Recientemente la CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU) ha publicado un informe que destaca una variedad de vulnerabilidades de seguridad críticas que requieren la atención de organizaciones de todo tipo.
Aunque muchas de ellas no son nuevas, el documento sí que se aporta un nuevo nivel de conciencia de lo graves que pueden llegar a ser y recuerda que son abusadas con frecuencia por los ciberdelincuentes.
"Instamos encarecidamente a todas las organizaciones, grandes y pequeñas, a seguir el ejemplo del gobierno federal y tomar medidas similares para salvaguardar sus redes”, subraya Jean Easterly, directora de CISA.
Esta agencia recuerda que las vulnerabilidades en sí mismas toman la forma de una inyección de plantilla del lado del servidor. Puede provocar la ejecución remota de código, aumentar los privilegios a 'root' y permitir que los actores de amenazas obtengan acceso de administrador sin necesidad de autenticarse.
Por ello, las empresas tienen que ser conscientes de dichos problemas. es la única manera de que puedan protegerse frente a ellos y preparar a sus equipos y empleados.
Algunas de las debilidades habituales de las compañías, según la NSA, son:
- No aplicar la autenticación multifactor
- Aplicar privilegios o permisos de forma deficiente
- Errores dentro de las listas de control de acceso
- No mantener el software actualizado.
La NSA recomienda comenzar con mitigaciones que controlen el acceso, refuercen las credenciales y establezcan una gestión de registros centralizada. Esta estrategia implica un trabajo en equipo cercano entre múltiples elementos de su negocio.
Otras recomendaciones son:
Reunir al equipo en torno a los puntos débiles
La agencia recomienda celebrar reuniones y capacitaciones periódicas para garantizar que todos están actualizados. Haciendo preguntas y distribuyendo recursos se mide mejor el nivel de conciencia.
Construir el caso de negocio adecuado
Los CISO o responsables de seguridad tienen que convencer y vencer. Uno de sus principales deberes es obtener el apoyo de los que toman decisiones. Sin ellos no pueden obtener los recursos y el respaldo necesario para hacer el mejor trabajo posible. Para crear un caso de negocios convincente que pueda obtener más apoyo se sugiere:
- Vincular claramente los proyectos de seguridad con los resultados comerciales. Demostrar cómo una mayor inversión en seguridad beneficia al negocio desde una perspectiva financiera.
- No usar un lenguaje demasiado técnico. Siempre que sea posible, habla en un inglés sencillo y muéstrate preparado para aclarar o explicar ciertos puntos si es necesario.
- Utilizar datos duros tanto como sea posible. Una vez más, vincula de nuevo a las métricas comerciales relevantes. Muestra cómo un mayor soporte de seguridad puede afectar cosas como el retorno de la inversión en términos concretos.
- Evita ser demasiado alarmista o negativo. En lugar de presentar la seguridad únicamente como una forma de evitar desastres, enmárquela positivamente como un medio para aumentar el valor del negocio y permitir un trabajo más productivo.
Usa las herramientas de seguridad adecuadas
Las empresas pueden usar herramientas para evaluar vulnerabilidades y ayudar a elegir cuáles parchear primero. Esto les permite adoptar un enfoque más estructurado y basado en evidencia, lo que les ayuda a concentrar sus esfuerzos y recursos donde más se necesitan para obtener el máximo efecto.
Estas son algunas de las herramientas que pueden utilizarse para mantenerse al tanto de las amenazas, priorizar bien y defenderse antes de que sucedan:
- Detección y respuesta de endpoints: recopila información en una amplia gama de endpoints para mantener una visión de las amenazas.
- SIEM : recopila y analiza eventos y trabaja con otras fuentes de datos para ayudar a detectar amenazas y gestionar incidentes.
- Detección y respuesta de red (NDR): supervisa redes completas y utiliza análisis de datos y aprendizaje automático para detectar y hacer frente a las amenazas.
- SOAR : un conjunto de diferentes herramientas, todas destinadas a aprender más sobre las amenazas y responder sin necesidad de control humano.