Menta

Blog

La mejor manera de medir el riesgo cibernético

Riesgo cibernético y ciberseguridad son problemas complejos que han obstaculizado la transformación digital desde que comenzó. La manera en la que se mide este riesgo determina el contexto en el cual los resultados son vistos; por esta razón la transparencia es tan importante para las clasificaciones de seguridad: el alcance del riesgo que se evalúa debe ser conocido.

Traducción de: The Best Way to Measure Cyber Risk del blog de UpGuard

https://www.upguard.com/blog/the-best-way-to-measure-cyber-risk

La tecnología de la información ha cambiado la manera en la que la gente hace negocios. Para mejorar, ha traído velocidad, escala y funcionalidad a todos los aspectos comerciales y de comunicación. Desafortunadamente, también ha traído los riesgos de la exposición, violación y pérdida de datos. El daño que se puede hacer a una empresa a través de su tecnología se conoce como riesgo cibernético, y con las cada vez mayores consecuencias de estos incidentes, manejar el riesgo cibernético, especialmente a través de servicios de terceros, rápidamente se está convirtiendo en un aspecto crítico de cualquier organización. La naturaleza especializada del riesgo cibernético requiere de una traducción de los detalles técnicos a términos de negocio. Las clasificaciones de seguridad y las evaluaciones de riesgo cibernético sirven para este propósito, de la misma forma que un puntaje de crédito evalúa el riesgo para un préstamo. Pero las metodologías empleadas por las soluciones en este espacio varían tanto como lo hacen sus resultados.

La metodología importa

Riesgo cibernético y ciberseguridad son problemas complejos que han obstaculizado la transformación digital desde que comenzó. La manera en la que se mide este riesgo determina el contexto en el cual los resultados son vistos; por esta razón la transparencia es tan importante para las clasificaciones de seguridad: el alcance del riesgo que se evalúa debe ser conocido. Algunas soluciones utilizan lo que se conoce como “reputación IP”, para evaluar el riesgo. Este método supervisa las solicitudes de malware de honeypots y otros sensores e intenta asignarlas a organizaciones basadas en el espacio de direcciones IP registradas. UpGuard sigue la “resiliencia cibernética“ que mide configuraciones, mejores prácticas y otros aspectos conocidos de las operaciones digitales y la seguridad de una organización.

Reputación IP

Señales de malware

Como mencionamos más arriba, la forma principal en la que se recolectan los datos para las soluciones basadas en la reputación IP es que se establecen honeypots, o sistemas intencionalmente inseguros, para recopilar datos sobre los ataques que sufren, incluidas sus direcciones IP de origen. Como cualquiera que haya instalado un sistema inseguro en internet sabe, los ataques ocurren todo el tiempo, y los honeypots atrapan una porción de esos ataques simplemente por ser vulnerables. Sin embargo, el tipo de malware que ataca de manera suficientemente aleatoria como para afectar los honeypots sólo representa una fracción del

total de malware en circulación. El rasomware y otros programas maliciosos críticos para el negocio, por lo general son muy específicos ya que utilizan sistemas como el phishing y sistemas vulnerables para instalarse en una empresa donde hay datos valiosos y no sólo cualquier computadora conectada a internet.

Atribución IP

Una vez que se ha registrado la dirección IP de origen de un ataque se verifica en una asignación del espacio de direcciones IP en Internet. Esencialmente cada dirección IP habita en un espacio que está asociado a un propietario. Si bien algunas compañías sólo pueden usar algunas direcciones IP de internet, algunas otras tienen cientos de miles o más. Sin embargo, la atribución de IP exacta ha sido un problema continuo por muchas razones.

 

 

La metodología de reputación IP depende de la atribución para asociar conducta con una entidad específica. Pero a menos que esa atribución sea precisa y refleje las amenazas reales planteadas a una compañía por un proveedor, el análisis de riesgo completo se vuelve sujeto de error, y peor aún, los puntos ciegos en los que el riesgo se percibe como que está siendo manejado, pero no es totalmente comprendido.

Vector de amenaza única

Aún si la actividad de atribución del malware fuera un método confiable, se vería una sola amenaza entre las muchas que enfrenta cualquier negocio digital. Aunque el malware juega un rol importante en la cadena de ciberataques, las formas en las que entra en una organización abarca varios vectores diferentes. Además los ciberataques sólo cuentan para una pequeña porción de datos expuestos y los incidentes de interrupción del servicio: la causa número uno es una mala configuración algo que una reputación IP basada en análisis de riesgo nunca detectará.

Resiliencia

Huella de internet

En lugar de usar la propiedad de una dirección Ip para determinar los límites de una organización, UpGuard busca su huella de internet. Al analizar todos los vectores orientados a internet mediante los cuales el riesgo cibernético ingresa a una organización, UpGuard mide a las organizaciones por ellas mismas, su postura frente a ataques y configuraciones erróneas. Al recopilar cada dominio de internet y sitio web que pertenece a la compañía. UpGuard analiza cada una por factores de riesgo relevantes, mejores prácticas de seguridad y configuración apropiada, agregándolos a CSTAR, una clasificación de seguridad estándar para la industria que refleja la postura del tiempo real actual de una organización en contra del riesgo cibernético.

Configuraciones erróneas

El “hacking“ de un número de incidentes de exposición de datos y cortes de servicio sorprendentemente bajo. En su mayoría estos están causados por configuraciones erróneas: ya sean configuraciones predeterminadas o configuraciones que de manera inadvertida exponen los recursos a un riesgo innecesario. Un ejemplo de de mala configuración sería almacenar datos confidenciales en la nube y accidentalmente ponerlos públicos en internet. UpGuard puede escanear en busca de configuraciones erróneas presentes en la huella de internet, porque las mejores prácticas dictan cómo los servidores y servicios deben fortalecerse para prevenir ataques. Al comparar la postura del proveedor con estas pautas, UpGuard rápidamente identifica problemas y ofrece una guía para su resolución.

Todos los vectores para la exposición y el incumplimiento

UpGuard organiza su evaluación por amenaza, por lo que las compañías saben exactamente qué vectores son los más peligrosos para cada uno de sus proveedores. Esto incluye ataques comunes como:

 

 

Amenazas no cubiertas por la reputación IP

Fuga en la nube

A medida que los proveedores emplean tecnologías en la nube, los datos que almacenan allí corren el riesgo de exponerse a todo el internet. Olvida el hacking; un depósito mal configurado puede filtrar una base de datos completa sin necesidad de una contraseña para obtenerla. El equipo de UpGuard Cyber ​​Risk ha investigado y documentado estos incumplimientos para mostrar qué tan vulnerable es la información cuando no se maneja adecuadamente. No importa qué tan buena sea su reputación IP, un servidor de nube mal configurado o una instancia de almacenamiento puede poner en riesgo a toda tu empresa.

Software vulnerable y sin parches

Prácticamente todos los ataques exitosos explotan las vulnerabilidades que se han conocido y tenían parches disponibles durante todo un año. El hecho de no actualizar las aplicaciones de internet es un indicador líder del riesgo cibernético. Este vector es intocable por los métodos de reputación IP, porque es una debilidad en la infraestructura legítima, no un agente colocado ahí por algún tercero malintencionado. Si las organizaciones desean priorizar el manejo del riesgo cibernético por lo crítico de la amenaza, el software que no tiene parches así como el que está mal configurado deberían ser la prioridad número uno.

Susceptibilidad al phishing

Algunas formas de ingeniería social típicamente preceden a los ciberataques. El phishing o el spear phishing altamente enfocado, utilizan correos electrónicos fraudulentos para que la gente caiga y envíe su información, documentos e incluso dinero a un tercero criminal. Pero los correos electrónicos de suplantación de identidad pueden ser interceptados y pueden ser puestos en cuarentena antes de que le lleguen a un ser humano si las defensas apropiadas están configuradas y en su lugar. UpGuard revisa cada dominio para cada proveedor de forma que pueda asegurarse que estos mecanismos están funcionando y están en su lugar.

Conclusión

Decidir qué metodología se ajusta mejor a tus necesidades depende de los objetivos de tu iniciativa de riesgo cibernético. La reputación IP algunas veces puede detectar señales de malware que se atribuyen al espacio de dirección que posee una compañía, pero la estrategia de resiliencia cibernética de UpGuard analiza la huella en internet de cada compañía y examina todos los vectores por los que ocurre la exposición de datos y la interrupción de servicios, incluyendo las configuraciones erróneas, una de las principales causas de ataques exitosos y que no se detecta por las tácticas de reputación IP.

CyberRisk de UpGuard ofrece la evaluación externa más completa de la huella de internet de un proveedor. A cada compañía se le asigna una clasificación de seguridad CSTAR para la visibilidad de alto nivel en el riesgo de terceros. A diferencia de las soluciones de reputación IP, UpGuard también proporciona los detalles técnicos necesarios para cada riesgo detectado, así como información de control de compensación. CyberRisk también automatiza el proceso del cuestionario, para que las certificaciones de los proveedores se puedan entregar, almacenar y organizar automáticamente, junto con sus evaluaciones y calificaciones. UpGuard administra todo el proceso de riesgo cibernético de terceros, de extremo a extremo.

Si quieres implementar una herramienta de ciberseguridad en tu aplicación, acércate a los expertos.

Contáctanos

Por favor introduce tus datos y nos pondremos en contacto contigo.

Recibirás un resumen semanal.