LANZAMIENTO.

Esta fue la orden automática emitida por Oko, el sistema soviético de alerta nuclear temprana, el 26 de septiembre de 1983. Sonaron las sirenas. Las pantallas parpadeaban. La advertencia era clara: Estados Unidos había lanzado un ataque nuclear.

Escondido en un búnker cerca de Moscú, el teniente coronel Stanislav Petrov tenía que tomar una decisión. El protocolo decía que había que informar de la alerta. Esto permitiría a los soviéticos lanzar un contraataque inmediato, que inevitablemente sumiría al mundo en una guerra nuclear. Pero Petrov ayudó a codificar el software y sabía que era defectuoso. Eligió reiniciar el sistema.

Las alertas continuaron.

Aun así, Petrov no lo denunció. No había pruebas de un ataque nuclear, así que lo consideró una falsa alarma. Lo archivó como un fallo del sistema y no se lanzó ningún contraataque. Por esto, se le ha llamado "el hombre que salvó el mundo". (Al final, la alerta errónea se atribuyó a la luz solar reflejada en nubes a gran altitud).

La historia de Petrov es un poderoso recordatorio de la importancia del juicio humano en situaciones críticas. Cuando hay mucho en juego, confiar únicamente en la automatización puede conducir a resultados desastrosos. En ciberseguridad se aplica el mismo principio. Las herramientas automatizadas tienen su lugar, pero la experiencia práctica proporciona contexto e impulsa una ciberresiliencia eficaz.

La ventaja humana en la ciberresiliencia

Las evaluaciones automatizadas se basan en reglas predefinidas, lo que significa que sólo pueden encontrar lo que están programadas para detectar. Los ciberatacantes, por supuesto, no siguen ninguna regla. Se adaptan, innovan y aprovechan las lagunas que las herramientas pueden no reconocer. Precisamente por eso, los análisis automatizados por sí solos tienden a quedarse cortos.

Las revisiones manuales aportan una visión humana, centrándose en las interconexiones únicas de sus controles técnicos. Este enfoque en profundidad (que llamamos "shoulder-surfing") no es un ejercicio de cumplimiento o de política. Se trata de una revisión exhaustiva de sus controles y configuraciones reales que también le compara con el comportamiento más reciente de los actores de amenazas.

Lo que se pierden las herramientas automatizadas

Los escaneos automatizados son estupendos para ejecutar una lista de comprobación, pero se pierden la pieza más importante del rompecabezas: el contexto de la violación.

Considere una configuración errónea marcada como de "bajo riesgo" por una herramienta automatizada. Si no se sabe cómo interactúa esta configuración errónea con otros sistemas o cómo pueden aprovecharla actualmente los actores de amenazas, se está actuando con anteojeras. Estas herramientas se basan en vulnerabilidades y amenazas conocidas. No pueden pensar como los atacantes. Sin embargo, en una sesión de shoulder-surfing, los expertos en seguridad revisan las configuraciones teniendo en cuenta la capacidad de recuperación. Pueden evaluar el problema en sí, cómo encaja en el panorama más amplio de la seguridad, y traducir todos estos datos en inteligencia procesable, incluida la determinación de la secuencia correcta de acciones. El contexto de las brechas es dinámico y requiere no sólo actualizaciones constantes de la inteligencia, sino también su interpretación.

Las herramientas automatizadas no son buenas fuentes de datos sobre el contexto de las violaciones. Las revelaciones públicas pueden dar alguna idea de las amenazas emergentes, pero los actores de las amenazas se adaptan rápidamente, y la mayoría de los datos críticos de las violaciones permanecen bajo llave por los abogados, inaccesibles a los análisis automatizados.

¿Cómo puede orquestar sus copias de seguridad para evitar que un actor de amenazas las destruya sin estos datos? ¿Cómo puede reducir la probabilidad de destrucción masiva? Necesita un ser humano con experiencia en la materia que le guíe a través de una revisión manual de cada panel de control, panel de administrador y configuración.

Las herramientas son tan buenas como los datos que reciben. No pueden anticiparse a lo desconocido ni informarle sobre un nuevo vector de ataque que un cliente descubrió ayer. Las revisiones prácticas, combinadas con el análisis de expertos, proporcionan el contexto necesario de la violación y ayudan a crear una hoja de ruta priorizada y procesable para la corrección.

Ciberresiliencia más sólida con revisiones humanas

Las políticas y las herramientas automatizadas no detienen el ransomware. Es necesario pensar a la inversa y resolver el objetivo final del atacante. Las revisiones manuales le permiten examinar su infraestructura como lo haría un ciberatacante. Obtendrá información valiosa sobre los fallos de sus configuraciones actuales, desde el punto de vista del contexto de la filtración, con una reflexión adicional sobre cómo podrían aprovecharse estas configuraciones en una filtración.

Tener acceso a información actualizada sobre amenazas es fundamental para organizar las copias de seguridad y los controles asociados en consecuencia (y con regularidad). La realidad es que su seguridad depende de que sus controles de copia de seguridad sean seguros, redundantes, inmutables y estén alineados con las estrategias actuales de los actores de amenazas. Por desgracia, según nuestra información, el 80% de los sistemas críticos no sobreviven a los ataques. Del 20% que sobrevive, sólo la mitad podrá utilizarse en un plazo de tiempo realista. Todos los sistemas deben ajustarse a la luz de las tácticas ofensivas a las que se enfrentan.

Así que la pregunta es: ¿Cuándo fue la última vez que sus herramientas automatizadas fueron parcheadas o actualizadas? ¿Y cuál es su tolerancia al riesgo de confiar en herramientas que pueden no seguir el ritmo de los cambios en el panorama de las amenazas?

Las herramientas automatizadas son valiosas, pero si se toma en serio la seguridad de su organización, las revisiones manuales de las configuraciones y controles de las herramientas son esenciales para garantizar que no se pasa nada por alto. La evolución del ataque requiere la evolución de la defensa.

¿Quiere saber más sobre el shoulder-surfing y cómo proteger sus redes de las amenazas? Póngase en contacto con nosotros hoy mismo para hablar con uno de nuestros expertos en ciberresiliencia.