Seguridad

Ciberseguridad: Sin falsos positivos

cybersecurity
Imagen: kerly chonglor/Shutterstock

Como administrador de sistemas ocupado, últimamente he estado pensando en el tema de los falsos positivos en el mundo de la seguridad. Los falsos positivos requieren alertas sobre problemas que en realidad no son un problema, un problema conocido o una amenaza que no es tan grande como parece.

Mirar: Política de respuesta a incidentes de seguridad (República Tecnológica Premium)

Por ejemplo, recibo una advertencia de que alguien ha iniciado sesión en el servidor de producción como root, lo cual está prohibido. Todos los usuarios deben confiar en una cuenta única para este acceso, de modo que todos los comandos y acciones se puedan rastrear y vincular a todos. Revisé las direcciones IP involucradas y descubrí que era un colega, llamaría a Dave y hablaría con él y me enteraría de que su propia cuenta está bloqueada en ese servidor, por lo que debe iniciar sesión como root para desbloquearla, luego iniciar sesión de inmediato afuera.

El problema con los falsos positivos es que no solo pueden hacer que el personal de TI o de seguridad se sienta complacido al asumir que lo que sucedió no es gran cosa, sino que también pueden distraerlo de la amenaza real al obligarlo a perseguir peces más pequeños sin razón aparente. No puedo ignorar la próxima alerta de inicio de sesión de raíz asumiendo que «Dave está aquí otra vez, ¡no es gran cosa!»

La solución adopta un enfoque basado en Zen: trata todas las amenazas por igual, sin importar dónde se encuentren. Una alerta de un sistema de prueba puede parecer trivial, pero el mismo sistema de prueba, si se ve comprometido, podría permitir que un atacante lo lleve a cuestas a un entorno de producción.

Hablé con John Hammond, investigador sénior de seguridad en Huntress, un proveedor de soluciones de ciberseguridad, sobre los falsos positivos.

Hammond me dijo: «El año pasado fue una llamada de atención para muchas organizaciones. Vimos muchos problemas con la apertura del Protocolo de escritorio remoto a Internet como una forma de curita para aumentar la productividad en el hogar durante el cambio rápido a remoto trabajo «. La esperanza es que haya provocado una conversación delicada sobre el uso eficaz de las herramientas de seguridad. Estamos viendo un repunte en la pequeña empresa y la comunidad de revendedores de valor agregado. Si bien se necesita más atención en los recursos de seguridad y la educación, las empresas están no inmune.”

LEER  El 97% de los profesionales del riesgo dicen que los ciberataques de IoT serán "catastróficos" para su negocio

Mirar: Cómo administrar contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (República tecnológica)

«Ahora más que nunca, las organizaciones deben analizar sus tableros en busca de falsos positivos/negativos al evaluar sus herramientas de seguridad», continuó Hammond. «En 2023, realmente no existe una herramienta perfecta o falsos positivos. Si su herramienta de seguridad lo alerta, lo hace por una razón. Los controles de seguridad no se modifican en el momento de la compra, por lo que las organizaciones deben aprender cómo para adaptarlos y modificarlos para satisfacer sus necesidades comerciales y de seguridad”.

Scott Mattson: ¿Qué problemas hemos visto que relajan la seguridad corporativa en 2023?

Juan Hammond: Con el cambio continuo al trabajo remoto durante la pandemia, RDP a menudo se ha abierto a Internet y las empresas se han preocupado por cómo permitir que los empleados accedan a las redes corporativas. RDP para el público es un mal movimiento, pero desafortunadamente, es la reacción instintiva de muchas empresas y organizaciones.

Scott Mattson: He sido testigo de lo mismo y, en muchos casos, se asumió que los inicios de sesión de RDP fallidos que alertaron eran usuarios legítimos que usaban sus contraseñas, no atacantes reales. Tal suposición es muy peligrosa. Cuál es la razón detrás de esto?

Juan Hammond: Si bien la solución correcta es utilizar un servicio de VPN, algunas empresas toman la ruta rápida y abren el acceso remoto a algunos servicios para los empleados, incluso si eso significa que los actores malintencionados pueden encontrar una forma de ingresar. Usar un vendaje no cura los efectos a largo plazo, ya que los actores de amenazas buscan activamente situaciones de este tipo para explotar.

Scott Mattson: ¿Qué se puede hacer mejor?

Juan Hammond: Quizás lo más fácil de recordar, pero que a menudo se pasa por alto, es el principio de privilegio mínimo y control de acceso para garantizar que solo ciertos niveles de empleados tengan acceso a la información más confidencial. Tener otro equipo de fragmentos para configurar correctamente los controles de seguridad y evitar que el acceso remoto se convierta en una vulnerabilidad es clave.

Mirar: Deje de usar su computadora portátil o teléfono de trabajo para artículos personales porque sé que está (República tecnológica)

Scott Mattson: ¿Existe tal cosa como una herramienta perfecta? ¿Por qué o por qué no?

Juan Hammond: La respuesta más concisa es no. Las herramientas deben ser desarrolladas y creadas por humanos, y dado que los humanos no son perfectos, es probable que ocurran errores e incidentes desconocidos, lo que da como resultado errores de software que pueden introducirse lentamente en la herramienta o el programa. Sin embargo, de la misma manera, los humanos son más inteligentes que las máquinas, y tan pronto como se construya la próxima gran herramienta de seguridad, habrá un intento inmediato de desmantelarla, lo que demuestra que se necesitan humanos en la defensa para lidiar con esto. situación. amenazar.

Si su herramienta de seguridad lo está alertando, lo está alertando por una razón. Los controles de seguridad no se ajustan en el momento de la compra, por lo que las organizaciones deben aprender a ajustarlos y modificarlos para satisfacer sus necesidades empresariales y de seguridad.

Scott Mattson: ¿Hay realmente falsos positivos? ¿Por qué o por qué no?

Juan Hammond: Si o no, depende de tu punto de vista. Si suena la alarma y los administradores de sistemas saben si han visto algo similar antes y es un falso positivo, definitivamente hay un caso. La otra cara de la moneda, sin embargo, es considerar que la máquina está programada para hacer sonar una alarma cuando ocurre o se activa un evento específico, y considerando que incluso si fuera benigno, todavía podría haber algo que entender allí.

Scott Mattson: ¿Cómo debería resolverse esto?

Juan Hammond: Si una empresa no puede permitirse un departamento de seguridad fuerte, debe tener un equipo que pueda identificarlo y remediarlo. No puede ser solo una persona de TI, sino un equipo dedicado de personas inteligentes y bien capacitadas. Incluso si el equipo se subcontrata, aún se puede usar para agregar una capa adicional de defensa.

Mirar: Trabajar de forma segura desde una distancia segura: el trabajo remoto en sitios industriales crea riesgos cibernéticos adicionales (República tecnológica)

Scott Mattson: ¿Cómo nos afectará el resto de 2023?

Juan Hammond: Como la mayoría de los años, seguimos viendo las mismas cosas que hemos visto en los últimos años, donde muchas de estas amenazas (como el ransomware) no se detienen, simplemente empeoran. En cuanto a SolarWinds en particular, estamos empezando a ver que ese evento se rompe y falla en otro lugar. A raíz de las elecciones y la pandemia, este es generalmente un momento inoportuno para el ataque. Nada cambiará a menos que demos un paso adelante, corrijamos los errores de hace diez años y reemplacemos el software obsoleto.

Scott Mattson: ¿En qué deberían centrarse los profesionales y las empresas de TI?

Juan Hammond: Todos los profesionales de TI y las empresas deben estar informados. Los profesionales de la seguridad deben monitorear varios avisos de seguridad y realmente tomarse el tiempo para leerlos. Hemos visto muchas órdenes de emergencia CISA emitidas recientemente, y estas son importantes para la digestión. Durante mucho tiempo, la seguridad ha sido una idea tardía y ya no puede serlo.

LEER  La fabricación se enfrenta a un mayor riesgo de ciberataques debido al IoT industrial

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba