Un enfoque práctico para construir resiliencia sin confianza

El ransomware se ha convertido fácilmente en una de las empresas más notorias del siglo XXI, cosechando un éxito sin precedentes en los últimos 24 meses al atacar vulnerabilidades en la nube y en toda la cadena de suministro de software, atacar a los industriales de procesos y atacar a víctimas desprevenidas durante las vacaciones y los fines de semana.

Peor aún, a medida que nuestro mundo hiperconectado genera nuevos vectores de amenazas emergentes todos los días, sabemos que las infracciones son inevitables hoy y los ataques cibernéticos son la nueva norma: están sucediendo ahora mismo. Las investigaciones muestran que el 76 % de las organizaciones han sido víctimas de un ataque de ransomware en los últimos dos años y el 82 % han pagado al menos un rescate.

El gasto en ciberseguridad es más alto que nunca, pero seguimos experimentando pérdidas por ransomware, y no solo financieramente. Des attaques comme Colonial Pipeline et SolarWinds réaffirment les implications sociétales et économiques des rançongiciels, et nous continuons d’assister à une attaque dévastatrice après l’autre contre les infrastructures critiques américaines et d’autres secteurs civils essentiels (pensez à l’éducation et à la salud).

Demasiadas organizaciones siguen siendo presa fácil de una tormenta cibernética, por lo que la apatía y la inacción son inaceptables. Los líderes empresariales deben actuar de manera proactiva para desarrollar la resiliencia cibernética antes de que sea demasiado tarde.

Asumir la brecha, mejorar la resiliencia, controlar el impacto

Hace diez años, a los líderes empresariales les bastaba concentrarse únicamente en fortalecer la prevención a nivel de las defensas perimetrales (VPN, firewalls). Hoy, a raíz de los esfuerzos acelerados de transformación digital, en gran parte impulsados ​​por la pandemia y la era actual de trabajo híbrido, la superficie de ataque se ha ampliado drásticamente, dejando más terminales, entornos en la nube y posibles vías de explotación abiertas y disponibles para los malos actores.

Ahora que las organizaciones administran una fuerza de trabajo híbrida, parques de TI híbridos en expansión y cadenas de suministro ampliadas, ya no se trata de si los malos actores superarán las defensas perimetrales; es una cuestion de cuando. Es por eso que el enfoque de toda la industria de hoy en «desarrollar resiliencia» nunca ha sido más oportuno o esencial.

Uno de los marcos de resiliencia que se ha puesto aún más en el centro de atención cibernética en los últimos 24 meses es la confianza cero. Este enfoque de ciberseguridad fue introducido por primera vez por Forrester hace más de una década. Es un marco basado en los principios de “incumplimiento presunto” y “privilegio mínimo”.

Como parte de un enfoque de confianza cero, se alienta a las organizaciones a restringir el acceso a unos pocos privilegiados y necesarios (privilegio mínimo) y asumiendo que todo será inevitablemente violado (asumiendo una violación). La dualidad de la mentalidad de confianza cero reconoce la certeza de una infracción, al tiempo que garantiza que las organizaciones protejan rigurosamente el acceso y mitiguen la exposición de manera proactiva. Nos gusta llamar a esto «reducción del riesgo de incumplimiento».

Con prácticas, tecnologías y políticas de confianza cero, las organizaciones están mejor posicionadas para abordar rápidamente los incidentes cibernéticos (reduciendo el tiempo de inactividad) y mitigar los impactos comerciales y operativos resultantes. Pero todavía hay pasos que las agencias, organizaciones y el gobierno federal deben tomar para ayudar a los sectores público y privado a maximizar su resiliencia.

La resiliencia de confianza cero comienza con la educación y las alianzas

En el mundo hipercomplejo, dinámico e impulsado por la nube de hoy, la resiliencia cibernética solo funcionará si llegamos a un acuerdo colectivo sobre el mejor camino a seguir.

Persiste mucha confusión dentro del gobierno federal con respecto a los mandatos y las mejores prácticas de seguridad cibernética. Si bien el presidente Joe Biden ordenó una transición federal a una arquitectura de confianza cero en su orden ejecutiva en mayo pasado (reiterando la importancia del marco de confianza cero a principios de este año), varias agencias, incluida la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la El Instituto Nacional de Estándares y Tecnología (NIST) y el Departamento de Defensa de EE. UU. tienen prácticas recomendadas distintas y variadas de confianza cero.

Las organizaciones reconocen cada vez más la seguridad cibernética como un imperativo crítico, pero no existe un acuerdo unificado sobre cómo debería ser la confianza cero en acción. La falta de un plan único crea confusión y limita nuestra capacidad de educar, lo que en última instancia dificulta los esfuerzos de resiliencia en general. Para volvernos más sostenibles en el ciberespacio, debemos llegar a un consenso sobre un plan efectivo, una especie de libro de jugadas, y presentar un frente unificado que las organizaciones puedan seguir mientras buscan fortalecer los esfuerzos fundamentales de resiliencia con confianza cero.

La capacitación continua en ciberseguridad, a un nivel más general, también es esencial para continuar con las iniciativas de resiliencia en curso. En junio, el presidente Biden promulgó la “Ley de Ciberseguridad del Gobierno Estatal y Local de 2021”, que requiere que el Centro Nacional de Integración de Comunicaciones y Ciberseguridad (NCCIC) brinde capacitación, organice ejercicios y promueva la educación y la conciencia sobre seguridad cibernética en todos los niveles inferiores de gobierno. . Además, a principios de este año, se introdujo la «Ley de Subvenciones de Seguridad Cibernética para Escuelas de 2022», que permite a CISA otorgar subvenciones para programas de educación y capacitación en seguridad cibernética en la educación primaria y secundaria.

Este es el impulso electrónico federal que necesitamos. A medida que la superficie de ataque híbrida que nos rodea continúa evolucionando y expandiéndose, debemos seguir avanzando en la dirección correcta, y debemos hacerlo más rápido. El enemigo de un buen plan siempre ha sido un plan perfecto. Mientras nos esforzamos por la perfección, el delantero siempre está en movimiento. Mientras debatimos, ellos atacan. Debemos volvernos gradualmente más seguros y construir resiliencia a diario.

El camino por delante

El ransomware y los ciberataques no van a desaparecer. De hecho, el panorama de las amenazas está cambiando, con malos actores cambiando de marca e innovando más agresivamente que nunca. Pero las empresas, las instituciones gubernamentales y otras organizaciones pueden catalizar los esfuerzos de resiliencia al continuar educando sobre las mejores prácticas de seguridad cibernética, publicar pautas formalizadas de confianza cero y otros marcos básicos de resiliencia y, en última instancia, al tomar medidas.

A medida que nuestro mundo se vuelve cada vez más hiperconectado, las iniciativas de resiliencia como la confianza cero son tan fuertes como el eslabón más débil de nuestra cadena global. Y a medida que nuestros adversarios continúan moviéndose más agresivamente a través del ciberespacio, nunca ha habido un mejor momento para que todos nosotros estemos en la misma página y construyamos nuestra resiliencia que ahora. .

Andrew Rubin es director ejecutivo y cofundador de Illumio