Cerciorar los activos del gobierno australiano en 2020: Parte 2

Considerar alternativas para cerciorar las joyas de la corona de una nación

Aunque la legislación de notificación de infracciones obligatorias se introdujo recientemente en Australia y entrará en vigencia en Nueva Zelanda a fines de este año, los intrusos obtienen acceso de manera regular a datos confidenciales e impactan misiones clave en seguridad pública, finanzas y seguridad nacional. También continúan manipulando datos en campañas políticas, alterando los datos de las instituciones de investigación e impactando la seguridad de la salud pública.

En la primera parte de este serial Securing Australian Government Assets, revisamos los hallazgos recientes del reporte The Commonwealth Cyber Security Posture in 2019 y los anuncios del gobierno sobre el aumento de los ataques dirigidos a las agencias y compañías gubernamentales de Australia.

Un elemento clave de esos hallazgos describe que, si bien se están realizando mejoras, todavía somos vulnerables a los delitos cibernéticos como nación. Existen recomendaciones tácticas que se centran en los tipos de amenazas vistas recientemente, y consejos de larga data sobre disciplinas de seguridad esenciales que todas las entidades no corporativas de la Commonwealth deben incorporar en sus prácticas de TI. Sin embargo, planear más allá de las inevitables infracciones y esforzar por lograr la confianza cero bajo una estrategia holística para contener y prevenir el daño de tales eventos es primordial para limitar la exposición de la propiedad intelectual y los datos personales y financieros en el interés nacional.

En respuesta a los recientes acontecimientos, se anunció un plan gubernamental bajo el lema “la mejor defensa es el ataque”, diseñado para reforzar la capacidad de la Dirección de Señales de Australia (ASD) para interrumpir a los cibercriminales. El reclutamiento y la financiación están destinados a crear capacidades ofensivas para perseguir a los atacantes cibernéticos en el extranjero, así como a compartir inteligencia sobre la actividad cibernética para reaccionar en tiempo real. Pero ¿qué puede hacer cada organismo o compañía de Australia y Nueva Zelanda para adoptar medidas proactivas que limiten el impacto y la propagación de una infracción, de modo que la reacción quede en manos del examen en lugar del pánico asociado con el intento de detener la propagación?

Promovemos elevar la prioridad de la práctica "excelente" pero aún no "esencial" recomendada por el Centro Australiano de Seguridad Cibernética (ACSC) de segmentación de red que sustenta la filosofía Zero Trust, para repensar el paradigma de "mantener a los malos fuera y detectarlos lo más rápido posible si entran" a uno de "el primer sistema comprometido debe ser el último".

Todas las asociaciones de parches, autenticación multifactor e intercambio de inteligencia en el mundo no pueden detener los ataques dirigidos a la infraestructura crítica y sensible si continuamos manteniendo un modelo de computación o red de cáscara de huevo y confiamos en la detección reactiva para prevenir el daño.

Andrew Weir, de Cirrus Networks, sugiere que "como defensor, acertar con las mitigaciones básicas puede ahorrar mucho daño más adelante. Como parte interesada en la seguridad de su organización, no puede permitir el lujo de ser complaciente y debe considerar la construcción de capas coherentes de defensa de las TIC. Comprender cómo funcionan sus aplicaciones y minimizar la superficie de ataque a través de la segmentación reduce significativamente las opciones y el alcance disponibles para un atacante cuando logra violar una capa de sus defensas".

La microsegmentación es simplemente la aplicación del principio Zero Trust de “mínimo privilegio”, negando por defecto el tráfico de máquina a máquina y de aplicación a aplicación dentro de un centro de datos (o el tráfico de computadora portátil a computadora portátil, de estación de trabajo a estación de trabajo en el espacio del cliente o del empleado) que no fue autorizado explícitamente. Planear más allá de un evento de violación cambia la mentalidad a una de asumir que ocurrirá una violación, pero evitando que la vulneración de un sistema se propague a cualquier otro. En otras palabras, la práctica del principio del mínimo privilegio garantiza que el malware malicioso o un actor malicioso acceda a la menor cantidad de sistemas posible al aplicar el mismo enfoque de confianza dentro de nuestro entorno que fuera de él. El compromiso termina con el primer sistema que alcanza, ya que no puede propagar a ningún otro lugar.

Con la evolución de la tecnología de segmentación lejos de las formas tradicionales, complejas, costosas y dependientes de la infraestructura de firewalls, SDN, EDR y NAC, ahora es posible frustrar u oponer significativamente a los atacantes mediante el aislamiento y la contención de aplicaciones y la protección de equipos emitidos por la compañía.

Nuestro reciente reporte con Bishop Fox no solo destacó la eficacia de la microsegmentación como control de seguridad, sino que también descubrió cambios forzados en el comportamiento detrás de las estrategias de ataque que, sin conocimiento interno, pueden no ser posibles. La microsegmentación elevó los niveles de resistencia y detección a un grado que puede significar que las partes menos motivadas simplemente se rendirían y desviarían la atención hacia objetivos más fáciles. El reporte también destacó que el nivel de detección a través de una solución de microsegmentación efectiva aumenta significativamente la eficiencia de la detección y la respuesta a incidentes, lo que permite un enfoque de "contener primero, hacer preguntas después" para mantenerlo alejado de los titulares.

La microsegmentación ya no es una característica emergente ni una solución de nicho disponible sólo para aquellas compañías lo suficientemente grandes y maduras. Debería considerar una capacidad fundamental y esencial tanto para la agilidad de la red como para la seguridad de la información hoy en día. Como afirma Forrester, líder en la defensa y definición del marco de Confianza Cero , en el reporte Forrester Wave ™ : Zero Trust eXtendeD (ZTX) Ecosystem Platform Providers, del cuarto trimestre de 2019, « ya no hay excusa para no implementar la microsegmentación en cualquier compañía o infraestructura. Ya no se trata de si se puede o no».

Weir de Cirrus Networks también enfatizó la necesidad continua de soluciones de seguridad para facilitar DevSecOps e impulsar la simplicidad y la automatización: "Durante mucho tiempo dedicamos un esfuerzo significativo a agregar herramientas y procesos manuales sobre las aplicaciones en un esfuerzo por protegerlas. Estos esfuerzos, a menudo realizados de forma aislada de los propietarios de la aplicación, significan que los errores de configuración y pérdida de traducción agregan costos y tiempo a la implementación de la aplicación. Como profesionales de la seguridad de la información, deberíamos crear barreras de seguridad automatizadas y escalables para nuestros equipos de aplicaciones que puedan consumir en tiempo real a medida que se implementan. Las organizaciones que incorporan seguridad de manera efectiva en sus canales de implementación verán equipos más rápidos y productivos con una mentalidad de seguridad primero".

Con el aumento de los ataques rápidos y extremadamente destructivos como el ransomware que pueden derribar la infraestructura de TI global de las compañías en minutos, y la mayor presión e interés de los ciberdelincuentes y los estados nacionales sobre las agencias gubernamentales, la capacidad de contener la propagación de cualquier ataque no podría ser más urgente, y la oportunidad de hacerlo es más accesible que nunca.

Por lo tanto, permitamos que los equipos de seguridad se reenfoquen y midan el éxito de su práctica lejos de mantener alejados a los malos, a asumir una violación pero haciendo que sea significativamente más difícil ser poseído.

¿Listo para ver los beneficios de la microsegmentación? Registrar para una prueba gratis de 30 días hoy.