Los profesionales de la ciberseguridad suelen culpar al usuario final de ser la principal área de riesgo para la seguridad de la organización. En muchos sentidos, esto es comprensible. Los sistemas y el software están bajo nuestro control, pero los usuarios finales son impredecibles. Amplían nuestra superficie de amenazas a cada usuario geográficamente disperso, dispositivo personal, y su potencial para cometer errores que afectan a nuestra seguridad.

Es obvio que los actores de amenazas se dirigen a nuestros usuarios con malos resultados en el mundo real. Pero lo que también es obvio es que no podemos entrenar para salir de este problema. Las empresas de la lista Fortune 100 realizan importantes inversiones en la formación anual de los usuarios en materia de seguridad y, aun así, sufren infracciones. Por tanto, centrarse principalmente en proteger al usuario final no es una estrategia eficaz.

Realidad: sus usuarios son un factor de riesgo importante: según Informe de Verizon sobre investigaciones y fugas de datos en 2022el 35% de las infecciones de ransomware comenzaron con un correo electrónico de phishing. Dato: esto ocurre a pesar de las inversiones agresivamente crecientes en formación de concienciación de seguridad durante muchos años, que se espera que continúe- El mercado de formación de concienciación de ciberseguridad se prevé que crezca de 1.854,9 millones de USD en 2022 a 12.140,0 millones de USD en 2027 y una CAGR del 45,6% de 2022 a 2027. Dato: A pesar de todas estas inversiones, el ransomware (solo como ejemplo de un tipo de ataque) también se espera que crezca agresivamentea pesar de los esfuerzos de las organizaciones, incluida la formación de los usuarios finales. Un hecho triste e inevitable: nuestros usuarios seguirán cometiendo errores; al fin y al cabo, todos somos humanos. Una encuesta realizada para demostrar la necesidad de más formación en seguridad, en mi opinión, demostró su incapacidad para detener la crisis cibernética: cuatro de cada cinco encuestados habían recibido formación de concienciación en seguridad; entre el 26% y el 44% (en función de la edad demográfica) siguieron haciendo clic en enlaces y archivos adjuntos de remitentes desconocidos de todos modos. A partir de estos hechos, debemos concluir que la seguridad de las organizaciones no debe depender en gran medida de la seguridad del usuario final y, de hecho, debe asumir que serán violadas y comenzar a asegurar los sistemas con esta suposición en mente. "Entrenar y rezar" no funciona. Y, al final, incluso si un usuario final es violado, la cantidad de daño sistémico que se hace por ese compromiso no debería ser posible si se emplean las medidas de seguridad adecuadas y se orquestan correctamente.

¿Debemos formar a nuestros usuarios finales? Rotundamente, sí. Una seguridad sólida requiere un enfoque estratificado, lo que significa reforzar la seguridad trabajando para proteger todas las puertas de acceso a los sistemas de la organización. Es probable que sin esta formación se produjeran aún más infracciones graves. Pero debemos empezar a considerar nuestra seguridad de una manera que ayude a eliminar el riesgo del usuario final de la ecuación sin depender de ellos para hacer el trabajo pesado. Para muchas organizaciones, esto requiere algunas decisiones difíciles y un respaldo significativo de liderazgo a estas decisiones.

¿Cómo podemos reducir el riesgo de los usuarios?

Las organizaciones deben trabajar para bloquear el acceso y orquestar los controles de seguridad. Los sistemas son demasiado abiertos por defecto; debemos hacer que sean cerrados por defecto, evaluar cada uno de ellos en función del riesgo y, a continuación, permitirlos con toda intencionalidad. Los usuarios no pueden hacer clic o abrir aquello a lo que no tienen acceso, y en las organizaciones que evaluamos o reparamos tras una infracción, vemos que los empleados y los sistemas tienen mucho más acceso y exposición al riesgo de lo que es necesario en el curso del trabajo. Las empresas deben reforzar la orquestación de la seguridad a través de sus empleados, procesos y tecnología para que, en caso de que un agente de la amenaza obtenga acceso a través de un clic indebido (o a través de cualquier otro vector), existan controles diseñados para detener el movimiento lateral del agente de la amenaza y la recolección/escalada de credenciales. He aquí algunas medidas concretas que las organizaciones pueden adoptar para eliminar el riesgo para el usuario final:

Bloquea el acceso a cuentas de correo personales: No se debe permitir a los usuarios acceder a su correo electrónico personal o a las redes sociales desde los dispositivos de trabajo. El correo electrónico personal no está protegido por los filtros de correo electrónico corporativo, pero es un objetivo importante de los actores de amenazas; las redes sociales son otro factor de riesgo innecesario que debe cerrarse por defecto.

Filtre el tráfico HTTPS con inspección profunda de paquetes: Más del 80% de Internet y el 90% del mando y control están cifrados; si una organización no realiza una inspección profunda de paquetes del tráfico HTTPS saliente (y la mayoría no lo hace), se está perdiendo la mayor parte de Internet y de la actividad de los actores de amenazas, por lo que los cortafuegos y los filtros web básicamente no están haciendo nada.

Bloquea por defecto todos los puertos de salida aparte de HTTP (80) y HTTPS (443) en las subredes/VLAN de usuario: Los usuarios no deberían poder acceder a Internet a través de otros puertos que no sean los necesarios para navegar. Obviamente, hay algunas aplicaciones de la organización que requieren otros puertos a Internet además de los puertos 80 y 443; sin embargo, estos puertos deben abrirse por excepción sólo con los ámbitos de origen, puerto y destino -cuando sea posible, inspeccionados intensivamente por el control perimetral.

Bloquee por defecto el acceso a Internet a subredes/VLAN que no sean de usuario: Los servidores y las redes de gestión/administración e impresoras, por ejemplo, no deberían tener acceso a Internet en ningún puerto o protocolo. Estas redes sólo deberían poder acceder a Internet a través de los puertos específicos necesarios para las aplicaciones que se ejecutan en ellas. Todos los puertos y protocolos deben bloquearse por defecto y permitirse selectivamente sólo cuando sea necesario para las funciones de la aplicación.

Exija que todo el tráfico de los usuarios se inspeccione y filtre en todo momento, independientemente de la ubicación del punto final: A menudo, el tráfico de los usuarios no se inspecciona con el mismo nivel de intensidad cuando el usuario está trabajando desde casa (o una cafetería). Por lo tanto, la organización debe implantar controles para obligar a que todo el tráfico de los usuarios pase por los mismos filtros e inspecciones, independientemente de dónde se desplace.

No se debe poder acceder a las aplicaciones desde dispositivos no aprobados con credenciales correctas y sin MFA, independientemente de la red: Los usuarios no deben poder acceder a las aplicaciones proporcionadas por la organización sin estar en dispositivos aprobados por la organización con credenciales correctas y MFA. Se debe exigir a los usuarios que presenten credenciales y MFA, interna y externamente, al menos una vez al día, es decir, los tokens de sesión deben caducar al menos una vez al día (preferiblemente a diario).

Impida el acceso a todos los sistemas de intercambio de archivos y bóvedas de contraseñas que no estén aprobados por TI: Los actores de amenazas suelen utilizar sistemas comunes de intercambio de archivos para filtrar datos, y las bóvedas de contraseñas basadas en la nube son un tesoro para los hackers. El departamento de TI debe elegir sistemas aprobados y comprobados en materia de seguridad y rechazar todos los demás. Esto debería convertirse en un paradigma operativo de la organización: "Elige una herramienta y bloquea todas las demás".

Comience a activar las funciones de seguridad (no dé por sentado que la configuración predeterminada le mantendrá seguro): Las herramientas y plataformas de seguridad, como los cortafuegos y la detección y respuesta de puntos finales (EDR), vienen con muchas funciones de seguridad que no están activadas (o son demasiado abiertas) en su configuración predeterminada. Por ejemplo, muchos cortafuegos modernos pueden impedir muchos de los métodos utilizados por los actores de amenazas; sin embargo, las funciones del cortafuegos rara vez están todas activadas. A menudo permiten TODOS los puertos TCP/UDP salientes por defecto; sin embargo, la mayoría de los usuarios sólo necesitan los puertos TCP 80 (HTTP) y TCP 443 (HTTPS). Los actores de amenazas utilizan esto en su beneficio: este es otro ejemplo en el que cada sistema debe evaluarse y bloquearse o permitirse de forma selectiva e intencionada en función de las necesidades.

Las herramientas EDR también ofrecen sólidas capacidades de protección; sin embargo, las organizaciones no suelen activar todas las funciones de estas aplicaciones para sacar el máximo partido a la inversión. Además, a menudo no complementan estas soluciones con otros controles apilados a pesar de que la propia documentación de estas empresas así lo aconseja.

Los obstáculos de este enfoque

Hay varias razones por las que el nivel de bloqueo y orquestación no se está haciendo al nivel requerido hoy en día y, en su lugar, los usuarios están cargando con la mayor parte de la responsabilidad de las infracciones. En primer lugar, puede resultar impopular para los usuarios (y la dirección): el bloqueo del acceso a sitios personales, la limitación del acceso a plataformas favoritas y la ralentización del acceso a los sistemas provocada por el filtrado/inspección pueden provocar el descontento de los usuarios. Además, la dirección prevé y teme este descontento de los usuarios. Algunas de las herramientas necesarias también son costosas. Pero se trata de un ejercicio educativo, que requiere la aceptación a nivel ejecutivo de la organización.

El departamento de TI debe expresar tanto los problemas como las soluciones en términos que los líderes puedan escuchar y comprender. Deben ser capaces de presentar los riesgos reales y los resultados del fracaso a su nivel C y a los consejos de administración, para que puedan asignarse los controles adecuados y los costes asociados. Los usuarios pueden entonces ser educados sobre por qué estos controles son necesarios desde arriba hacia abajo; así, la educación en seguridad puede pasar a la siguiente evolución de "no haga clic y aquí está el por qué" a "Bloqueamos la mayoría de las cosas por defecto, y aquí está el por qué". O, si después de haber recibido la formación, los líderes siguen optando por no realizar inversiones más agresivas en herramientas y procesos, ahora tienen la piel en el juego, asumiendo personalmente el nivel de riesgo que deciden aceptar para la organización.

A menudo, los equipos de TI también tienen poco personal, demasiado trabajo y están centrados en las operaciones diarias de la empresa. No pueden mitigar riesgos que no ven, educar sobre amenazas que desconocen o habilitar herramientas sobre las que no están formados. No siempre disponen de los datos, los conocimientos cibernéticos específicos o la influencia para bloquear, orquestar u obtener la aceptación necesaria para proteger completamente la empresa. Tampoco están en medio de las brechas a diario, como nosotros, los respondedores a incidentes, que vemos la carnicería. Los equipos que carezcan de esta visibilidad deberían considerar la posibilidad de realizar evaluaciones en profundidad de sus controles, configuraciones y orquestación por parte de empresas cualificadas y expertas (como Athena7). En algunos casos, las organizaciones deberían considerar la posibilidad de recurrir a empresas externas de seguridad gestionada cualificadas, como Grypho5para implantar, organizar, gestionar, supervisar e informar sobre controles específicos, como copias de seguridad, cortafuegos y puntos finales.

Una cosa es cierta: por mucha formación que impartamos, los usuarios siempre cometerán errores. No podemos ni debemos permitir que un solo clic siga poniendo a las organizaciones en un riesgo tan considerable. Es esencial reducir al mínimo las opciones de los usuarios para hacer clic en primer lugar, y luego asegurarse de que, cuando lo hacen, hay muchos controles en capas para interrumpir la progresión de la cadena de ataque.