Mientras la administración Biden prepara su orden ejecutiva sobre ciberseguridad, los profesionales del sector aportan sus primeras impresiones.

Si echamos un vistazo a los titulares, está claro que ha habido un número importante de ciberataques que han afectado a las empresas de hoy en día, incluyendo un número creciente de fabricantes. Sin embargo, la realidad es que el número de ataques que salen a la luz es discreto en comparación con el número real de incidentes de ciberseguridad.

En algunos casos, las empresas no tienen ni idea de que sus operaciones han sido vulneradas. Al fin y al cabo, no es raro que pasen semanas, meses o incluso años en los que el hacker pasa por desapersivido. Por desgracia, no siempre es así, después de todo, ninguna empresa quiere admitir que sus sistemas han sido víctimas de un ataque incrédulo. Sólo el daño a la marca puede parecer imposible de revertir. 

La anticipada orden ejecutiva sobre ciberseguridad tiene la esperanza de añadir un nuevo nivel de transparencia al tiempo que crea una entidad gubernamental parecida a la Junta Nacional de Seguridad del Transporte. La nueva agencia, denominada Cyber NTSB, investigaría los incidentes al mismo nivel que la NTSB investiga las fallas  de sistema graves.

¿Qué significa todo esto para la industria de la seguridad y los fabricantes?

Se estima que el ciberataque de SolarWinds comenzó en octubre de 2019 y afectó a varias empresas mundiales como Microsoft y FireEye, por lo que debe haber un ajuste de cuentas en la industria de la ciberseguridad, y cuanto antes, mejor, dice Ralph Pisani, presidente de Exabeam, a IndustryWeek: "Si tenemos un muchas soluciones de seguridad, innovaciones y herramientas disponibles, ¿por qué estamos permitiendo que ataques de este alcance y magnitud continúen? Para mí, la respuesta es sencilla: el problema no es sólo la falta de conocimiento de la tecnología, sino también la falta de procesos refinados necesarios para encontrar una brecha. En lugar de centrarse en un producto, los equipos deben cambiar las prioridades fundamentales y organizativas para asegurar la empresa y centrarse más en los procesos". 

"Como industria, debemos ayudar a las organizaciones a evolucionar con el cambiante panorama de las amenazas y adaptarse para crear una mayor eficiencia operativa. Por ejemplo, la mayoría de las soluciones de detección disponibles se centran en la respuesta a las amenazas conocidas, cuando en realidad deberían centrarse en la identificación de los signos de comportamiento de la infiltración en la red. También debemos adoptar la idea de que la identidad es el nuevo perímetro. Por supuesto, tener visibilidad del uso de credenciales en el Departamento del Tesorería no habría evitado el ataque de SolarWinds, pero lo habría identificado y contenido más rápidamente", dice Pisani. "Por último, pero no por ello menos importante, hemos visto al enemigo jugar al mismo juego una y otra vez, por lo que la defensa comienza con: detección, clasificación, investigación y respuesta. Aunque cada vez se presta más atención a los dos extremos de la detección y la respuesta, la mayoría de las empresas luchan o pasan por alto las piezas intermedias sin darse cuenta de la cortina de humo que esto supone para los atacantes."

Pisani continúa: "Eso me dice que es necesaria una metamorfosis psicológica en la seguridad. Esta orden ejecutiva podría servir como un impulso positivo en esa dirección. Con esta capa adicional de responsabilidad para los proveedores con clientes gubernamentales, los equipos de SOC se verán motivados a cambiar su enfoque, dejando de lado la idea de que las máquinas sacarán conclusiones por ellos, y tomarán esos pasos adicionales del proceso para proteger su propia empresa y a sus clientes."

Según Neil Jones, evangelista de ciberseguridad de Egnyte, los ataques a la cadena de suministro de ciberseguridad, como el hackeo a SolarWinds, son un claro recordatorio de la necesidad de modernizar el enfoque colectivo de la ciberseguridad. "Los ataques están ahora diseñados para dirigirse a organizaciones específicas y de mayor perfil en los sectores público y privado. Ya sea impulsado por estados nacionales o por ciberdelincuentes, el objetivo principal de los ataques sigue siendo el mismo: obtener los datos sensibles de los usuarios", afirma Jones. "Con los datos en la mano, los atacantes pueden explotarlos con fines de espionaje, ventaja competitiva y/o para obtener ganancias monetarias, como hemos experimentado con muchos ataques recientes".

Jones añade: "Si esperamos proteger nuestras infraestructuras críticas y las entidades gubernamentales, los requisitos deben ser más fuertes, con certificaciones más estrictas para trabajar en contratos federales. Además, debería hacerse más hincapié en la adopción de una estrategia de seguridad centrada en los datos que proteja y gobierne adecuadamente la información sensible (especialmente en las relaciones de la cadena de suministro), que actualmente representa el punto débil de las ciberamenazas. Por último, podemos anticipar que las técnicas exitosas que los atacantes emplean en organizaciones más grandes se adaptarán para su uso en organizaciones más pequeñas, que generalmente tienen equipos de seguridad más pequeños y protocolos de seguridad menos avanzados." 

Alex Pezold, director general de TokenEx, dice a IndustryWeek: "Hoy en día, muchas organizaciones utilizan una combinación de proveedores y tecnologías para ayudar en sus operaciones digitales, lo que provoca la necesidad de transparencia y de compartir información de forma responsable para garantizar que las intrusiones y otras actividades maliciosas se identifiquen y aborden con prontitud. Independientemente de que dicha transparencia sea exigida por la ley, creemos que es una buena práctica para la privacidad y la seguridad".

Según Stel Valavanis, director general de onShore Security, el sector de la seguridad ha pedido unánimemente una mayor regulación, sobre todo en materia de divulgación de infracciones. Algunos estados han actuado, y el Cybersecurity Tech Accord, también se ha presentado. "En cuanto a las medidas preventivas hay menos acuerdo porque son más complejas, pero todos sabemos que el gobierno federal lleva demasiado tiempo sin resolver esto. Era necesario amenazar a los organismos gubernamentales para que se tomaran medidas, y el sector de la seguridad está inmediatamente en condiciones de hacerlo", dice Valavanis.

Una proyecto de ley en materia de software (previsto en la Orden Ejecutiva) proporcionará apoyo, e idealmente aplicación, de la tan necesaria visibilidad del software de uso crítico y establece un mayor nivel de responsabilidad de los proveedores, explica Edgard Capdevielle, director general de Nozomi Networks. "Debería facilitar a las agencias que compran software la diferencia entre los productos bien construidos, diseñados pensando en la seguridad, y los que no lo están", afirma. "Este nuevo nivel de responsabilidad debería beneficiar también a los fabricantes. Al mismo tiempo, el problema está en los detalles. El concepto de lista de materiales ha funcionado bastante bien para el hardware, pero el software y las abstracciones del software son muy diferentes, y muchas vulnerabilidades del software sólo pueden ocurrir en escenarios específicos. Un modelo de lista de materiales de software eficaz debe tener esto en cuenta".

Por supuesto, los fabricantes tendrán que cambiar sus costumbres y aumentar sus presupuestos, explica Valavanis. "Nada de lo que hay que hacer es descabellado y, de hecho, también mejorará sus procesos empresariales en general", afirma. "Están acostumbrados a las normas de funcionamiento y realmente deberían aplaudir estos requisitos aunque sólo sea para crear unas condiciones de igualdad. Aquí es donde la regulación es buena". Estas acciones ejecutivas suelen ser precursoras de un futuro conjunto de normas permanentes. "Pero eso no sólo viene del gobierno. Si el impacto se redirigiera a la fuente, podría muy bien ser la industria, si no las fuerzas del mercado, las que se encargaran de la responsabilidad", dice Valavanis. "No ignoremos que estamos hablando de delitos, así que, en última instancia, queremos trasladar el impacto hasta ellos, y ahí es donde la Cyber NTSB podría proporcionar la atribución necesaria y quizás una mayor implicación de las fuerzas del orden".

Capdevielle añade que abordar estas cuestiones en las agencias gubernamentales es sólo el comienzo, y naturalmente conducirá a niveles más altos de normas de seguridad y visibilidad también en el sector privado. "Los fabricantes deberían aprender y adoptar cualquier nueva directriz que les ofrezca una mejor defensa contra los ciberataques a la cadena de suministro y al Estado-nación", afirma. "Una nueva legislación como la Ley de Gestión de Riesgos Nacionales ayudaría a establecer un proceso más permanente para evaluar y abordar continuamente los riesgos para la resistencia de las infraestructuras críticas y la fabricación.  Y otros esfuerzos público-privados, como el impulso liderado hoy por IST para un asalto agresivo y completo de todo el gobierno contra el ransomware, son todos ejemplos de acción en proceso que hará que la fabricación y otras infraestructuras industriales sean seguras." 

Fuente:  www.industryweek.com