.png)
Por qué la detección de amenazas necesita segmentación de confianza cero
Este artículo fue publicado originalmente el channelfutures.com.
Durante la última década, la ciberseguridad se volvió infinitamente más compleja. En consecuencia, muchas organizaciones recurrieron a proveedores de servicios de seguridad gestionados (MSSP) para ayudar a protegerlos. Hasta ahora, su enfoque estuvo casi por completo en la detección y respuesta de amenazas, pero esa decisión tuvo algunas consecuencias negativas no deseadas.
Para la mayoría de las organizaciones, comerciales, sin fines de lucro o del sector gubernamental, la ciberseguridad no es una competencia central. Es por eso que muchos subcontrataron parte o la totalidad a un MSSP. Y esa subcontratación no solo incluye operaciones de seguridad; A menudo es toda la función de ciberseguridad, incluidas las compras y la planeación estratégica.
Cuando el cliente de un MSSP tiene una violación de seguridad de alto perfil, como un ataque de ransomware generalizado, las conversaciones resultantes no son agradables. La razón por la que una compañía subcontrata su función de seguridad a un MSSP es para evitar esos resultados y la publicidad, el costo y el daño a la marca.
AI: ¿Panacea o una herramienta que necesita ayuda?
Muchos proveedores convencieron a las organizaciones de que la respuesta a sus oraciones es la detección de amenazas basada en IA. Se les hizo creer que si gastan suficiente dinero en IA, atraparán a esos atacantes ultra astutos. Cayeron en una madriguera de conejo de detección basada en IA, pero los resultados que esperaban no se materializaron. No sucedieron.
Si bien estoy de acuerdo en que la detección de amenazas basada en IA es un gran paso adelante para nuestra industria, necesita algo de ayuda para hacer el trabajo. Ingrese a la segmentación de Zero Trust.
Si presegmenta la red antes de ir a la caza de amenazas, la tarea de detección, ya sea asistida por IA o no, se vuelve mucho más simple y rápida. Reduce el tamaño de la superficie de ataque donde necesita buscar amenazas. La segmentación preventiva elimina muchas de las vías que de otro modo permitirían a los atacantes mover lateralmente a través de la red interna.
La metáfora que empleo es que en lugar de buscar una aguja en un pajar grande y complejo, creas muchos micro pajares. Luego, sus herramientas pueden mirar dentro de estos micro pajares en paralelo, por lo que es probable que encuentre esa aguja mucho antes.
Lo que un barco puede mostrarnos sobre la segmentación
Hace años, en mi primera asignación de servicio activo como guardiamarina de la Marina de los EE. UU., Abordé el USS McCloy, cuya misión principal era cazar, detectar y disuadir a los submarinos enemigos frente a la costa de los EE. UU. Acababa de terminar mi primer año de universidad como estudiante de ingeniería eléctrica y me estaba capacitando para convertirme en oficial de la Marina de los EE. UU. No podía esperar para aprender sobre la sofisticada tecnología de detección de submarinos enemigos de la Marina y conocer a los miembros del equipo de detección de amenazas de élite de McCloy.
Entonces, imagina mi sorpresa el primer día cuando me entregaron algunas llaves y destornilladores, me emparejaron con un colega de tripulación y me asignaron la tarea de cerciorarme de que las aproximadamente 30 "escotillas" de acero (también conocidas como puertas) del McCloy tuvieran forma de barco. Y si no lo eran, hacer reparaciones. ¡Demasiado para ayudar a mis colegas de barco a cazar adversarios maliciosos!
Mientras realizaba mi misión, pensé en la frase "cerrar las escotillas". Se originó enel siglo XIX cuando, al comienzo de una gran tormenta u otro riesgo de brecha de agua, los capitanes de los barcos ordenaban a su tripulación que cerrara todas las puertas del barco y bloqueara esas puertas con varillas de madera o "listones". Hoy en día, esta frase es una metáfora de la sabiduría de tomar medidas inmediatas y decisivas al inicio de cualquier riesgo importante.
Llegué a apreciar que todos los expertos en tecnología y caza de amenazas de élite de McCloy correrían el riesgo de fallar en su misión si las escotillas de McCloy no estuvieran allí para protegerlos. Gracias a la arquitectura de segmentación incorporada del McCloy y al buen funcionamiento de las escotillas, una brecha en el casco no se convertiría en una propagación lateral de agua de corredor a corredor y de habitación en habitación, hundiendo el barco.
El equivalente cibernético de cerrar las escotillas
En la película de 1990 "La caza del Octubre Rojo", el Octubre Rojo era un submarino ruso con la tecnología más avanzada para evitar la detección. En el equivalente cibernético de hoy, no estamos buscando submarinos escurridizos, sino ciberadversarios cada vez más sigilosos y sofisticados en redes electrónicas.
Los cazadores de amenazas cibernéticas deben segmentar sus redes con "escotillas" electrónicas para evitar el movimiento lateral de las intrusiones. Si tiene una brecha en su red, no desea que el malware o el ransomware se propaguen, por lo que debe dividir la red en compartimentos individuales que funcionen como barreras.
La segmentación es una herramienta de seguridad, además de la detección y respuesta gestionadas (MDR), que los MSSP pueden ofrecer como servicio, Zero Trust Segmentation como servicio.
En mi próximo blog, explicaré con más detalle por qué la segmentación (y, más específicamente, la segmentación basada en host) es un complemento perfecto para una detección y respuesta gestionadas estables. No solo es bueno para los clientes de MSSP, sino también para el MSSP.
.webp)