El reciente ataque a SolarWinds (conocido como Sunburst) puso de manifiesto los controles necesarios tras una brecha de seguridad. Pero aquí está la parte que es fácil de pasar por alto: los mismos controles que pueden ayudar a remediar los riesgos planteados por esta grave amenaza a la cadena de suministro también pueden ayudar a prevenir o limitar el efecto de este y otros ataques antes de que ocurran.
No es posible una defensa infalible. Es probable que un actor altamente motivado, hábil y financiado encuentre una forma de entrar. Y, en este contexto, es sorprendente que las organizaciones tiendan a adoptar una visión muy limitada de estas violaciones, preguntándose únicamente: ¿Tengo un software vulnerable o no? En su lugar, la perspectiva debe ser aprovechar este acontecimiento como una oportunidad para aprender a ser más ciberresistentes, de modo que cuando sea su software el que sea vulnerado en un ataque muy sofisticado, esté preparado para detectarlo, contenerlo y responder a él.
Hay ciertos controles básicos para una defensa sólida. Estos incluyen, por nombrar algunos, una fuerte gestión de la identidad y el acceso, la supervisión, la gestión de la vulnerabilidad, la aplicación de parches y la segregación de la red. Hay seis elementos clave que las organizaciones deben impulsar hoy:
- Ser brillante en lo básico. La aplicación de parches (y la gestión de vulnerabilidades) permite reducir la superficie de ataque para ir más allá de la brecha inicial.
- Controlar la identidad, el acceso y, sobre todo, el acceso privilegiado. Se debe disponer de una monitorización de la seguridad de forma flexible y extensible, de modo que se pueda desplegar rápidamente nuevos casos de uso de la monitorización a medida que surjan nuevas amenazas.
- Como regla general, las empresas deben asegurarse de que conocen sus activos y lo que significan para la organización, deben analizar las vulnerabilidades, aplicar parches a sus servicios y supervisar el estado de todos esos activos.
- Construir un marco sólido de controles y garantías. El aseguramiento no debe limitarse a hacer coincidir un estándar de controles con las capacidades desplegadas. Más bien, debe combinar la respuesta y la simulación de ataques avanzados a través de equipos rojos y azules, además de un programa activo de caza de amenazas.
- Despliegue y cobertura. Muchas organizaciones han invertido en sólidas capacidades de seguridad, pero cuando llega el momento de la implementación, a menudo se hacen recortes de recursos. Los presupuestos se agotan y acabamos asegurando sólo aquellos servicios que pertenecen directamente a un hallazgo de auditoría o a una revisión específica de la arquitectura de seguridad, en lugar de aprovecharlos en todos los entornos.
- Revisar el proceso de aseguramiento de terceros. La brecha de SolarWinds no es el primer gran ataque a la cadena de suministro y ciertamente no será el último. Lo que sí podemos predecir con cierta certeza es que muchas organizaciones, dentro de meses y años, seguirán siendo ajenas a esta y otras violaciones. La gestión de la seguridad de la cadena de suministro es una necesidad absoluta para cualquier operación de seguridad profesional, y si esta reciente brecha nos muestra algo, es que necesitamos un enfoque programático y dinámico para tales amenazas.
En resumen, se debe reforzar la ciberresistencia antes del próximo ataque para evitar un agotador viaje de respuesta a incidentes y de reparación. Fundamentalmente, se trata de aprender de las amenazas actuales para proteger a sus clientes, accionistas, empleados y otros stakeholders. No pregunte «¿ha sido mi organización vulnerada por este ataque?». Pregúntese «¿qué podemos aprender de esta intrusión dirigida para aumentar nuestra resiliencia de cara a la próxima?» Y ahora es el momento de adelantarse.