Transformar el dilema del defensor en la ventaja del defensor
La idea de que los defensores de la ciberseguridad están en desventaja inherente (el llamado dilema del defensor) es incorrecta y contraproducente. En lugar de centrarnos únicamente en cómo respondemos a las tácticas de los atacantes, podemos identificar y utilizar las ventajas inherentes a nuestra posición como defensores. Este artículo explica qué implica una mentalidad orientada al defensor y cómo puede ayudarle a fortalecer su programa de seguridad.
¿Cuál es el dilema del defensor?
Durante muchos años, los profesionales de la seguridad han utilizado el “dilema del defensor” para afirmar que estamos en desventaja a la hora de proteger a las empresas de los ciberataques. Es algo así como esto:
“Los defensores están en desventaja porque nosotros debemos tener razón todo el tiempo, pero el atacante necesita tener razón solo una vez”.
Según esta perspectiva, los defensores deben distribuir su atención entre todas las posibles rutas de ataque y protegerse de todas ellas. Debemos tomar decisiones difíciles sobre en qué rutas de ataque centrarnos (este es el dilema), lo que nos pone en desventaja. Nuestra desventaja también se debe, presumiblemente, a la necesidad de responder a todos los ataques en todos los frentes, lo que significa que a veces nos perderemos un ataque.
La idea del dilema del defensor no sólo es desmoralizante, sino también incorrecta. Los defensores pueden obtener una ventaja sobre los atacantes. Analicemos esto.
La locura del dilema del defensor
El dilema del defensor es una tontería en parte porque simplifica en exceso la complejidad de los ciberataques. Marco MITRE ATT&CKque ilustra el proceso de varios pasos que deben seguir los atacantes para lograr sus objetivos. Según ATT&CK, los atacantes suelen comenzar con el reconocimiento, avanzar hasta el desarrollo de recursos, luego el acceso inicial y, a partir de allí, deben superar varias etapas adicionales para lograr su objetivo.
El atacante debe completar cada etapa con éxito para cumplir su misión. Es suficiente que el defensor interfiera en un solo paso de esa cadena para frustrar el ataque, lo que requiere que el atacante ajuste sus tácticas. El veterano de la industria Richard Bejtlich Observé esto en 2009. En el contexto de la detección de intrusos, acuñó el término “el dilema del intruso”. Señaló:
“Defender solo necesita detectar uno de los indicadores de la presencia del intruso para iniciar la respuesta al incidente dentro de la empresa”.
David J. Bianco, otro respetado profesional en ciberseguridad, Ampliamos esta idea en 2023 y propuso el término “el dilema del atacante”. Además de señalar que “los atacantes tienen que hacer todo bien durante todo el ciclo de vida del ataque”, señaló que:
“Los atacantes suelen actuar con un conocimiento imperfecto de su entorno”.
Nuestra fuerza inherentela ventaja del defensor–es nuestra capacidad de desarrollar una mejor comprensión de nuestro entorno que la de los atacantes. Con cierta previsión y planificación, podemos crear una arquitectura de seguridad que cambie la forma en que interactuamos con los atacantes.
Ganando la ventaja del defensor
El dilema del defensor supone que los defensores esperan que se produzcan los ataques y luego responden. Esta postura reactiva permite a los atacantes definir los términos del ataque y coloca a los defensores en la posición de estar siempre tratando de ponerse al día. En un intento por cambiar esta dinámica, los analistas del sector destacan la necesidad de que los defensores practiquen una “seguridad proactiva”. Eric Parizo de Omdia utiliza este término Alentar a las empresas a:
“Busque y mitigue las posibles amenazas y condiciones de amenaza antes de que representen un peligro para el entorno de TI extendido”.
Según Erik Nost de Forrester, Practicar la seguridad proactiva significa Controlar la postura de seguridad y reducir las infracciones mediante una sólida visibilidad, priorización y reparación. Este proceso comienza con una comprensión sólida de nuestro entorno para que sepamos qué recursos proteger y qué debilidades de seguridad abordar.
El conocimiento del terreno no es exclusivo de la ciberseguridad; el concepto se aplica a atacantes y defensores en una variedad de campos, incluido el propio campo de batalla a lo largo de la historia. Por ejemplo, durante la Batalla de Azincourt En 1450, los ingleses se situaron en un campo estrecho rodeado de bosques, acorralando a los caballeros franceses en un espacio reducido. Al reducir el frente, el ejército inglés derrotó a una fuerza francesa mucho mayor.
Al igual que en la Batalla de Agincourt, crear un punto de estrangulamiento en las defensas de ciberseguridad, como lo han hecho históricamente los defensores, es una forma de establecer la ventaja del defensor. Por ejemplo, canalizar los inicios de sesión de SaaS a través de un proveedor de inicio de sesión único (SSO) permite a las organizaciones aplicar medidas de seguridad confiables, como la autenticación de dos factores y la detección de anomalías. El SSO obliga a los atacantes a perseguir a los objetivos de SaaS a través de un punto de estrangulamiento controlado por los defensores, lo que los pone en desventaja.
En términos más generales, para obtener la ventaja del defensor, deberíamos:
- Entender nuestro entorno: Mantenga un inventario actualizado de todos los activos, incluidos hardware, software, plataformas SaaS y cuentas de usuario. Comprenda el propósito comercial de cada recurso. Este paso fundamental nos permite saber exactamente qué necesita protección y dónde podrían estar las posibles mejoras de seguridad.
- Minimizar la superficie de ataque: Aplique parches periódicamente al software vulnerable, apague los sistemas innecesarios, deshabilite o desactive los servicios innecesarios y aplique el inicio de sesión único para reducir los puntos de entrada. Estas acciones reducen en conjunto la cantidad de posibles vectores de ataque.
- Priorizar la remediación teniendo en cuenta el contexto: Evalúe el riesgo de cada vulnerabilidad en función de la criticidad del sistema, los procesos empresariales y la sensibilidad. Concéntrese en abordar primero los riesgos más importantes. Este enfoque específico garantiza que los recursos se asignen de manera eficaz para abordar las áreas de mayor prioridad.
- Remediar de forma mesurada: Desarrollar y ejecutar un plan de remediación, realizando cambios de forma controlada y práctica. Monitorear el progreso y la eficacia de las iniciativas de remediación, utilizando métricas para realizar un seguimiento de las mejoras e intervenir si es necesario. Esto garantiza que los proyectos de mejora de la seguridad logren los resultados esperados.
Para obtener la ventaja del defensor, comience por conocer a fondo su entorno, lo que le permitirá identificar y mitigar las debilidades, implementar medidas de respuesta automatizadas y diseñar una arquitectura que canalice los ataques hacia los aspectos bien fortificados de su entorno. Minimice las oportunidades de rutas de ataque reduciendo la superficie de ataque y priorizando las oportunidades de mejora de la seguridad. Supervise los esfuerzos de remediación para garantizar el progreso. Cambie la ventaja del atacante pasando de una mentalidad reactiva a una proactiva.
Actualizado 15 de agosto de 2024
Lenny Zeltser