Evitar o reducir los daños empresariales de una brecha
Como parte de la guía de adopción de Confianza cero, en este artículo se describe el escenario empresarial para evitar o reducir los daños empresariales de una vulneración de ciberseguridad. En este escenario se aborda el Asumir vulneración principio rector de confianza cero, que incluye:
- Minimice el radio de explosión y el acceso a los segmentos
- Compruebe el cifrado de extremo a extremo
- Usar análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas
Con los modelos de infraestructura de TI híbridas, los recursos y los datos de la organización se encuentran tanto en el entorno local como en la nube y los actores no válidos pueden emplear muchos métodos diferentes para atacarlos. Su organización debe ser capaz de evitar estos ataques tanto como sea posible y, cuando se produzca una vulneración, minimice el daño del ataque.
Los enfoques tradicionales que se centran en establecer la seguridad basada en perímetros para el entorno local, donde confía en todos los usuarios dentro del perímetro de red privada de la organización, ya no son pertinentes. Si un atacante obtiene acceso a la red privada, puede, con los permisos adecuados, acceder a cualquier dato, aplicación o recurso dentro de ella. Pueden vulnerar la red robando credenciales de usuario, aprovechando una vulnerabilidad de seguridad o introduciendo una infección por malware. Estos ataques pueden dar lugar a una pérdida de ingresos y altas primas de seguros cibernéticos, lo que puede ser un retroceso significativo para la salud financiera y la reputación del mercado de su organización.
Forester concluyó lo siguiente para 2021:
- Casi dos tercios de las organizaciones sufrieron una vulneración en el último año y les costó un promedio de 2,4 millones de dólares por vulneración. – Forester, El estado de las vulneraciones de empresas en 2021 (abril de 2022).
Con la nube, los actores no válidos no necesitan vulnerar físicamente el perímetro de la red privada. Pueden atacar los recursos digitales basados en la nube desde cualquier lugar del mundo.
El estado y la reputación de su organización dependen de su estrategia de seguridad. Con la adopción generalizada de entornos empresariales basados en la nube y el crecimiento de la fuerza de trabajo móvil, las huellas de datos existen más allá de los límites tradicionales de las redes corporativas. En esta tabla se resumen las diferencias clave entre la protección contra amenazas tradicional y moderna con Confianza cero.
| Protección contra amenazas tradicional con controles de red privada | Protección contra amenazas moderna con Confianza cero |
|---|---|
| La protección tradicional se basa en la seguridad basada en perímetros, donde confía en todos los usuarios dentro de la red privada. Las redes perimetrales pueden incluir: - Poca segmentación o perímetros de seguridad de red y redes abiertas y planas. - Protección mínima contra amenazas y filtrado de tráfico estático. - Tráfico interno sin cifrar. |
El modelo de Confianza cero mueve las defensas de red de perímetros estáticos basados en red para centrarse en usuarios, dispositivos, activos y recursos. Supongamos que una vulneración puede ocurrir y se producirá. Los riesgos de seguridad pueden existir dentro y fuera de la red, le están atacando constantemente y puede producirse un incidente de seguridad en cualquier momento. Una infraestructura de protección contra amenazas completa y moderna puede proporcionar la detección y respuesta a ataques oportuna. Minimice el radio de explosión de incidentes de seguridad con capas de protección que, juntas, reduzcan la extensión del daño y la rapidez con la que pueden propagarse. |
Para reducir el impacto de un incidente significativo, lo siguiente es esencial:
- Identificación del riesgo empresarial de una vulneración
- Planear un enfoque basado en riesgos para la respuesta a la vulneración
- Comprender el daño resultante a la reputación y las relaciones de su organización con otras organizaciones
- Agregar capas de defensa en profundidad
La guía de este artículo le muestra cómo puede empezar a trabajar en su estrategia para evitar y reducir los daños de una vulneración. Dos artículos adicionales le proporcionan los detalles de cómo implementar esa estrategia mediante:
- Una infraestructura para evitar y recuperarse de una vulneración de seguridad
- Protección contra amenazas y herramientas de detección y respuesta extendida (XDR)
El primer paso hacia una posición de seguridad sólida es determinar cómo su organización es vulnerable a través de la evaluación de riesgos.
Evaluación del riesgo y la posición de seguridad
Cuando decida adoptar una estrategia para evitar vulneraciones y reducir los daños causados por uno, es importante tener en cuenta y cuantificar la métrica de riesgo. Estratégicamente, el ejercicio de cuantificar el riesgo le permite establecer una métrica para su apetito por el riesgo. Esto requiere que realice una evaluación de riesgos de línea de base junto con un análisis de las vulneraciones críticas para la empresa que pueden afectar a su negocio. La combinación de su apetito de riesgo documentado contra escenarios de vulneración de seguridad que está dispuesto a abordar constituye la base de una estrategia de preparación y corrección de vulneraciones.
Tenga en cuenta que es prácticamente imposible evitar vulneraciones como absoluto. Tal y como se describe en la rentabilidad de la inversión del atacante, el objetivo es aumentar incrementalmente la fricción de los ciberataques hasta un punto en el que los atacantes de los que pueda o quiera defenderse ya no obtengan una rentabilidad de la inversión viable de sus ataques. El tipo de ataques y la viabilidad económica para defenderse deben capturarse como parte de su análisis de riesgos.
La reducción del daño de una vulneración proporciona una energía considerable a las opciones durante y posteriores a la vulneración, lo que permite a su organización recuperarse rápidamente de una vulneración esperada o un tipo de vulneración. Estos tipos de vulneración y la preparación para recuperarse se definen en las secciones posteriores de este artículo.
Reconocer la intención de la vulneración debe formar parte de la preparación de la vulneración. Todas las infracciones tienen un elemento de malicia o intención criminal asociada, sin embargo, las infracciones controladas financieramente tienen la posibilidad de un daño mucho mayor en comparación con "conducir por" o infracciones oportunistas.
Para obtener más información sobre la posición de seguridad y la evaluación de riesgos, consulte Modernización rápida de la posición de seguridad.
Ejemplos de riesgos por tipo de negocio
Los requisitos empresariales dependen del análisis de riesgos resultante para su tipo de negocio. A continuación se describen varias verticales empresariales y cómo sus necesidades específicas impulsan el análisis de riesgos segmentado:
Minería
La industria minera se está enfocando más hacia la mina del futuro donde los sistemas de tecnología operativa (OT) usan menos procesos manuales. Un ejemplo es el uso de interfaces hombre-máquina (HMI) que aprovechan una interfaz de aplicación para completar trabajos y tareas dentro de una planta de procesamiento. Dado que estos HMI están diseñados como aplicaciones, los riesgos de ciberseguridad para esta industria vertical pueden ser mayores.
La amenaza ya no se convierte en una pérdida de datos o robo de activos de la empresa. La amenaza se convierte en uno de los actores externos que usan el robo de identidad para acceder a sistemas críticos e interferir con los procesos de producción.
Minoristas
Los principales riesgos relacionados con la vulneración dentro del sector minorista pueden surgir cuando hay varios dominios para varias marcas que residen dentro del mismo inquilino. Las complejidades de la administración de identidades locales o basadas en la nube pueden crear vulnerabilidades.
Sector sanitario
Los principales riesgos del sector sanitario son la pérdida de datos. La divulgación no autorizada de registros médicos confidenciales puede ser una amenaza directa a los datos y las leyes de privacidad de la información que están reservadas para pacientes y clientes por igual y, en función de las regulaciones locales, pueden incurrir en sanciones sustanciales.
Sector gubernamental
Las organizaciones del sector gubernamental suponen los mayores riesgos para la seguridad de la información. Los daños de reputación, la seguridad nacional y la pérdida de datos están en juego. Esto es en gran medida por lo que las organizaciones gubernamentales deben suscribirse a estándares más estrictos, como el Instituto Nacional de Estándares y Tecnología (NIST).
Como parte de la preparación y respuesta a las vulneraciones, aproveche la inteligencia sobre amenazas de Microsoft Defender para buscar y obtener información sobre los tipos de ataques y vectores de amenazas más relevantes para su vertical.
Riesgos de tipos comunes de ataques
La prevención o reducción del daño empresarial de una vulneración de ciberseguridad incluye el conocimiento de los tipos de ataques más comunes. Aunque los siguientes tipos de ataque son actualmente los más comunes, el equipo de ciberseguridad también debe tener en cuenta los nuevos tipos de ataques, algunos de los cuales pueden aumentarlos o reemplazarlos.
Identidades
Los incidentes de ciberseguridad suelen comenzar con un robo de credenciales de algún tipo. Las credenciales pueden ser robadas mediante diferentes métodos:
Suplantación de identidad (phishing)
Un atacante se hace pasar por una entidad de confianza y se hace pasar por los empleados para abrir correos electrónicos, textos o IM. También puede incluir phishing de objetivo definido, en el que un atacante usa información específica sobre un usuario para construir un ataque de suplantación de identidad más creíble. El robo de credenciales técnicas puede producirse debido a que un usuario hace clic en una dirección URL o un ataque de suplantación de identidad de MFA.
Vishing
Un atacante usa métodos de ingeniería social para dirigir la infraestructura de apoyo, como los departamentos de soporte técnico, para obtener o cambiar las credenciales.
Difusión de contraseñas
El atacante intenta una larga lista de posibles contraseñas para una cuenta determinada o un conjunto de cuentas. Las posibles contraseñas se pueden basar en datos públicos sobre un usuario, como las fechas de nacimiento en perfiles de redes sociales.
En todos estos casos, las aptitudes y la educación son esenciales tanto para los usuarios como para el objetivo de ataques de suplantación de identidad (phishing) y soporte técnico como destino de ataques de vishing. Los departamento de soporte técnico deben tener protocolos para autenticar a los usuarios que solicitan antes de realizar acciones confidenciales en cuentas de usuario o permisos.
Dispositivos
Los dispositivos de usuario son otra manera por la que entran los atacantes, que normalmente dependen del compromiso del dispositivo para instalar malware, como virus, spyware, ransomware y otro software no deseado que se instala sin consentimiento.
Los atacantes también pueden usar las credenciales del dispositivo para obtener acceso a sus aplicaciones y datos.
Red
Los atacantes también pueden usar las redes para afectar a los sistemas o determinar datos confidenciales. Entre los tipos comunes de ataques de red se incluyen:
Denegación de servicio distribuida (DDoS)
Ataques que tienen como objetivo sobrecargar los servicios en línea con el tráfico para hacer que el servicio sea inoperable.
Interceptación
Un atacante intercepta el tráfico de red y tiene como objetivo obtener contraseñas, números de tarjeta de crédito y otra información confidencial.
Inyección de código y SQL
Un atacante transmite código malintencionado en lugar de valores de datos a través de un formulario o a través de una API.
Scripts entre sitios
Un atacante usa recursos web de terceros para ejecutar scripts en el explorador web de la víctima.
Cómo piensan los líderes empresariales sobre evitar o reducir los daños empresariales de una vulneración
Antes de iniciar cualquier trabajo técnico, es importante comprender las diferentes motivaciones para invertir en evitar y reducir los daños empresariales de una vulneración, ya que estas motivaciones ayudan a informar sobre la estrategia, los objetivos y las medidas para el éxito.
En la tabla siguiente se proporcionan razones por las que los líderes empresariales de una organización deben invertir en evitar o reducir los daños de una vulneración.
| Role | Por qué es importante evitar o reducir los daños empresariales de una vulneración |
|---|---|
| Director general | La empresa debe poder lograr sus objetivos y objetivos estratégicos, independientemente del clima de ciberseguridad. La agilidad empresarial y la ejecución empresarial no deben restringirse debido a un incidente o una vulneración. Los líderes empresariales deben comprender que la seguridad forma parte de los imperativos empresariales y es necesario invertir tanto en la prevención de vulneraciones como en la preparación de vulneraciones para garantizar la continuidad empresarial. El coste de un ciberataque exitoso y destructivo puede ser mucho más que el precio de implementar medidas de seguridad. |
| Director de marketing | La forma en que se percibe la empresa tanto interna como externamente no debe restringirse en función de una vulneración de seguridad o de lo preparada que esté para enfrentarse a vulneraciones. Aprender a comunicar la preparación para vulneraciones y la mensajería interna y externamente en respuesta a una vulneración es una cuestión de preparación. Un ataque exitoso puede ser de conocimiento público, lo que podría dañar el valor de la marca, a menos que exista un plan de comunicación contra vulneraciones. |
| Director de información | Las aplicaciones usadas por la organización deben ser resistentes a ataques al tiempo que protegen los datos de su organización. La seguridad debe ser un resultado medible y estar alineada con la estrategia de TI. La prevención de vulneraciones y la administración de vulneraciones deben estar alineadas con la integridad, la privacidad y la disponibilidad de los datos. |
| Director de seguridad de la información | La seguridad debe alinearse como un imperativo empresarial para los ejecutivos de máximo rango. La preparación y la respuesta a vulneraciones se alinean para conseguir las estrategias empresariales principales, con la seguridad tecnológica alineada a la mitigación del riesgo empresarial. |
| Director de operaciones | El proceso de respuesta a incidentes depende de la dirección y la orientación estratégica proporcionada por este rol. Es imperativo que las acciones preventivas y con capacidad de respuesta se lleven a cabo como alineadas con la estrategia corporativa. La preparación de las infracciones en una postura Asumir infracción significa que todas las materias que informan al COO deben funcionar en un nivel de preparación para infracciones, lo que garantiza que una infracción se pueda aislar y mitigar rápidamente sin pausar su negocio. |
| Director financiero | La preparación y mitigación de vulneraciones son funciones del gasto de seguridad presupuestado. Los sistemas financieros deben ser sólidos y deben poder sobrevivir a una vulneración. Los datos financieros deben clasificarse, protegerse y tener copias de seguridad como un conjunto de datos confidencial. |
Un enfoque de Confianza cero resuelve varios problemas de seguridad derivados de vulneración de seguridad. Puede destacar las siguientes ventajas de un enfoque de Confianza cero con sus líderes empresariales.
| Ventajas | Descripción |
|---|---|
| Garantizar la supervivencia | En función de la naturaleza o motivación del atacante, una vulneración se puede diseñar para afectar significativamente o interrumpir la capacidad de su organización para realizar actividades empresariales normales. La preparación para una vulneración mejora significativamente la probabilidad de que su organización sobreviva a una vulneración diseñada para paralizarla o deshabilitarla. |
| Controlar los daños a su reputación | Una vulneración que da lugar a un acceso a datos confidenciales puede tener graves impactos, como daños en la reputación de la marca, pérdida de propiedad intelectual confidencial, pérdida de clientes, multas normativas y daños financieros a su negocio. La seguridad de Confianza cero ayuda a reducir el área de ataque mediante la evaluación, la supervisión y el análisis continuos de la infraestructura de TI tanto en el entorno local como en la nube. Una arquitectura de Confianza cero ayuda a definir directivas que se actualizan automáticamente cuando se identifican riesgos. |
| Reducir el radio de explosión dentro de la organización | La implementación de un modelo de Confianza cero puede ayudar a minimizar el impacto de una vulneración externa o interna. Mejora la capacidad de su organización para detectar y responder a amenazas en tiempo real y reduce la zona de explosión de ataques al restringir el movimiento lateral. |
| Demostrar una sólida posición de seguridad y riesgo | Un enfoque de Confianza cero permite evaluar alertas, correlación de señales de amenazas adicionales y acciones de corrección. El análisis de señales ayuda a mejorar la posición mediante la evaluación de la cultura de seguridad y la identificación de áreas para mejorar o procedimientos recomendados. Cualquier cambio en la red desencadena automáticamente el análisis de actividades potencialmente malintencionadas. Obtiene visibilidad completa de todos los activos y recursos dentro de sus redes y cómo se funcionan, lo que da como resultado una reducción general significativa de la exposición al riesgo. |
| Menores primas de seguros cibernéticos | Para evaluar el coste del seguro cibernético, necesita un modelo y una arquitectura de seguridad sólidos y bien definidos. Al implementar la seguridad de Confianza cero, tiene control, visibilidad y gobernanza con análisis en tiempo real para proteger su red y puntos de conexión. Su equipo de seguridad puede detectar y superar las brechas en su posición general de seguridad y demostrar a las aseguradoras que tiene estrategias y sistemas proactivos. Un enfoque de Confianza cero también mejora la resistencia cibernética e incluso puede ayudar a pagarse ar sí mismo mediante la reducción de las primas de seguro. |
| Aumentar la eficiencia y la moral del equipo de seguridad | Las implementaciones de Confianza cero reducen los esfuerzos manuales del equipo de seguridad mediante la automatización de tareas rutinarias, como el aprovisionamiento de recursos, las revisiones de acceso y la atestación. Como resultado, puede animar a sus equipos de seguridad con el tiempo y la telemetría que necesitan para detectar, frenar y derrotar a los ataques y riesgos más críticos, tanto interna como externamente, lo que a su vez aumenta la moral del equipo de TI y de seguridad. |
Para obtener más información para compartir con los líderes empresariales, vea el Minimizar el impacto de los actores incorrectos internos o externos.
La adopción de un ciclo para evitar o reducir los daños empresariales de una vulneración
Este conjunto de artículos le guía a través de este escenario empresarial mediante las mismas fases de ciclo de vida que Cloud Adoption Framework para Azure: definir estrategia, planear, listo, adoptar y administrar; pero adaptada para Confianza cero.
La tabla siguiente es una versión accesible de la ilustración.
| Definición de la estrategia | Plan | Ready | Adoptar | Gobernanza y administración |
|---|---|---|---|---|
| Resultados Alineación de la organización Objetivos estratégicos |
Equipo de partes interesadas Planes técnicos Preparación de las aptitudes |
Evaluación Probar Piloto |
Implementación progresiva en toda la infraestructura digital | Seguimiento y medida Supervisión y detección Iteración con fines de madurez |
Obtenga más información sobre el ciclo de adopción de Confianza cero en Información general sobre el marco de adopción de Confianza cero.
Para evitar o reducir los daños empresariales de una vulneración, use la información de estos artículos adicionales:
- Implementación de la infraestructura de prevención y recuperación de infracciones de seguridad
- Implementación de la protección contra amenazas y XDR
Tenga en cuenta que las recomendaciones de implementación de estas dos pistas independientes requieren la participación de grupos independientes del departamento de TI y las actividades de cada pista se pueden realizar en paralelo.
Pasos siguientes
Para este escenario empresarial:
- Implementación de la infraestructura de prevención y recuperación de infracciones de seguridad
- Implementación de la protección contra amenazas y XDR
Artículos adicionales en el marco de adopción de Confianza cero:
- Información general sobre el marco de adopción de Confianza cero
- Modernización rápida de la posición de seguridad
- Trabajo remoto e híbrido seguro
- Identificar y proteger los datos empresariales confidenciales
- Cumplir los requisitos normativos y de cumplimiento
Recursos de seguimiento de progreso
Para cualquiera de los escenarios empresariales de Confianza cero, puede usar los siguientes recursos de seguimiento del progreso.
| Recurso de seguimiento del progreso | Eso le ayuda a… | Diseñada para |
|---|---|---|
Cuadrícula de fases del plan de adopción descargable archivo de Visio o PDF 
|
Comprenda fácilmente las mejoras de seguridad para cada escenario empresarial y el nivel de esfuerzo de las fases y objetivos de la fase de plan. | Clientes potenciales de proyectos de escenario empresarial, líderes empresariales y otras partes interesadas. |
Seguimiento de adopción de Confianza cero presentación de diapositivas de PowerPoint descargable 
|
Realice un seguimiento del progreso a través de las fases y los objetivos de la fase de plan. | Clientes potenciales de proyectos de escenario empresarial, líderes empresariales y otras partes interesadas. |
Objetivos y tareas de escenario empresarial libro de Excel descargable 
|
Asigne la propiedad y realice un seguimiento del progreso a través de las fases, los objetivos y las tareas de la fase plan. | Clientes potenciales del proyecto de escenario empresarial, clientes potenciales de TI e implementadores de TI. |
Para obtener más recursos, consulte Evaluación de la Confianza cero y recursos de seguimiento del progreso.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de