Conflicto cibernético: cómo puede superar los sistemas gubernamentales y cómo proteger su negocio
Recientemente, descubrí que los ataques cibernéticos no se limitan a empresas conocidas, ni involucran a agentes extranjeros sospechosos, lo cual es un proceso difícil. Pueden pasar en tu ciudad.
Mirar: Zero Trust Security: una hoja de trucos (PDF gratuito) (República tecnológica)
Mi sistema escolar adolescente en una pequeña ciudad de Massachusetts era así cuando alguien ejecutó un ataque de denegación de servicio distribuido (DDoS) en una red Wi-Fi. Es tan grave y generalizado que los sistemas escolares han tenido que contratar expertos en seguridad cibernética para solucionar el problema.
El consenso parece ser que los atacantes tienen una agenda para evitar el aprendizaje virtual de la participación de los estudiantes y, aparentemente, obligan a todos los niños a regresar a la escuela a tiempo completo por cualquier motivo.
Afortunadamente, esta actividad delictiva no tuvo éxito y se detuvo sin identificar a los perpetradores, pero me hizo pensar en el concepto de armar la ciberseguridad de esta manera para generar conflicto.
Hablé con Michael Schenck, director de servicios de seguridad del proveedor de servicios de ciberseguridad Kaytuso, sobre este concepto, y me habló del término «ciberconflicto».
Scott Mattson: ¿Qué es un conflicto de red?
Michael Schenk: [Cyberconflict is] Un ciberataque con antecedentes en relaciones internacionales o un ciberataque con consecuencias que podrían escalar a nivel político y diplomático.
Los ciberataques a la confianza son más preocupantes que los diseñados para tener un impacto físico. A los atacantes les ha resultado más fácil, y tal vez más efectivo, debilitar los lazos de las alianzas militares que perseguir aviones de combate, o destruir datos financieros en lugar de destruir las computadoras de un banco.
Los ciberataques a la confianza y la integridad tienen un umbral mucho más bajo, son más difíciles de detectar y bloquear y pueden propagarse en cascada a través de sistemas interconectados.
Mirar: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (República tecnológica)
Scott Mattson: ¿Cuándo aumentan los conflictos de red?
Michael Schenk: Los conflictos cibernéticos son más probables por razones políticas, sociales y económicas que por daños físicos a la infraestructura. Lo que está en juego es mayor durante momentos políticos importantes, como el tiempo de votación/elecciones.
Las acciones impulsivas, las decisiones caóticas o cualquier señal cruzada pueden desencadenar una escalada inesperada e innecesaria de ciberataques.
Por ejemplo, el conflicto cibernético se intensificó cuando Estados Unidos mató a Qassem Soleimani de Irán a principios de enero.Una semana después de la muerte de Soleimani, rodeado de 35 organizaciones atacadas El ataque cibernético fue «rastreado específicamente» a un grupo de piratería respaldado por el estado en Irán. Alrededor del 17 por ciento de estos objetivos se encuentran en los Estados Unidos.
Scott Mattson: ¿Cómo afecta a los consumidores y las empresas?
Michael Schenk: Los conflictos cibernéticos traen mayores riesgos al robo de información corporativa y financiera, el robo de fondos y la interrupción del comercio de acciones. La mayor preocupación para las empresas es el daño a su reputación si esto sucede, así como la pérdida de confianza de los clientes en ellas.
Hay muchos Consecuencias legales Las empresas también pueden enfrentarse a este tipo de situaciones (como multas y sanciones reglamentarias).
Cuando aumentan las tensiones entre Irán y EE. UU., existe una preocupación real de que los ataques patrocinados por el estado puedan tener como objetivo infraestructura crítica (energía, transporte, finanzas), y una gran cantidad de organizaciones comerciales en los EE. UU. verán ataques coordinados contra datos y sistemas, robo o destrucción. .
A medida que aumentan estas tensiones, las empresas y los consumidores deben prepararse para las interrupciones de la red, los correos electrónicos sospechosos y los retrasos en la red. Este puede acceder a información privada (de individuos, empresas y agencias gubernamentales) en cualquier forma de intento digital.
En enero de 2023, el gobernador de Texas, Greg Abbott, declaró que las agencias estatales han visto 10.000 intentos de ataques Salidas desde Irán cada minuto durante 48 horas.
Scott Mattson: ¿Qué deberían hacer las empresas de manera diferente para prevenir los ciberconflictos?
Michael Schenk: Si su empresa aún no tiene un CISO, contrate una empresa que ofrezca servicios de CISO virtual (vCISO). Este es un asesor senior que puede discutir con las partes interesadas los riesgos reales para su negocio. También pueden darte consejos sobre cuál es tu posición actual en materia de ciberseguridad y dónde deberías estar. Más allá de eso, no puedo hablar sobre lo que las empresas deberían hacer de manera diferente, ya que es posible que algunas ya estén siguiendo los estándares de mejores prácticas proporcionados por NIST, ISO, GIAC o el Centro para la Seguridad de Internet.
Algunas otras cosas que recomiendo que la mayoría de las empresas con las que hemos trabajado no tienen es la gestión de eventos e información de seguridad (SIEM) o el monitoreo de ciberamenazas, como la detección de ciberamenazas basada en inteligencia de Cisco Talos (como la licencia de seguridad avanzada de Meraki) para ASA Cisco Firepower para cortafuegos o Palo Alto SourceFire para cortafuegos de última generación. Las empresas más grandes también pueden estar interesadas en la solución de FireEye.
Otra gran área que parece faltar es la planificación eficaz de la continuidad del negocio y los procedimientos de respuesta. Eche un vistazo a lo que está sucediendo actualmente en todo el mundo sin un incidente cibernético debido a COVID-19. Las empresas deben preguntarse qué sucederá si se interrumpe la infraestructura crítica, como la electricidad o Internet. ¿Sus proveedores y proveedores de servicios también están abordando estos problemas? Los CISO, vCISO y los equipos cibernéticos deben pensar constantemente en sus planes de ataque cibernético y procedimientos de respuesta.
Mirar: Recuperación ante desastres y planificación de la continuidad del negocio (República Tecnológica Premium)
Scott Mattson: ¿Se debe tomar alguna medida inmediatamente después de un evento político, social o económico (como un aumento temporal en los detalles de registro)?
Michael Schenk: Esté siempre atento antes de los eventos políticos planificados (protestas programadas, elecciones, etc.). Lo mejor que puede hacer es recordarles a todos que tengan dudas razonables sobre lo que ven en línea o reciben en un correo electrónico. Si tiene un servicio de detección de amenazas cibernéticas, debe verificar con su representante de cuenta o proveedor de servicios que se mantengan al día con inteligencia en tiempo real. Lo mismo ocurre con los dispositivos SIEM o los proveedores de servicios de detección y respuesta gestionados.
Scott Mattson: ¿Quiénes son los principales actores en este espacio desde una perspectiva «buena» y «mala»?
Michael Schenk: Anteriormente mencioné algunos proveedores empresariales clave que ofrecen soluciones que ayudan a prevenir conflictos de red (Cisco, Palo Alto SourceFire, Fireye, etc.). Los «chicos buenos» también son sospechosos comunes: agencias de seguridad e inteligencia occidentales como el FBI. También hay una serie de grandes empresas de TI que muestran problemas de seguridad, incluidas Microsoft, ESET, Cylance, Cisco y FireEye.
En cuanto a los «chicos malos», los piratas informáticos respaldados por el estado de Rusia, Irán, China, Siria y Corea del Norte son jugadores clave. Los piratas informáticos patrocinados por el estado demuestran hasta qué punto los estados-nación continúan utilizando los ataques cibernéticos como una herramienta para obtener inteligencia o influir en la geopolítica. En 2023, Microsoft notificó a casi 10 000 personas que habían sido atacados por piratas informáticos patrocinados por el estado. En muchos de estos casos, las víctimas fueron atacadas o atacadas por piratas informáticos que trabajaban para gobiernos extranjeros.
Desde una perspectiva «mala», los piratas informáticos independientes también son jugadores clave en el campo. Impulsados por la desobediencia civil, los hacktivistas buscan difundir la ideología y crear una anarquía completa. A menudo se ven a sí mismos como vigilantes que usan la piratería para lograr la justicia social y el cambio de políticas, pero usan las mismas herramientas y tácticas maliciosas que un pirata informático típico.
Scott Mattson: ¿Cuáles son los tipos más comunes de amenazas y actividades?
Mirar: Política de protección contra el robo de identidad (República Tecnológica Premium)
Michael Shaker: El mayor riesgo son las personas. Ya sea intencional o no, los internos son la mayor amenaza porque debemos depositar cierta confianza en nuestra gente. Esta amenaza sigue siendo similar a lo que hemos visto a lo largo de los años: correos electrónicos con archivos adjuntos o enlaces maliciosos. En Kaytuso, hemos visto un aumento significativo en la propagación de malware a través de archivos adjuntos de correo electrónico. Los piratas informáticos que escriben estos virus están mejorando para evadir los escáneres. Algunas de estas técnicas incluyen no hacer nada si el malware cree que se está ejecutando en una zona de pruebas, una máquina virtual que ejecuta y abre el archivo adjunto para ver si identifica algún malicioso. Esto significa que la distribución de malware ha tenido más éxito. Dado que la tecnología para prevenir y bloquear el malware no es perfecta, las personas corren el mayor riesgo de hacer clic en ese enlace o abrir un archivo adjunto.
Scott Mattson: ¿Cómo deberían cooperar los gobiernos para prevenir o reducir los ciberconflictos?
Michael Schenk: Esta es una pregunta engañosa, especialmente cuando se habla de política y seguridad internacionales. En ese rango, siempre es un arma de doble filo. Las mejoras en la protección también hacen que la inteligencia trabaje más, lo que dificulta la defensa contra futuros ataques. El mejor enfoque aquí es aumentar la transparencia del gobierno y revelar las vulnerabilidades a los proveedores de seguridad lo antes posible.Por ejemplo, si se le dijera a Microsoft azul eterno Pueden corregir vulnerabilidades antes y limitar el daño causado por el ataque de ransomware de 2023.
Scott Mattson: ¿Cuáles son ejemplos subjetivos de ataques de conflicto cibernético?
Hemos visto ejemplos a lo largo de los años, incluido el cierre de escuelas y ciudades. Hay informes de que el malware Stuxnet y Flame son productos de la inteligencia occidental. Otro ejemplo proviene de Rusia y su guerra cibernética en curso contra los Estados Unidos.
Desde una perspectiva empresarial, el hacktivismo es un ejemplo clásico de conflicto cibernético. Mencioné el hacktivismo brevemente antes, pero es una mezcla de piratería y activismo, donde los piratas informáticos extranjeros usan Internet para impulsar agendas políticas o cambios sociales. El espionaje económico también es muy real. El objetivo de los piratas informáticos es robar inteligencia económica crítica, como secretos comerciales y propiedad intelectual en muchos campos (técnico, financiero, política gubernamental).
Scott Mattson: ¿Cuál fue el impacto/resultado?
Michael Shaker: Estos tipos de ataques de conflictos cibernéticos dan como resultado un aumento de las tensiones geopolíticas, pérdidas millonarias, el robo de propiedad intelectual confidencial y daños físicos a los equipos industriales.
