El cambio trae novedad, y la novedad brinda oportunidades para los estafadores. Al menos en las últimas 48 horas, los equipos de seguridad interna habrán competido para implementar herramientas esenciales de trabajo remotas, compartiendo enlaces para descargar un nuevo software e implementando cambios en la forma en que se autorizan los servicios.
Estafas por correo electrónico
Cuando las organizaciones no saben qué esperar, la capacitación de los empleados para detectar ingeniería social desaparece. Tanto los empleados como los departamentos de TI deben ser cuidadosos con las llamadas y solicitudes inesperadas.
Dichas solicitudes pueden ser legítimas y deben resolverse fuera de los canales normales. La responsabilidad recaerá en los individuos para ser cautelosos, aplicar el sentido común y validar según corresponda. También habrá una amplia oportunidad para que los estafadores por correo “spear phishers”, se hagan pasar por terceros y clientes.
Estos riesgos se verán exacerbados por la relajación simultánea de los controles de seguridad para facilitar el uso de software de conferencias web y el intercambio de archivos por correo electrónico. Los atacantes tendrán tanto la oportunidad como los medios.
Controles de seguridad debilitados
El debilitamiento de los controles de seguridad va mucho más allá de relajar las reglas de firewall y las políticas de correo electrónico. Muchas capas de seguridad existentes no se aplicarán a los trabajadores remotos.
Los empleados que de repente se lleven la computadora de su trabajo a casa se verán despojados de la protección cuando cambien la red de la oficina por el wifi de sus casas. Sin el proxy de Internet, NAC, IDS y NGFW, los dispositivos de los clientes ahora estarán expuestos a redes potencialmente no seguras entre dispositivos potencialmente comprometidos.
La seguridad de la red interna también puede verse comprometida; es posible que los empleados necesiten acceso a recursos que anteriormente solo eran accesibles en una red corporativa.
Para que sea accesible a través de VPN, es posible que deba aplanarse la segmentación interna. Esto abrirá la puerta a la propagación de malware y al movimiento lateral. Estos cambios deben registrarse cuidadosamente, y las dependencias deben entenderse.
El peso adicional tendrá que llevarse a otro lado: quizás las políticas AV del host se puedan ajustar para compensar la falta de protección de la red, o tal vez los dispositivos de los empleados se puedan volver a configurar para usar un proveedor DNS externo seguro en lugar del servidor DNS local.
Ataques a infraestructura de trabajo remoto
Los equipos de seguridad deben estar en alerta máxima. La protección DDoS también será más importante que nunca; para muchas empresas, esta será la primera vez que un ataque DDoS podría paralizar su negocio al evitar que los trabajadores remotos accedan a servicios a través de Internet. De inmediato se espera un aumento brusco en ambas formas de ataque.
Errores y soluciones creativas
Tanto el equipo TI, como cada empleado, se enfrentarán a obstáculos. No habrá una solución autorizada para sus necesidades, y esas necesidades pueden ser extremadamente urgentes.
En un momento en que las empresas están considerablemente preocupadas por su posición financiera y su capacidad para operar, habrá presión para cuidar y proteger “los negocios como de costumbre”.
Esta presión puede venir incluso desde arriba. Los líderes de seguridad deben hacer su mejor esfuerzo para rechazar las decisiones precipitadas y proporcionar soluciones creativas. El uso de casos y reglas existentes no se aplicarán, y las empresas necesitarán un enfoque más proactivo y dinámico para la detección y respuesta.
Insiders maliciosos y amenazas internas
Desafortunadamente, habrá quienes buscaran aprovecharse de las defensas bajas dentro de nuestros negocios. La información ahora se puede tomar fácilmente de un dispositivo de la compañía a través de una USB dentro de la privacidad de su propio hogar. El monitoreo de seguridad puede quedar paralizado o deshabilitado por completo.
Este riesgo es más difícil de suponer. Puede que no se pueda eliminar, pero se puede equilibrar con la necesidad de productividad y acceso a la información.
También debemos tener cuidado con los que nos rodean. Todos esperamos poder confiar en las personas con las que vivimos. Pero desde la perspectiva de la empresa, los hogares de los empleados son ambientes no confiables. Ahora se llevarán a cabo conversaciones confidenciales dentro del alcance de los espías. La propiedad intelectual será visible en pantallas y monitores en salas de todo el país.
Encontrar dirección en un mar de cambios digitales
Todos los cambios y riesgos anteriores crean una pesadilla de monitoreo para los SOC. Estamos entrando en un período de incertidumbre digital, donde el cambio será la nueva normalidad. Los flujos de información y la topología cambiarán. Se desplegarán nuevas tecnologías y servicios.
Los formatos de ingreso serán diferentes. Los casos de uso del SIEM (información de seguridad y gestión de eventos) que tardaron 12 meses en desarrollarse deberán eliminarse de la noche a la mañana. Durante las próximas semanas, las prácticas comerciales cambiarán rápidamente.
Las defensas y las reglas no podrán mantenerse al día, sin importar cuán rápidamente las configuremos. Las empresas necesitan aprovechar tecnología que les permita continuar operando sin sacrificar la productividad en este momento crítico e incierto. Aún más importante, contener esas amenazas es de suma importancia: no será posible poner en cuarentena una máquina infectada si no se puede reemplazar en días.
Los sistemas que pueden evolucionar continuamente y adaptarse al cambio proporcionarán la mejor oportunidad de detectar configuraciones incorrectas, ataques y comportamientos riesgosos: cuando no se sabe qué buscar, se necesita tecnología que pueda identificar patrones y cuantificar los riesgos de manera proactiva.
La tecnología de respuesta autónoma también puede intervenir quirúrgicamente para detener la actividad maliciosa cuando los equipos no pueden estar allí para detenerla, protegiendo los dispositivos y sistemas, y permitiendo que las operaciones esenciales continúen sin verse afectadas.
Colaboración por: Por Andrew Tsonchev, director de Tecnología en Darktrace
