Mientras que un aumento en ransomware y violaciones de datos no está haciendo nada por la confianza en las tecnologías de seguridad, la dura realidad hoy en día es que las organizaciones no pueden confiar en estrategias de resiliencia de datos aisladas y de recuperación de desastres para mantener alejados a los criminales.
Los incidentes de ransomware y extorsión crecieron un 67% el año pasado, según el Informe de Inteligencia de Amenazas Globales 2024 de NTT Security Holdings. Estos son tiempos récord para las empresas de software de seguridad y sin embargo, las amenazas no desaparecen. No es de sorprender que la investigación de Evanta muestre que las prioridades de los CIO siguen estando dominadas por la ciberseguridad, a pesar de la considerable inversión en estrategias y tecnologías de ciberseguridad.
La mayoría de las empresas tienen una estrategia de resiliencia de datos. Tradicionalmente, esto toma la forma de Continuidad del Negocio (BC) y Recuperación de Desastres (DR). Sin embargo, la tecnología y los procesos diseñados para la resiliencia de datos no proporcionan la capacidad necesaria para lograr la resiliencia cibernética en la era de los ataques cibernéticos destructivos, como wipers y ransomware. Claramente. Algo no está funcionando y las organizaciones necesitan un cambio de tácticas para proteger sus datos e infraestructura.
Casi todas las últimas marcos de ciberseguridad y regulaciones, como NIST Cybersecurity Framework 2.0, y regulaciones como la Directiva 2.0 de Seguridad de Red e Información de la UE o la Ley de Resiliencia Operativa Digital de la UE (DORA), se centran en la construcción de resiliencia: no solo la capacidad de prevenir y detectar, sino también de resistir los ciberataques a través de la respuesta y la recuperación, dos funciones que tradicionalmente han sido vistas como subinversión.
La empresa promedio tiene más de 130 herramientas de ciberseguridad diferentes instaladas, según Deloitte, la gran mayoría de las cuales no se han integrado y operacionalizado lo suficiente para evitar que las organizaciones se conviertan en víctimas de un ciberataque. Cualquier inversión continua en prevención y detección solo es probable que produzca una disminución fraccional en el riesgo cibernético residual, al tiempo que crea más fricción con los usuarios, menos agilidad para la organización, más fatiga de alertas, costos de licencias más altos y aún más infraestructura de seguridad que gestionar.
James Blake
Enlaces Sociales de Navegación
Jefe Global de Estrategia de Resiliencia Cibernética en Cohesity.
Resiliencia cibernética y detención de ataques ‘doble-tap’
El gasto en respuesta y recuperación (en contraste con la detección y prevención) proporciona la resiliencia cibernética que estos últimos marcos y regulaciones requieren para resistir los ciberataques modernos con un impacto mínimo. El desafío es cómo lograr la resiliencia cibernética en un mundo donde ya se ha invertido tanto en herramientas de ciberseguridad.
Para pasar a una postura de resiliencia cibernética, se deben establecer dos cosas como base. En primer lugar, la capacidad de recuperación debe estar fuera del alcance de los adversarios. En segundo lugar, la planificación de la respuesta debe contemplar disposiciones para la recuperación rápida no solo de los sistemas de producción, sino también de las plataformas de seguridad, autenticación y comunicaciones necesarias para responder al incidente de manera efectiva y eficiente.
Esta es una diferencia clave entre el enfoque más tradicional de resiliencia de datos y el de resiliencia cibernética. Mientras que la resiliencia de datos se centra en un pequeño número de causas raíz que han sido la base de escenarios de continuidad empresarial y recuperación de desastres durante décadas, incluidas inundaciones, incendios, pérdida de energía, fallos de equipos y configuraciones incorrectas; para lograr la resiliencia cibernética, debemos lidiar con un adversario que está activamente tratando de interrumpir nuestros esfuerzos de respuesta y recuperación, y que continúa adaptando su comportamiento.
Es importante reconocer aquí que las necesidades de respuesta del equipo de operaciones de seguridad son tan importantes como las necesidades de recuperación del equipo de operaciones de TI para reducir el impacto de un ataque. Los enfoques que se apresuran a recuperar sistemas sin comprender la naturaleza del ataque no eliminarán las brechas en los controles que no previnieron o detectaron el ataque.
Los ataques continuos, por lo tanto, volverán a infectar los sistemas recuperados en cuestión de minutos. Las bandas de ransomware están aumentando su uso de ataques ‘doble-tap’, donde vuelven y vuelven a atacar a organizaciones que previamente atacaron pero que se negaron a pagar un rescate. Estos atacantes aprovecharán las mismas vulnerabilidades que utilizaron para acceder la primera vez, si no se cierran. Las organizaciones también pueden ser atacadas por otras bandas que utilizan la misma plataforma de Ransomware como servicio.
La resiliencia cibernética es clave
Por eso es tan clave el enfoque de resiliencia cibernética. A medida que los ciberataques destructivos apuntan a la capacidad de respuesta y recuperación de una organización, tiene sentido dar a las organizaciones la capacidad de hacer esto de manera segura y rápida. Eso significa reconocer cómo un ataque puede dañar los sistemas existentes e incluso la funcionalidad de seguridad. Las herramientas de seguridad tradicionales que se encuentran en los puntos finales luchan por funcionar cuando una organización tiene sistemas aislados en respuesta al ransomware y wipers. La recuperación, sin cerrar estas vulnerabilidades y reforzar las brechas en los controles, dejará a una organización expuesta exactamente al mismo ataque nuevamente en el futuro. Y depender en exceso de herramientas de seguridad que pueden no funcionar realmente o en las que se puede confiar, incluso si lo hacen, solo empeora el problema.
En resumen, hay algunas razones clave por las que la mayoría de las organizaciones fallan en este aspecto. La primera es que los enfoques de recuperación de desastres y continuidad empresarial tienden a no ser apropiados para tratar con ciberataques. Las organizaciones que incurren en los costos más altos de un ciberataque destructivo son aquellas donde las copias de seguridad han sido inutilizadas por el adversario o donde los sistemas atacados se recuperan sin los pasos correctivos adecuados para eliminar las amenazas y vulnerabilidades.
La segunda es que los equipos de operaciones de TI y seguridad no suelen colaborar. Investigar un ataque no informa sobre la mitigación, lo que significa que los equipos de seguridad a menudo encuentran que no conocen los mejores pasos a seguir para prevenir la reinfección. Una tercera razón es que los controles de seguridad pueden no estar disponibles después de un ataque.
Las prioridades de BC/DR suelen centrarse primero en las aplicaciones comerciales críticas porque han sido elaboradas por el equipo de Operaciones de TI trabajando con las unidades de negocio de forma aislada de la seguridad. Pero es fundamental recuperar una Capacidad de Respuesta Mínima Confiable (MiViRC), para que las operaciones de TI y seguridad puedan trabajar de manera colaborativa con sus partes interesadas internas y externas, utilizando herramientas confiables donde un adversario no pueda observar para interrumpir las operaciones de respuesta y recuperación, para gestionar el incidente.
Aunque muchos proveedores de gestión de datos tienden a ofrecer entornos aislados centrados en las necesidades de recuperación del equipo de Operaciones de TI, a menudo olvidan la relación intrínseca entre la respuesta y la recuperación, que es necesaria para ofrecer resiliencia cibernética. Eso debería ser un enfoque principal, si queremos competir con la creciente amenaza del ransomware. Las organizaciones necesitan repensar las estrategias de seguridad, no seguir a la multitud, sino mirar hacia un enfoque de plataforma más colaborativo para la resiliencia. Realmente es la única forma de evitar que el ransomware gane.
Enumeramos el mejor antivirus en la nube.
Este artículo fue producido como parte del canal de Expert Insights de TechRadarPro donde presentamos las mentes más brillantes de la industria tecnológica hoy en día. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro