Cerciorar los activos del gobierno australiano en 2020: Parte 2

Considerar alternativas para cerciorar las joyas de la corona de una nación

Aunque la legislación de notificación de infracciones obligatorias se introdujo recientemente en Australia y entrará en vigencia en Nueva Zelanda a fines de este año, los intrusos obtienen acceso de manera regular a datos confidenciales e impactan misiones clave en seguridad pública, finanzas y seguridad nacional. También continúan manipulando datos en campañas políticas, alterando los datos de las instituciones de investigación e impactando la seguridad de la salud pública.

En la primera parte de este serial Securing Australian Government Assets, revisamos los hallazgos recientes del reporte The Commonwealth Cyber Security Posture in 2019 y los anuncios del gobierno sobre el aumento de los ataques dirigidos a las agencias y compañías gubernamentales de Australia.

Un elemento clave de esos hallazgos describe que, si bien se están realizando mejoras, todavía somos vulnerables a los delitos cibernéticos como nación. Existen recomendaciones tácticas que se centran en los tipos de amenazas vistas recientemente, y consejos de larga data sobre disciplinas de seguridad esenciales que todas las entidades no corporativas de la Commonwealth deben incorporar en sus prácticas de TI. Sin embargo, planear más allá de las inevitables infracciones y esforzar por lograr la confianza cero bajo una estrategia holística para contener y prevenir el daño de tales eventos es primordial para limitar la exposición de la propiedad intelectual y los datos personales y financieros en el interés nacional.

En respuesta a los recientes acontecimientos, se anunció un plan del gobierno bajo el lema de "la mejor defensa es la ofensiva", diseñado para reforzar la capacidad de la Dirección de Señales de Australia (ASD) para interrumpir a los ciberdelincuentes. El reclutamiento y la financiación están destinados a desarrollar capacidades ofensivas para perseguir a los atacantes cibernéticos en el extranjero, así como a compartir inteligencia sobre la actividad cibernética para reaccionar en tiempo real. Pero, ¿qué puede hacer cada agencia o compañía en Australia y Nueva Zelanda para tomar medidas proactivas para limitar el impacto y la propagación de una violación para que la reacción se deje al examen en lugar del pánico asociado con tratar de detener la propagación?

Promovemos elevar la prioridad de la práctica "excelente" pero aún no "esencial" recomendada por el Centro Australiano de Seguridad Cibernética (ACSC) de segmentación de red que sustenta la filosofía Zero Trust, para repensar el paradigma de "mantener a los malos fuera y detectarlos lo más rápido posible si entran" a uno de "el primer sistema comprometido debe ser el último".

Todas las asociaciones de parches, autenticación multifactor e intercambio de inteligencia en el mundo no pueden detener los ataques dirigidos a la infraestructura crítica y sensible si continuamos manteniendo un modelo de computación o red de cáscara de huevo y confiamos en la detección reactiva para prevenir el daño.

Andrew Weir, de Cirrus Networks, sugiere que "como defensor, acertar con las mitigaciones básicas puede ahorrar mucho daño más adelante. Como parte interesada en la seguridad de su organización, no puede permitir el lujo de ser complaciente y debe considerar la construcción de capas coherentes de defensa de las TIC. Comprender cómo funcionan sus aplicaciones y minimizar la superficie de ataque a través de la segmentación reduce significativamente las opciones y el alcance disponibles para un atacante cuando logra violar una capa de sus defensas".

La microsegmentación es simplemente la aplicación del principio de confianza cero de "privilegio mínimo", negando de forma predeterminada el tráfico de máquina a máquina y de aplicación a aplicación dentro de un centro de datos (o el tráfico de computadora portátil a computadora portátil, de estación de trabajo a estación de trabajo en el espacio del cliente o empleado) que no fue autorizado explícitamente. La planeación más allá de un evento de violación cambia la mentalidad a una de asumir que ocurrirá una infracción, pero evitando que el compromiso de un sistema se propague a cualquier otro. Dicho de otra manera, practicar el principio de mínimo privilegio garantiza que el malware malicioso o un mal actor acceda al menor número de sistemas posible aplicando el mismo enfoque de confianza dentro de nuestro entorno que fuera de él. El compromiso se detiene con el primer sistema del que se apodera, ya que no puede extender a ningún otro lugar.

Con la evolución de la tecnología de segmentación lejos de las formas tradicionales, complejas, costosas y dependientes de la infraestructura de firewalls, SDN, EDR y NAC, ahora es posible frustrar u oponer significativamente a los atacantes mediante el aislamiento y la contención de aplicaciones y la protección de equipos emitidos por la compañía.

Nuestro reciente reporte con Bishop Fox no solo destacó la eficacia de la microsegmentación como control de seguridad, sino que también descubrió cambios forzados en el comportamiento detrás de las estrategias de ataque que, sin conocimiento interno, pueden no ser posibles. La microsegmentación elevó los niveles de resistencia y detección a un grado que puede significar que las partes menos motivadas simplemente se rendirían y desviarían la atención hacia objetivos más fáciles. El reporte también destacó que el nivel de detección a través de una solución de microsegmentación efectiva aumenta significativamente la eficiencia de la detección y la respuesta a incidentes, lo que permite un enfoque de "contener primero, hacer preguntas después" para mantenerlo alejado de los titulares.

La microsegmentación ya no es una característica emergente o una solución de nicho disponible solo para aquellos lo suficientemente grandes y maduros. Debe considerar una capacidad fundamental y esencial tanto para la agilidad de las redes como para la seguridad de la información en la actualidad. Como afirma Forrester, uno de los principales defensores y definidores de un marco de Zero Trust, en The Forrester Wave™: Zero Trust eXtendeD (ZTX) Ecosystem Platform Providers, Q4 2019, "ahora no hay excusa para no habilitar la microsegmentación para cualquier compañía o infraestructura. Ya no es una cuestión de si puedes hacerlo".

Weir de Cirrus Networks también enfatizó la necesidad continua de soluciones de seguridad para facilitar DevSecOps e impulsar la simplicidad y la automatización: "Durante mucho tiempo dedicamos un esfuerzo significativo a agregar herramientas y procesos manuales sobre las aplicaciones en un esfuerzo por protegerlas. Estos esfuerzos, a menudo realizados de forma aislada de los propietarios de la aplicación, significan que los errores de configuración y pérdida de traducción agregan costos y tiempo a la implementación de la aplicación. Como profesionales de la seguridad de la información, deberíamos crear barreras de seguridad automatizadas y escalables para nuestros equipos de aplicaciones que puedan consumir en tiempo real a medida que se implementan. Las organizaciones que incorporan seguridad de manera efectiva en sus canales de implementación verán equipos más rápidos y productivos con una mentalidad de seguridad primero".

Con el aumento de los ataques rápidos y extremadamente destructivos como el ransomware que pueden derribar la infraestructura de TI global de las compañías en minutos, y la mayor presión e interés de los ciberdelincuentes y los estados nacionales sobre las agencias gubernamentales, la capacidad de contener la propagación de cualquier ataque no podría ser más urgente, y la oportunidad de hacerlo es más accesible que nunca.

Por lo tanto, permitamos que los equipos de seguridad se reenfoquen y midan el éxito de su práctica lejos de mantener alejados a los malos, a asumir una violación pero haciendo que sea significativamente más difícil ser poseído.

¿Listo para ver los beneficios de la microsegmentación? Registrar para una prueba gratis de 30 días hoy.