Los ataques a los objetivos clave de las empresas son cada vez más sofisticados y las compañías deben asegurarse de que están haciendo lo posible para protegerse de las ciberamenazas. Si analizamos distintas civilizaciones, podemos aplicar a nuestros entornos de alta tecnología técnicas que ya utilizaron nuestros antepasados (emperadores, guerreros y soldados) para defenderse de sus enemigos a lo largo de la historia.
Si echamos la vista atrás, descubriremos muchos paralelismos entre el mundo medieval y el nuestro cuando se trata de invasores estratégicos, atacantes y amenazas a civilizaciones vulnerables. Los líderes pueden utilizar estas enseñanzas para desarrollar estrategias y procesos que les permitan localizar e identificar los intentos de ciberamenazas; implementar métodos únicos para protegerse contra la matriz de amenazas en evolución; y comprender cómo proteger mejor su propiedad intelectual, sus finanzas y sus datos de los ataques.
¿Cómo podemos integrar las mejores prácticas de algunas de las más importantes civilizaciones en las estrategias de seguridad actuales?
En el antiguo Egipto (1210 a.C.), los faraones solían hacer encargos monumentales a sus súbditos con una actitud de “hazlo porque sí». Este ciclo de «delegación y negación» (que llevó a intentos de golpe de estado) es algo que se reproduce en las actitudes de los ejecutivos hacia la ciberseguridad hoy en día.
En muchas empresas hay un gran problema de comodidad sobre la seguridad, lo que crea la oportunidad perfecta para que los atacantes actúen. Por ejemplo, hay muchas excusas, como «es demasiado complicado cambiar la contraseña», «necesitamos tener una cuenta de invitado para los visitantes» y «es demasiado difícil cambiar los usuarios a grupos protegidos». Otros malos hábitos son entrar siempre con la cuenta de administrador por defecto, tener activado el autologin y utilizar la cuenta de operador del servidor. Estos malos hábitos, de forma continuada, han costado a las compañías millones de euros e incluso, en algunos casos, ha llevado al cierre del negocio.
¿Qué debemos hacer en este caso? Siempre elegir la seguridad sobre la conveniencia. Las organizaciones deben gestionar las delegaciones de AD (Active Directory) para seguir el principio del menor privilegio. La lógica es que las cuentas con privilegios suelen ser más fáciles de secuestrar. Las organizaciones deben asegurarse de que el usuario adecuado está en el lugar correcto, en el momento adecuado y, por tanto, sólo tiene acceso a los objetos que se supone que debe tener. Además, hay que auditar cualquier cambio en las cuentas que tengan algún tipo de acceso privilegiado elevado.
Si nos vamos a la Dinastía Shang (o Yin) 1122 a.C conocida por sus avances en materia de gobierno, escritura y táctica, demuestra que los procedimientos y controles son tan importantes como nuestras acciones. La clave para las organizaciones de hoy en día es que deben asegurarse de que las personas, los procesos y la tecnología trabajen juntos de forma eficaz para lograr una solución.
Si pudiéramos gestionar la eficacia y comunicarnos claramente con todos los que nos rodean, probablemente no tendríamos tantos problemas de ciberataques. En otras palabras, no es eficaz formar a los usuarios sólo una vez al año y esperar que recuerden las cosas. Es crucial proporcionar a las personas que protegen la red de una organización la suficiente formación y educación. Si no disponen de los recursos necesarios, no debemos sorprendernos cuando las cosas no salgan como esperamos.
En definitiva, las organizaciones deben ser conscientes de cómo ejecutan la escalada de privilegios. Las consideraciones incluyen: cambios en la política de dominio por defecto, cambios en la política del controlador de dominio por defecto y cambios en la vinculación de GPO (Objetos de Política de Grupo).
Pensando en Los Assassins (1275) realizaron ataques invasivos contra objetivos estratégicos. De ellos podemos aprender que cuando se utilizan técnicas de engaño, normalmente, un atacante más pequeño, entrenado, armado y motivado tendrá éxito contra un enemigo más grande y menos móvil. Los atacantes se aprovechan de los tiempos difíciles, y para tener resiliencia digital, las organizaciones necesitan iluminar las sombras y tener la capacidad de ver estas amenazas antes de que entren.
Hoy en día, los datos y las identidades están dispersos por todas partes y la tecnología avanza a un ritmo que las organizaciones no pueden seguir. La media mundial para identificar una filtración es de más de 197 días después de que alguien haya entrado, rebuscado y probablemente ya se haya ido.
La recuperación de una brecha después de haber sido identificada añade 2 meses más a ese plazo, si es que se puede mantener un equipo de recuperación de incidentes en estos tiempos cada vez más ajetreados. Desgraciadamente, en todo ese lapso de tiempo puede producirse una gran cantidad de daños. Por ejemplo, DC Shadow permite a los atacantes (con derechos de administrador) crear falsos Controladores de Dominio que pueden distribuir rápidamente los cambios a los DC legítimos utilizando los mecanismos de replicación normales. Si no se establece una resiliencia cibernética, las organizaciones no tendrán la capacidad de ver que esto ocurre, lo que puede provocar daños importantes.
En este caso, las organizaciones deben implementar una separación efectiva de la red, segmentación y administración por niveles para restringir el acceso.
Sin un perímetro o un conocimiento real de la vulnerabilidad de nuestros potentes sistemas, no debería sorprendernos que los adversarios y atacantes obtengan acceso a la información sensible de una empresa, pero de alguna manera sigue ocurriendo siempre. Es hora de que nuestra comunidad aprenda de los errores de la historia y ajuste nuestro enfoque de resiliencia antes de que sea demasiado tarde.
Firmado: Nuno Antunes Ferreira, director para España y Portugal de Semperis
La entrada Lo que la ciberseguridad moderna puede aprender de los antiguos adversarios es original de MuySeguridad. Seguridad informática.