En un mundo perfecto, las empresas podrían confiar a sus empleados la libre circulación dentro de sus entornos de TI después de concederles acceso a la red. Sin embargo, no vivimos en un mundo perfecto, y en el panorama actual de redes, donde los intrusos son expertos en acceder a los datos críticos de una empresa mediante movimiento lateral, un marco de confianza absoluta sin consecuencias representa un riesgo significativo.
En los últimos años, los equipos de ciberseguridad han respondido implementando la confianza cero, un marco en el cual el acceso a la red se reemplaza por acceso autorizado y certificado a nivel de cada aplicación individual. ¿Por qué? Porque si se limita el acceso entre los propios empleados y se verifica si las conexiones a las aplicaciones son realmente necesarias, se crea una fuerte barrera contra los ciberdelincuentes y se reduce la superficie de ataque al entorno TI. La confianza cero ha demostrado su eficacia, pero no ha detenido a los ciberdelincuentes a la hora de encontrar nuevas formas de comprometer las defensas atacando al eslabón más débil de la cadena: el usuario individual y su identidad. ¿Cuál es el próximo paso? Avanzar el concepto de ‘confianza cero’ hacia ‘confianza negativa’.
La identidad como puerta de entrada
La confianza negativa no se trata de desconfiar de los propios empleados, sino de engañar a los atacantes que han quebrantado el entorno TI utilizando identidades robadas. Esto se traduce en predecir el comportamiento de los atacantes que han logrado engañar a un empleado y tomado el control de sus credenciales. Estos intrusos intentarán usar los roles y privilegios capturados para moverse dentro del entorno TI en busca de datos valiosos. Al anticipar este comportamiento en tu propia estrategia de defensa, puedes desviar intencionalmente a los atacantes y exponer su presencia en el entorno.
Un ejemplo reciente de cibercriminales eludiendo mecanismos de seguridad existentes fue el ciberataque a un casino en Las Vegas el otoño pasado que, mediante el uso de la ingeniería social y el intercambio de SIM, explotaron la falta de concienciación de un empleado para vulnerar el perímetro y robar datos. Este caso demuestra claramente que el eslabón más débil en cualquier defensa cibernética son las personas. Si los hackers pueden acceder a la infraestructura y ocultarse tras la identidad de un empleado, entonces restringir roles y permisos no es suficiente. Eso plantea la siguiente pregunta: ¿qué pasaría si pudieras anticipar y dirigir el próximo movimiento de un atacante una vez que ha comprometido el dispositivo de un usuario?
Comprender la “pirámide del dolor”
Un modelo conceptual para el uso efectivo de la inteligencia de amenazas cibernéticas en operaciones de detección de amenazas se conoce como la “pirámide del dolor”, que ilustra el nivel de dificultad que enfrentan los atacantes para eludir las medidas de seguridad. Es importante reconocer que las medidas de seguridad tradicionales a menudo resultan fáciles de eludir en la base de esta pirámide, pero en la parte cúspide de la misma encontramos las tácticas, técnicas y procedimientos (TTPs, por sus siglas en inglés) de los atacantes. Estos son los métodos intrincados que los hackers desarrollan y perfeccionan con el tiempo.
Crear TTPs eficaces requiere una inversión significativa de esfuerzo y recursos por parte de los atacantes. Por lo tanto, una vez que estos comportamientos son identificados y comprendidos, se pueden idear contramedidas basadas en ellos. Al aprovechar maniobras engañosas inspiradas en la mentalidad y técnicas de los atacantes, las empresas pueden implementar estrategias de defensa que exploten las vulnerabilidades de los cibercriminales. Este enfoque puede engañar a los hackers haciéndoles creer que están en un entorno seguro, llevándolos a revelar inadvertidamente su presencia o intenciones. De esta manera, observar y analizar su comportamiento se convierte en un aspecto crítico para detectar e identificar actores de amenazas.
Es crucial que dejemos de centrarnos únicamente en las medidas de seguridad tradicionales que pueden eludirse fácilmente en la base de la pirámide. En su lugar, debemos dar prioridad a la parte superior de la pirámide, donde observamos y analizamos el comportamiento de los posibles actores de amenazas. De esta manera,
podemos detectar y responder a los ataques con mayor eficacia y, en última instancia, mejorar nuestra postura general de seguridad.
Para ello, las organizaciones pueden basarse en tecnologías de engaño con el objetivo de crear un laberinto de datos y aplicaciones falsos y, a continuación, localizar al adversario o agente interno utilizando la identidad robada para acceder a áreas para las que ese usuario no está autorizado. Crear un mundo corporativo engañoso y los rastros que un atacante deja en él no sólo puede convencerle de que se encuentra en su entorno real, sino también obtener nuevos conocimientos sobre su comportamiento y seguir desarrollando su propia arquitectura y estrategia de seguridad.
Confianza cero y negativa, mejor juntas
Para combatir eficazmente las ciberamenazas, es fundamental que primero entendamos a los actores de amenazas y los desafíos que presentan. Las medidas de seguridad tradicionales a menudo resultan insuficientes frente a las tácticas en evolución empleadas por los cibercriminales. Como resultado, el concepto de confianza negativa debería incorporarse junto al marco existente de confianza cero.
La confianza negativa, en esencia, gira en torno a anticiparse y superar a los atacantes que han infiltrado el entorno TI. Al obtener información sobre el comportamiento de estos intrusos, las empresas pueden desviarlos intencionadamente dentro de un engaño. Este enfoque permite la exposición de su presencia y ayuda en el desarrollo de una arquitectura y estrategias de seguridad más robustas.
Por su parte, la confianza cero se centra en limitar el acceso y verificar las conexiones para minimizar la superficie de ataque, mientras que la confianza negativa está allí para desviar a los atacantes y proporcionar una mejor comprensión de la mentalidad y las técnicas empleadas por los actores de amenazas. En conclusión, incorporar ambas es crucial en la batalla contra las ciberamenazas. Al comprender y analizar el comportamiento de los actores de amenazas, las organizaciones pueden desarrollar estrategias de defensa más sólidas, mitigando en última instancia los riesgos y protegiendo datos y sistemas críticos.
Tony Fergusson, CISO in Residence de Zscaler para la región de EMEA
