Cyber Mindsets

Cyber Mindsets

Luego de unos años sumergido en ciberseguridad y sin importar el foco que le pongas a tu carrera, probablemente te hayas encontrado con momentos de "presión" de montar rápidamente la "security-baseline" o alinear estrategias al nuevo paradigma o el principio que este siendo promocionado, lo cual produce cierto "burn out" sin un mindset consensuado de forma vertical y horizontal.

Los siguientes son 7 mindsets históricos descriptos por Matthew Tyson que nos llevan a ese burn:

1. La Seguridad es un destino:

Es la creencia más subliminal, un lugar o estado donde llegar y completar un objetivo para luego dejarlo de lado y relajarnos. Esto nos genera estrés innecesario, sensaciones de decepción o fracaso porque siempre hay algo más que hacer. La realidad es que a medida que un negocio crece, así también los riesgos van emergiendo y se vuelve un esfuerzo continuo las contramedidas a perseguir. Aceptando que la seguridad es un "viaje", un proceso continuo, nos alineamos a la realidad y sacamos la capa de stress.

2. Los "Pros" son owner's de la seguridad:

Generalmente se cree que los profesionales de la seguridad son los owners de ella lo cual conduce a dos resultados desafortunados:

-Pareciera que libera de responsabilidad a todos los demás, y por ejemplo no es necesario que los colaboradores detecten un phishing u otros ataques.

-Esos Pros quedan aislados por creer que batallan solos. Todos los colaboradores deberían pensar en la seguridad y pueden contribuir a esta postura como una gran comunidad, acompañado de un refuerzo de awareness, en especial los devs en cada estadio de desarrollo del software.

3. La seguridad se vuelve más difícil:

Una tarea sin fin es desmotivante si se vuelve cada vez más difícil, es como escalar una montaña que cada día se vuelve más grande. Es decir, los criminales se vuelven más sofisticados como sus técnicas y organizaciones, la infraestructura crece, se interconecta o evoluciona y así los profesionales deben adaptarse. Es un ciclo donde aparece una nueva amenaza y se debe encontrar la manera de "responder" como fue en los inicios del ransomware. Si naturalizamos ese ciclo, y entendemos que no siempre debemos estar en "alert-mode", podemos ganar un balance a largo plazo.

4. La seguridad es un producto:

Generalmente se ve la seguridad como una feature o un producto adicional que es acoplado a la infraestructura o una cosa que debe finalizarse y entregarse como suele pensarse desde una mirada de desarrollo. La calidad de la seguridad es como un hábito o disciplina que debe practicarse, el cual debe refinarse y monitorear como una dieta alimenticia. Si queremos que sea de máxima calidad, siempre hay algo que evaluar y mejorar. La seguridad no debería ser un producto a entregar, sino ese hábito o cultura a construir.

5. La seguridad es manejada por el crimen:

A veces se siente que es una especie de juego con criminales que manejan el negocio, tratando de comprometer nuestros sistemas, lo cual genera mucha frustración. En realidad el negocio mismo es quien maneja la situación marcando la ruta de sus productos y las tecnologías que las acompañan. De esta manera hay que tomar en serio la inteligencia y creatividad de los posibles ataques, tomando acciones proactivas como penetrations scans.

6. La seguridad es un 100% alcanzable:

La medición de indicadores de salud o performance hace a una buena seguridad. Las métricas como mean time to detect (MTTD) nos permiten monitorear la situación y efectividad de programas definidos. El inconveniente es cuando se pretende que los KPIs deberían moverse siempre en dirección positiva o estar cerca de la perfección, lo cual no significa que haya un problema o riesgo real.

7. La Seguridad no es apreciada:

La vieja pero ocasional idea que la seguridad solo es vista cuando algo falla. A veces es vista como un mal necesario, un impedimento a innovar o para finalizar una tarea. Si todos se olvidaran de la seguridad, se podría mover un negocio tan rápido y concentrarse en construir software si olvidásemos la calidad en cada estadio de su ciclo. Entonces cuando una brecha sucede aparecen los comentarios "Como esto puede suceder? ¿Quién es el culpable? Una cabeza debe rodar..." Pero mientras nada suceda se ignora a quienes trabajan para que todo vaya bien o se actúa como si molestaran en el camino. Esta tendencia de mirar la seguridad solo cuando falla, debe cambiar, debe ser algo apreciado y visto como una tarea a completar por todos.

Se podría decir que algunos de esos mindsets históricos buscaban evitar la "brecha" con cualquier medio o tooling, como un objetivo a alcanzar. Alrededor del 2015 con el auge del ransomware se empezó a hablar del mindset de asumir el compromiso o la brecha.

Asumir la Brecha

Dado el panorama de amenazas y su evolución constante, se debe asumir que una brecha de seguridad puede ya haber ocurrido. Las estrategias de seguridad preventivas y las tecnologías no pueden garantizar cobertura ante todo los ataques como el análisis de código...Ya no es suficiente un modo preventivo únicamente o pensar solo en el perímetro con controles network-edge. Es más común que una organización ya haya sido comprometida y aun no se haya descubierto.

Operar con esta asunción remodela la estrategia de detección y respuesta de una manera transversal a la infraestructura, colaboradores, procesos y tecnologías. Como resultado estarán más preparados para encarar una brecha.

Asumir la brecha significa tratar todas las aplicaciones, servicios, identidades y redes internas o externas como inseguras y comprometidas. Algunos beneficios son:

  • Detectar y responder a un ataque y su alcance

  • Recuperarse de un data leakage o su compromiso

  • Prevención de futuros ataques y su superficie

Se verificará la protection, detección y respuestas de la estrategia implementada con los siguientes puntos:

  • Juntar evidencia y rastros del adversario

  • Detectar la evidencia como Indication of Compromise

  • Alertar de forma apropiada a los afectados

  • Realizar un triage y contextualización de la brecha

  • Formar un plan de remediación para mitigar la amenaza

Es aquí donde empieza a cobrar relevancia frameworks ofensivos como MITRE ATT&CK y los ejercicios purple.

Cyber-Resiliencia

Este mindset está enfocado en asegurar que una organización tenga la capacidad de operar efectivamente a pesar de ser víctima de un ciber-incidente. La gran mayoría de los frameworks están actualizando incluyendo este enfoque.

La ciber resiliencia ayuda al negocio a reconocer que los atacantes tienen la ventaja de tools innovadoras, elementos de sorpresa y técnicas que los harán exitosos en su intento, lo cual es parte del mindset de asumir la brecha. Con este concepto se ayuda al negocio a prepararse, prevenir, responder y recuperarse exitosamente a un estado "seguro".

Hay 3 grandes pasos a cumplir hacia la ciber resiliencia:

  • Anticipar la exposición a los riesgos: ganar una perspectiva clara de los riesgos de todos nuestros activos con políticas y controles que frenen la lateralidad o expansión de las amenazas.

  • Resistir ataques diarios: Entender las dependencias o conexiones entre los activos. Esto se empodera adoptando la segmentación del framework Zero Trust para los activos críticos.

  • Adaptarse en tiempo real: ajustar las políticas y controles a medida que la infraestructura escala acompañando con agilidad al negocio.

Estas capacidades habilitan a las organizaciones a manejar mejor sus riesgos y limita el impacto que un incidente puede ocasionar en la habilidad de continuar operando del negocio.

¿Qué estás haciendo para reducir la superficie de ataque y responder?