El futuro de la prevención de amenazas cibernéticas depende de la seguridad abierta
Durante demasiado tiempo, la industria de la ciberseguridad se ha suscrito a una metodología con fallas; una basada en la noción de que las organizaciones pueden evitar las amenazas de seguridad mediante la oscuridad y el secreto. Se parte de la base que mantener los controles de seguridad y procesos ocultos hace que los productos y datos sean inherentemente más seguros frente a amenazas cibernéticas dentro de las redes que defendemos.
Sin embargo, incluso las defensas de ciberseguridad más sofisticadas no son nada frente a adversarios con muchos recursos y motivaciones. De hecho, la superficie digital en expansión de las organizaciones modernas ha hecho que muchas controles de ciberseguridad centralizados tradicionales sean obsoletos.
Dado el aumento de las filtraciones de datos a un paso alarmante, hay algo que más proveedores y profesionales de la seguridad deben reconocer y aceptar: podemos aprovechar nuestra fortaleza no explotada trabajando juntos como una comunidad a fin de aportar transparencia y apertura a la seguridad.
La seguridad abierta (una metodología que cambia la dinámica de la relación de una empresa de seguridad con su cliente) tiene el potencial de transformar la industria de la ciberseguridad reuniendo a los especialistas para dar una respuesta más resiliente a las amenazas empresariales. La seguridad abierta no solo es la mejor defensa para cualquier organización, también debería ser el camino a seguir para la industria de la seguridad en su conjunto.
El caso de la seguridad abierta
El reciente incidente de Log4j (Log4Shell), que muchas personas percibieron como una falla de seguridad, muestra por qué los sistemas abiertos pueden ser más seguros que los sistemas cerrados. Como la biblioteca Log4j es open source, el descubrimiento de una vulnerabilidad de ejecución de código remoto desencadenó una reacción en cadena global de notificaciones y parches que probablemente ahorró millones de dólares por los daños potenciales que se hubieran producido si un atacante hubiera detectado la vulnerabilidad. La inversión de Alibaba en seguridad abierta valió la pena para todos los afectados (o lo que podrían haberse visto afectados).
Compara eso con el ataque de un Estado nación al código propietario en SolarWinds. En los años previos a su descubrimiento, la vulneración brindó acceso a los sistemas sin restricciones a al menos 100 empresas y una docena de agencias gubernamentales de los EE. UU.
Si bien Log4Shell puede haberse detectado en un producto cerrado y propietario, es más probable que un adversario sofisticado lo hubiera encontrado primero. La apertura dificulta ocultar o evitar solucionar fallas en productos relevantes, lo que en última instancia lleva a una mejor seguridad en general.
[Artículo relacionado: Por qué el mejor tipo de ciberseguridad es la seguridad abierta]
Las amenazas dinámicas requieren una respuesta dinámica
Las organizaciones no pueden depender de detecciones estáticas para identificar amenazas y detener con éxito los ciberataques. Estas herramientas son excelentes para detectar un identificador específico para un archivo, por ejemplo, pero un adversario aún podría hacer un pequeño cambio que desconcierte por completo los mecanismos para dicha detección.
Para mitigarlo se necesitan capas de defensa que cubran varios puntos de la superficie de ataque. Entretejer en conjunto un tapiz de mecanismos de defensa aumenta la efectividad de una solución de seguridad y proporciona a las organizaciones la oportunidad de interrumpir el ciclo de vida del ataque en distintos puntos.
Además de las protecciones en capas, los defensores cibernéticos también comprenden mejor ahora cómo operan los adversarios. El MITRE ATT&CK framework®, una base de conocimientos curada y modelo del comportamiento de los adversarios, describe las fases del ciclo de vida de un atacante y las tácticas y técnicas que se usan para socavar una defensa de seguridad. MITRE ATT&CK ha proporcionado a los defensores cibernéticos un cuaderno de estrategias accesible y transparente para defender a sus empresas mediante una taxonomía común de las acciones de los adversarios.
Los proveedores de seguridad deben hallar la oportunidad en este mismo espíritu de apertura y transparencia.
La seguridad abierta puede ayudar a los especialistas a tener en cuenta la brecha
A pesar de la evidencia, aún existe la concepción errónea de que la apertura del software es inherentemente menos segura. Muchos proveedores de seguridad esperan que no revelar los mecanismos usados en la detección de una amenaza haga que sea más difícil para un adversario identificar las debilidades en su software. Pero los cibercriminales actuales ya tienen las herramientas para comprender si un sistema de seguridad puede identificarlos incluso antes de vulnerar ese sistema.
Dada esta realidad, la seguridad abierta ofrece una oportunidad de detener el problema reduciendo el tiempo de detección cuando una amenaza nueva se filtra. Cuando un guardia de seguridad revisa las filmaciones de una cámara de seguridad, sabe exactamente hacia dónde apuntan las cámaras y dónde no. Esto los ayuda a identificar las áreas vulnerables que están fuera de la línea de visión de la cámara y puede ayudarlos a determinar si se requiere alguna investigación más detallada.
Comprender la cobertura de brechas significa que los especialistas en seguridad pueden descubrir dónde necesitan suplementar las herramientas de seguridad existentes o monitorear de forma más detallada y proactiva en busca de amenazas. Permite a los equipos de seguridad crear la mejor defensa posible para su entorno específico; no solo entornos que se perciben como con una defensa adecuada.
Un enfoque comunitario de la seguridad escalable
¿Otro beneficio de la seguridad abierta? La comunidad que surge a raíz de proveedores transparentes en cuanto a sus controles de seguridad, reglas de detección y lógica de amenazas puede ser un multiplicador de fuerzas de las mejores prácticas en toda la industria. Los proveedores de seguridad que recurren a la referencia cruzada de sus propios expertos y los expertos de la comunidad de seguridad más amplia descubren mucho más sobre nuevas amenazas que han observado o métodos innovadores para detectar ataques matizados. Esto crea mayor escalabilidad de los sistemas de defensa (no solo para la empresa, sino también para los clientes y sus datos).
Es importante recordar que la seguridad va más allá de la detección de amenazas; también se trata de la capacidad de tomar medidas respecto a esa amenaza. ¿Cómo se puede detener un ataque? ¿Y qué se puede aprender del análisis forense para fortalecer las defensas frente a amenazas similares de aquí en más? Cuando los proveedores hacen que la seguridad sea abierta y transparente, esto les permite mejorar de forma continua sus herramientas más allá de lo que hubieran podido hacer usando sus recursos internos limitados.
Por último, la seguridad abierta se trata de la confianza. Confía en que tu software de seguridad protegerá a tu empresa frente a las amenazas cibernéticas más recientes y en que funcionará en un entorno único sin interferir con las operaciones cotidianas.
Mediante la combinación de nuestros recursos colectivos para acelerar nuestra respuesta a las amenazas cibernéticas, tenemos el potencial de reducir de forma drástica la cantidad y el impacto de los ataques cibernéticos que ocurren cada año.
Para ver en primera persona cómo una solución de seguridad abierta puede reducir drásticamente el riesgo, echa un vistazo a nuestro webinar de introducción: Introduction to Elastic Security: How to shrink MTTR (Introducción a Elastic Security: Cómo reducir el MTTR).