¿Condenados por un error humano?
Es cierto que, desde hace tiempo, todos los estudios que analizan las causas de un ciberataque apuntan a que un 90-95% de ellos son ocasionados por fallos humanos. Y el ejemplo que hoy está en boca de todos es la caída de WhatsApp, Facebook e Instagram de hace un par de días. Aunque no esté relacionada con la ciberseguridad, fue debida a un fallo humano, algo fácilmente extrapolable a la ciberseguridad. El error humano es inevitable, tarde o temprano todos cometemos errores. No obstante, no deberíamos sentir que estamos condenados a sufrir un ciberataque por un error humano.
Existen multitud de acciones que podemos (y debemos) realizar para evitar que esos errores humanos, que inevitablemente sucederán, permitan que seamos víctimas de un ciberataque. Con demasiada frecuencia esto se percibe como un gasto innecesario. Nada más lejos de la realidad. Si se plantea bien, incrementará la productividad y tendrá un alto retorno de inversión.
Estos son algunos ejemplos.
Cómo no estar condenados por un error humano a nivel de usuario
En el mundo hiperconectado actual, la identidad del usuario es básica. La autenticación es el primer paso de un usuario para acceder a contenido sensible. Es por ello que debemos proteger nuestros procedimientos de autenticación. Lamentablemente, el principal error que comete el homo sapiens en ciberseguridad tiene que ver con las contraseñas. Con frecuencia elegimos contraseñas débiles, fácilmente descifrables. Otro error muy peligroso es utilizar la misma contraseña en muchas cuentas. La solución ideal, cuando la opción está disponible, es prescindir de las contraseñas y utilizar métodos Passwordless. El problema es que, quizá porque nos cuesta cambiar los hábitos, no lo hacemos y seguimos utilizando las contraseñas para autenticarnos.
Para evitar que el error humano afecte a los usuarios de una organización debemos realizar 2 acciones fundamentales. La primera es proteger la autenticación de los usuarios, incluyendo las cuentas privilegiadas. La segunda es recurrir a soluciones de protección adicionales.
Proteger la autenticación de los usuarios y las cuentas privilegiadas
Es un error pensar que cualquier método de autenticación de 2 pasos o autenticación múltiple (2FA o MFA) nos protege de igual manera. Muchos de estos métodos son vulnerables a técnicas como phishing e ingeniería social. Estos ataques solo tienen éxito si hay un error humano. Es por eso que existen métodos de autenticación robustos como las llaves de seguridad, o aplicaciones móviles resistentes al phishing. Estos métodos protegen a los usuarios de estos errores, permitiendo incluso prescindir de las contraseñas con métodos Passwordless.
Esto es aún más importante en cuentas con privilegios administrativos. Es ahí donde un PAM (Privileged Access Manager) nos ayudará a que ese hipotético error humano no tenga efecto en usuarios críticos. Y si elegimos un PAM de última generación basado en actividades (Privileged Activity Manager), la protección será aún mayor.
Soluciones adicionales de protección del usuario
Hay muchas otras soluciones clave. Mientras sigamos obligados a utilizar contraseñas, las herramientas de contra-ciberespionaje avanzadas, para detectar brechas de seguridad antes de que puedan dañar a la organización, son básicas para cualquier compañía. La protección avanzada del correo electrónico para evitar que un usuario confíe en un email malicioso es crucial. Por otro lado, las soluciones de gestión de identidad que permiten gestionar el acceso de los usuarios a las distintas aplicaciones, pueden permitir que el usuario sea automáticamente aprovisionado (y desaprovisionado) sin ni siquiera utilizar una contraseña. Y sin olvidar la protección de las conexiones remotas, fundamental para organizaciones con usuarios que se conecten en redes públicas o desde casa. Y por supuesto, lo más básico. Los endpoints deben estar protegidos con un EDR, gestionado por la propia organización o por un MSSP.
Cómo no estar condenados por un error humano a nivel de datos
Por desgracia, no es suficiente con proteger al usuario. Siempre que los datos estén almacenados on-premise o en la nube, deben ser protegidos. En primer lugar, se deben disponer de herramientas de Gobierno de Datos. Esto permite inventariar los documentos, detectar privilegios innecesarios y proteger los datos más sensibles. Una vez identificados, debemos proteger especialmente los datos más críticos. El cómo es evidente: cifrando los datos. Pero al igual que comentábamos con la autenticación, no todos los métodos de cifrado son iguales. Para estar realmente protegidos debemos utilizar dispositivos hardware de cifrado. Pero no cometamos el error de cifrar únicamente los datos on-premise. Sí, para compartir datos en la nube el cifrado vía hardware también es la opción más segura.
Y cómo no, a nivel de red
Todo pasa por la red. Y, de nuevo, esto es así en entornos on-premise y cloud. Cualquier acción de reconocimiento, movimiento lateral, exfiltración de datos, malware, etc, deja rastro en la red. Y para eso tenemos herramientas como los SIEM que hay en cualquier SOC. Pero un SIEM por sí solo es una herramienta incompleta y compleja de manejar. Herramientas de análisis de la red como un NDR, IDS o NTA son básicas para enriquecer al SIEM. Ojo, nunca serán una alternativa al SIEM. Siempre deben estar integradas con él. Y por supuesto, esas herramientas deben potenciar y facilitar las investigaciones.
Por otro lado, muchas de las acciones en un SOC deben ser automatizadas. En un SOC se manejan miles de eventos por segundo. Analizarlos manualmente es una utopía. Por ello, existen los SOAR, herramientas de Orquestación, Automatización y Respuesta. Un SOAR permite agrupar incidencias y resolver muchas de ellas de forma automatizada. Para las tareas que requieran de acción humana, el SOAR presentará un caso que agrupe a todas las incidencias similares, con amplio contexto que permite acelerar la respuesta.
Además de las herramientas de análisis de red antes mencionadas, existen otras de Threat Intelligence que también pueden enriquecer a un SOAR. Por ejemplo, las soluciones de Threat Intelligence basado en detección de dominios maliciosos son unas de las más utilizadas. La clave es que dispongan de una amplia base de datos normalizada y constantemente actualizada. Lo ideal es que permita realizar investigaciones tanto en el SOAR como de forma manual.
En conclusión, quien quiera resignarse a estar condenado por un error humano, es libre de no hacer nada para evitarlo. Quien desee lo contrario, tiene a su disposición soluciones efectivas y rentables para proteger todos los ámbitos de una organización.