La infraestructura crítica resiliente comienza con la confianza cero

Este artículo fue publicado originalmente el MeriTalk el 30de junio de 2022.

Desde la violación de Colonial Pipeline hasta el ataque de ransomware JBS, el año pasado nos demostró que los ataques cibernéticos a la infraestructura crítica de EE. UU. son más implacables, sofisticados e impactantes que nunca, y con demasiada frecuencia amenazan la estabilidad económica y el bienestar de los ciudadanos estadounidenses.

Debido a esto, la protección de la infraestructura crítica sigue siendo un enfoque principal para el gobierno federal. La Orden Ejecutiva de 2021 de la Administración Biden sobre la Mejora de la Ciberseguridad de la Nación (EO) estableció mandatos y requisitos de seguridad específicos que las agencias deben cumplir antes del año fiscal 2024 para reforzar la resiliencia organizacional y de la cadena de suministro. Un componente crítico que la OE articuló específicamente es el avance hacia una arquitectura de confianza cero, una metodología de ciberseguridad introducida por primera vez hace casi una década y basada en los principios de "privilegio mínimo" y "asumir infracción".

En marzo de 2022, el presidente Biden reafirmó la OE de 2021 con su "Declaración... sobre la ciberseguridad de nuestra nación", señalando nuevamente a Zero Trust como una mejor práctica de ciberseguridad a medida que EE. UU. busca mejorar la ciberseguridad nacional y reforzar la resiliencia nacional a raíz de un conflicto global emergente. Además, la Ley de Notificación de Incidentes Cibernéticos para Infraestructura Crítica de 2022 , promulgada en marzo de 2022, requerirá que los operadores de infraestructura del sector privado informen al gobierno sobre incidentes cibernéticos y pagos de ransomware, lo que impulsará el enfoque de EE. UU. en la protección de la infraestructura crítica.

Adoptar la "brecha asumida"

Para reforzar los esfuerzos de resiliencia en curso, las organizaciones del gobierno federal y la industria privada deben comenzar a adoptar un enfoque proactivo de la ciberseguridad. Esto comienza con repensar la forma en que abordamos fundamentalmente la seguridad.

La transformación digital amplió significativamente la superficie de ataque. Hoy en día, la arquitectura de TI moderna es cada vez más una combinación híbrida de nubes locales, públicas y multinubes, lo que abre nuevas puertas para que los atacantes no solo obtengan acceso, sino que también se muevan a través de entornos con facilidad. A medida que la frecuencia y la gravedad de las infracciones continúan aumentando, nuestra industria está adoptando rápidamente una mentalidad de "asumir infracción", un entendimiento de que incluso con las mejores tecnologías preventivas y de detección rápida, las infracciones ocurrirán .

Piense en los recientes cambios de la industria de la ciberseguridad de esta manera: la primera era de la seguridad se centró únicamente en la protección. En un centro de datos local amurallado, la atención se centró en la seguridad perimetral: construir un muro digital y mantener alejados a los malos. Hace aproximadamente una década, una ola de brechas de alto perfil nos despertó al hecho de que un muro no puede mantener a los malos fuera por completo. A partir de ahí, el enfoque cambió de la seguridad solo en el perímetro a la segunda era de seguridad de detección y respuesta rápidas: encontrar al malo rápidamente luego de escalar el muro.

Ahora estamos en la tercera ola de seguridad: Centrar en la contención y la mitigación. Aquí es donde las capacidades de Zero Trust como la segmentación de Zero Trust (es decir, la microsegmentación) pueden ayudar. Por ejemplo, en el caso de que los malos actores obtengan acceso a una agencia federal, la segmentación de confianza cero puede ayudar a limitar su impacto al contener la intrusión en un solo sistema comprometido, lo que limita enormemente el acceso a datos confidenciales.

De hecho, según un estudio reciente de ESG, las organizaciones que aprovechan la segmentación de confianza cero tienen 2,1 veces más probabilidades de evitar una interrupción crítica durante un ataque en los últimos 24 meses, ahorraron 20,1 millones de dólares en el costo anual del tiempo de inactividad y evitaron cinco ciberdesastres al año.

Volviendo a lo básico

Dado que los ataques cibernéticos desgarradores siguen siendo la norma, nunca fue más esencial que las organizaciones de infraestructura crítica prioricen la práctica y el mantenimiento de una higiene de ciberseguridad adecuada. La higiene cibernética no es nada revolucionario: se trata de adoptar y poner en práctica los conceptos básicos, día tras día.

En 2021, la Casa Blanca emitió un memorándum en el que se describían las mejores prácticas clave para las organizaciones que buscan proteger contra los ataques de ransomware en curso: cerciorar de hacer una copia de seguridad de sus datos, parchee cuando se le indique que lo haga, pruebe sus planes de respuesta a incidentes, verifique el trabajo de su equipo (es decir, tenga en cuenta el error humano) y segmente sus redes, cargas de trabajo y aplicaciones en consecuencia.

Con los conceptos básicos de ciberseguridad adecuados, las agencias federales están mejor posicionadas para expandir los esfuerzos de resiliencia en curso, como acelerar sus viajes de Zero Trust.

La creación de resiliencia comienza ahora

Al final, priorizar enfoques de ciberseguridad proactivos y preventivos como Zero Trust, y exigirlos a nivel nacional, tendrá beneficios positivos a largo plazo en la postura de seguridad y la resiliencia general de la nación. Pero una buena higiene de ciberseguridad y la construcción de una resiliencia real es un esfuerzo continuo. Es importante comenzar poco a poco. Por ejemplo, comience por segmentar sus activos más críticos lejos de los sistemas heredados. De esa manera, si se produce una infracción, no puede extender a través de su arquitectura híbrida para llegar a la información de misión crítica. A partir de ahí, puede pasar a compañías de resiliencia más grandes y amplias.

Pero como con cualquier objetivo, es importante no hacer que lo "perfecto" sea enemigo de lo bueno. En otras palabras, no tener un plan perfecto no debería ser una barrera para comenzar en algún lugar. Lo importante es comenzar hoy. Los malos actores están evolucionando, emergiendo y ahora cambiando de marca, y cualquier práctica de higiene de ciberseguridad (grande o pequeña) ayuda a mejorar la resiliencia organizacional. Al final, especialmente cuando se trata de operaciones del sector gubernamental, todos somos tan fuertes como el eslabón más débil de nuestra cadena de suministro.

Recuerde "asumir una infracción", poner en práctica los conceptos básicos y priorizar la protección de su infraestructura más crítica con controles de seguridad confiable cero primero.