencia sobre amenazas 2024 de NTT Security Holdings, los incidentes de ransomware y extorsión aumentaron un 67% el año pasado. Son tiempos récord para las empresas de software de seguridad y, sin embargo, las amenazas no desaparecen. Como era de esperar, la investigación de Evanta muestra que los CIO todavía están dominados por las prioridades. ciberseguridadA pesar de una importante inversión en estrategias y tecnologías de ciberseguridad.
La mayoría de las empresas tienen una estrategia de resiliencia de datos. Esta estrategia suele adoptar la forma de continuidad del negocio y recuperación ante desastres. Sin embargo, la tecnología y los procesos diseñados para la resiliencia de los datos no brindan la capacidad necesaria para lograr la resiliencia cibernética en la era de los ciberataques devastadores, como los raspadores de datos y el software espía. Secuestro de datosEs evidente que algo no funciona y las organizaciones necesitan un cambio de táctica para proteger sus datos e infraestructura.
Casi todos los marcos y regulaciones de ciberseguridad modernos, como el Marco de ciberseguridad 2.0 del NIST, y regulaciones como la Directiva de seguridad de la información y las redes de la UE (NIS2) 2.0 o la Ley de resiliencia operativa digital (DORA) de la UE, se centran en generar resiliencia: no solo la capacidad de prevenir y detectar ciberataques, pero también resistir ataques mediante la respuesta y la recuperación, dos funciones que tradicionalmente se han considerado infrautilizadas.
Según Deloitte, la organización promedio tiene más de 130 herramientas de ciberseguridad diferentes, pero la gran mayoría de ellas no se integran ni operan lo suficiente como para evitar que las organizaciones sean víctimas de un ciberataque. Cualquier inversión continua en prevención y detección probablemente resultará en una pequeña reducción del riesgo cibernético residual, al tiempo que creará más fricción con los usuarios, menos resiliencia para la organización, más fatiga de vigilancia, mayores costos de licencia e incluso más infraestructura de seguridad que administrar.
Responsable de Estrategia Global de Ciberresiliencia en Cohesity.
Resiliencia cibernética y detención de ataques “duales”
El gasto en respuesta y recuperación (a diferencia de detección y prevención) proporciona la ciberresiliencia que estos marcos y regulaciones modernos requieren para resistir los ciberataques modernos con un impacto mínimo. El desafío es ¿cómo logramos la ciberresiliencia en un mundo donde ya se ha invertido tanto en herramientas de ciberseguridad?
Para pasar a un estado de ciberresiliencia se deben establecer dos cosas básicas. En primer lugar, la capacidad de recuperación debe estar fuera del alcance de los adversarios. En segundo lugar, el plan de respuesta debe incluir disposiciones que permitan una rápida recuperación no solo de los sistemas de producción, sino también de las plataformas de seguridad, autenticación y comunicaciones necesarias para responder al incidente de manera efectiva y eficiente.
Ésta es la diferencia clave entre el enfoque tradicional de la resiliencia de los datos y la resiliencia cibernética. La resiliencia de los datos se centra en una pequeña cantidad de causas fundamentales que forman la base de la continuidad del negocio. Recuperación de desastres Llevamos décadas enfrentando muchos escenarios potenciales, incluidas inundaciones, incendios, cortes de energía, fallas de equipos y mala configuración; Para lograr la resiliencia cibernética, debemos enfrentarnos a un adversario que intenta activamente perturbar nuestros esfuerzos de respuesta y recuperación, y adaptar constantemente su comportamiento.
Aquí es importante darse cuenta de que las necesidades de respuesta del equipo de operaciones de seguridad son tan importantes como las necesidades de recuperación del equipo de operaciones de TI para reducir el impacto del ataque. Los métodos que aceleran la recuperación de los sistemas sin comprender la naturaleza del ataque no eliminarán las vulnerabilidades en los controles que no previnieron ni detectaron el ataque.
En consecuencia, los ataques persistentes reinfectarán los sistemas recuperados en cuestión de minutos. Las bandas de ransomware están aumentando el uso de ataques de “doble clic”, en los que regresan y atacan a organizaciones que atacaron anteriormente pero se negaron a pagar un rescate. Estos atacantes aprovecharán las mismas vulnerabilidades que utilizaron para acceder al sistema la primera vez, si no se cierran. Las organizaciones también pueden ser atacadas por otras bandas que utilizan la misma plataforma de ransomware como servicio.
La ciberresiliencia es clave
Por eso es tan importante adoptar un enfoque de ciberresiliencia. Dado que los ciberataques devastadores tienen como objetivo la capacidad de una organización para responder y recuperarse, tiene sentido brindarles a las organizaciones la capacidad de hacerlo de manera segura y rápida. Esto significa ser consciente de cómo un ataque puede dañar los sistemas existentes e incluso las funciones de seguridad. Las herramientas de seguridad tradicionales en los endpoints tienen dificultades para funcionar cuando una organización tiene sistemas aislados en respuesta al ransomware y al escaneo. La recuperación, sin cerrar estas brechas y fortalecer las brechas de control, dejaría a la organización vulnerable al mismo ataque nuevamente en el futuro. La dependencia excesiva de herramientas de seguridad que en realidad pueden no funcionar o no ser confiables, incluso si lo hicieran, solo exacerba el problema.
En resumen, existen algunas razones clave por las que la mayoría de las organizaciones fracasan en este frente. La primera es que los métodos de recuperación ante desastres y continuidad del negocio tienden a no ser apropiados para hacer frente a los ciberataques. Las organizaciones que incurren en los costos más altos de un ciberataque devastador son aquellas que no pueden permitírselo. Copias de seguridad Los sistemas atacados quedan inutilizables para un adversario o cuando los sistemas atacados se recuperan sin que se tomen las medidas correctivas adecuadas para eliminar amenazas y vulnerabilidades.
La segunda razón es que los equipos de seguridad y operaciones de TI tienden a no colaborar. La investigación de un ataque no proporciona información sobre su mitigación, lo que significa que los equipos de seguridad a menudo descubren que no conocen los mejores pasos a seguir para evitar una reinfección. La tercera razón es que es posible que los controles de seguridad no estén disponibles después del ataque.
Las prioridades de BC/DR a menudo se centran primero en las aplicaciones comerciales críticas porque las establece el equipo de operaciones de TI que trabaja con las unidades de negocios de forma aislada de la seguridad. Pero es fundamental restaurar una Capacidad de Respuesta Mínima Viable (MiViRC) confiable, para que las operaciones de seguridad y TI puedan trabajar en colaboración con las partes interesadas internas y externas, utilizando herramientas confiables donde el adversario no puede observar para interrumpir las operaciones de respuesta y recuperación, para gestionar el incidente.
Si bien muchos proveedores de gestión de datos tienden a ofrecer entornos aislados centrados en las necesidades de recuperación del equipo de operaciones de TI, a menudo olvidan la relación central entre respuesta y recuperación, que es esencial para brindar resiliencia cibernética. Este debe ser un enfoque clave si queremos competir con la creciente amenaza del ransomware. Las organizaciones deben repensar las estrategias de seguridad, no seguir al rebaño, sino buscar un enfoque y una plataforma más colaborativos para la resiliencia. Realmente es la única manera de evitar que el ransomware gane.
Te traemos una lista del mejor software antivirus en la nube.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde destacamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no reflejan necesariamente los puntos de vista de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro