El panorama de amenazas actual es más grande y rápido que nunca, y la velocidad en la que se explotan brechas no hace nada más que aumentar. Frente a esta peligrosa combinación, las empresas se encuentran con limitaciones en sus enfoques reactivos tradicionales de ciberseguridad, es decir, la táctica de «caza de riesgos y amenazas».
Es común buscar una brecha notificada o elementos maliciosos dentro del entorno y mitigar el daño, pero no podemos perder de vista que el entorno corporativo ya está comprometido y este planteamiento ya no es suficiente. Por ello, necesitamos cambiar la mentalidad de las empresas: hay que pasar de mitigar amenazas en progreso a construir una visión holística de su entorno que identifique áreas de riesgo con antelación.
En ese sentido, las nuevas regulaciones, como NIS2 y DORA, están enfocadas a la prevención y la proactividad en ciberseguridad para identificar, evaluar y mitigar riesgos potenciales antes de que se manifiesten en amenazas concretas. Pero, ¿cómo deberían las empresas implementar mejor un marco de caza de riesgos?
¿En qué áreas de negocio hay que buscar riesgos?
Como industria, hay un gap en lo que se refiere a cómo piensan los ciberdelincuentes y, por lo tanto, qué constituye un riesgo para la empresa. Para cerrarlo, hay que operar a la misma velocidad con la que evolucionan las amenazas para no estar defendiéndose contra ataques antiguos. Las empresas necesitan construir equipos que estén específicamente diseñados para actuar como lo harían los actores de amenazas y probar los límites de las políticas y marcos existentes.
En términos de su alcance, la caza de riesgos no debería enfocarse únicamente en localizar vulnerabilidades digitales, sino también en la resiliencia del negocio frente a un ataque DDOS o si Internet se cae, por ejemplo.
¿Cuál es el mejor enfoque para la caza de riesgos?
Existen numerosas metodologías de caza de riesgos, incluido el uso de analíticas avanzadas, inteligencia de amenazas y técnicas de detección de anomalías. Desde mi perspectiva, la caza de riesgos basada en inteligencia es la forma óptima. A diferencia de la caza de amenazas, que utiliza indicadores de compromiso (IOC) y tácticas, técnicas y procedimientos (TTP), la caza de riesgos utiliza indicadores de ataque (IOA) que ayudan a identificar los TTP utilizados por los actores de amenazas.
Muchas empresas están probando simulaciones digitales de ataques potenciales para comprobar cómo su marco de seguridad resistiría ante ataques de diferentes magnitudes para ajustar sus políticas basadas en inteligencia artificial (IA).
Una caza de riesgos simple
Incluso con los equipos y herramientas apropiados, los departamentos de seguridad se enfrentan a una batalla para entender los datos de riesgo que recolectan. Tanto los CISO como los profesionales de seguridad en general están mal equipados para cazar riesgos porque cuentan con herramientas dispares que producen cantidades abrumadoras de datos desagregados. El proceso actual hace que sea casi imposible digerir y renderizar inteligencia accionable. De hecho, las herramientas de seguridad aisladas y los procesos manuales muestran una imagen incompleta de los riesgos cibernéticos y no ayudan a remediarlos.
Para discernir qué datos son relevantes, los CISO necesitan conectar múltiples herramientas en un marco de solución único que pueda vincular los puntos y cuantificar el riesgo en toda la empresa en un formato visual.
Durante demasiado tiempo, las empresas han tenido una actitud reactiva a los peligros cibernéticos que las rodean. Esto puede deberse a una falta de inversión en soluciones de seguridad o a una falta de comprensión de los actores de amenazas. Con la llegada de NIS2 y DORA, la seguridad toma otra dimensión.
Por tanto, la caza de riesgos no debe detenerse con las regulaciones. Este tipo de auditorías deberían convertirse en parte de un ciclo continuo para los equipos de seguridad con el objetivo de mantenerse por delante de los actores de amenazas y asegurar que su marco de seguridad se adecua en todo momento.