Asegurar los activos del gobierno australiano en 2020: Parte 1

Comprender la postura de ciberseguridad en todo el Commonwealth

La Dirección Australiana de Señales (ASD) publicó recientemente La postura de seguridad cibernética de la Commonwealth en 2019 reportan destacando el número y tipo de incidentes atendidos, así como algunos de los programas que se han puesto en marcha para ayudar a mejorar la seguridad de las entidades de la mancomunidad. Independientemente del discutible aumento de la presión política para una mayor transparencia en los departamentos individuales, los datos agregados y anonimizados del informe ilustran claramente la necesidad de una mejor protección de los datos de los ciudadanos. Con el reciente anuncio del Primer Ministro y Ministro de Defensa sobre organizaciones del sector público y privado blanco de un sofisticado ciberactor y sólo pequeñas ganancias evolutivas obtenidas con respecto a los criterios actuales medidos, elevar el listón puede necesitar un cambio revolucionario.

Aquí en Illumio, estamos orgullosos de ser parte de discusiones estratégicas y programas de seguridad que trabajan en Australia y Nueva Zelanda directamente con agencias y departamentos, así como con los integradores de sistemas de seguridad y proveedores de servicios administrados, como Redes Cirrus, que a menudo son la sala de máquinas de estos equipos de TI.

A pesar de la mayoría de las entidades ahora declarando que son capaces de identificar con precisión el número de “eventos e incidentes de seguridad cibernética” que sufrieron por día o semana (a menudo cientos por día): el 73% de las entidades no corporativas de la Commonwealth informan únicamente de niveles de madurez ad hoc o en desarrollo para las disciplinas de seguridad básicas en respuesta a tales amenazas.

El informe realizado en los últimos siete años deja bastante claro que, incluso con mejoras, nuestro Los sistemas del gobierno federal son vulnerables a las amenazas cibernéticas, y se requiere trabajo adicional para que las entidades de la Commonwealth alcancen un nivel maduro y resiliente postura de ciberseguridad que satisfaga el entorno de amenazas en evolución.

Como se informa en estos hallazgos, una amplia gama de incidentes y entornos de TI en evolución requieren una evaluación y ajuste constantes de la seguridad. Continuar con un enfoque de solución puntual para asegurar una agencia contra ataques requiere una plétora de herramientas, habilidades y personal. En muchos casos, las organizaciones se beneficiarían de un enfoque arquitectónico más holístico para la resiliencia cibernética, como Cero Confianza. Ganar un impulso significativo en los departamentos federales de los Estados Unidos no solo se centra en pensar en asumir y planificar más allá de la violación, inculcando principios de privilegios mínimos en las disciplinas de seguridad más amplias, sino que ayuda a través de una estrategia global para reducir el “gasto en profundidad” de las herramientas y equipos en silos. Al ganar un impulso significativo en los departamentos federales de los Estados Unidos, este enfoque no solo enfoca el pensamiento en asumir y planificar más allá de una violación, sino que inculca principios de menor privilegio en las disciplinas de seguridad más amplias para reducir el “gasto en profundidad” de las herramientas y equipos en silos.

Como ha descubierto el mundo corporativo, los municipios deben enfocarse en estrategias preventivas de contención que reduzcan el impacto o radio de explosión cuando se producen brechas. Esto es particularmente importante a medida que los departamentos continúan elevando sus niveles de seguridad iniciales esperados y cuando hay evidencia de adversarios motivados y sofisticados. apuntar deliberadamente a Australia para obtener información sobre: capacidades de defensa; investigación australiana de vanguardia; propiedad intelectual valiosa; e información personal y financiera de los residentes australianos y del personal gubernamental.

Un elemento que se destacó y que representa un hallazgo consistente en la mayoría de las empresas, agencias estatales y federales es que Los organismos del Commonwealth tienen una visibilidad inadecuada de sus sistemas de información y datos. Como la mayoría de los equipos de TI de las agencias necesitan y progresan con la modernización de sus tecnologías de data center a través de enfoques como redes definidas por software (SDN), virtualización y contenerización en capas con plataformas de automatización y orquestación para lograr un desarrollo de aplicaciones más ágil, no es de extrañar que siga siendo exponencialmente más difícil para los equipos de operaciones y seguridad realizar un seguimiento del entorno dinámico de aplicaciones y los puntos ciegos de seguridad existentes.

Evitar que se ejecuten macros de Microsoft Office no verificadas y no confiables, el endurecimiento de las aplicaciones en las estaciones de trabajo de los usuarios, la autenticación multifactor en las sesiones de RDS y la aplicación de parches a los servidores orientados a la Web son tácticas de higiene importantes, y es bueno ver mejoras marcadas en estas áreas. Sin embargo, esos son solo algunos de la multitud de vectores de amenazas que utilizan los atacantes, incluidos otros ataques de estilo de copiar y pegar contra vulnerabilidades conocidas, así como otros día cero amenazas que se siguen encontrando y explotando. Prevenir el daño de las brechas cuando ocurren (e inevitablemente lo harán) requiere comprender cómo ese atacante podría luego moverse lateralmente desde el punto de apoyo establecido, independientemente de cómo lo establecieron, a los sistemas que administran datos confidenciales dentro de los cientos y miles de servidores que ejecuta cada departamento.

Sólo una vez que comprenda cuáles son sus aplicaciones, dónde están alojadas y cómo interactúan entre ellos, puede comenzar a tomar el control de esos activos y definir e implementar la postura de seguridad más efectiva.

Andrew Weir, CTO de Cirrus Networks, coincide en que “los clientes le preguntan regularmente cómo podrían obtener más visibilidad de lo que sucede dentro de las aplicaciones en sus sistemas y redes. A menudo, estas aplicaciones se desarrollaron en sistemas heredados y luego se integraron en una nueva infraestructura en una fecha posterior. Para los departamentos de TI más grandes, validar y administrar la eficiencia y la seguridad de las aplicaciones puede ser difícil. Comprender lo que sus aplicaciones y usuarios están haciendo en su entorno es crucial para una buena toma de decisiones. Sin esta visibilidad es difícil determinar dónde deben gastarse los recursos limitados”.

Con seguridad de red tradicionalmente enfocados en el tráfico Norte-Sur a través del perímetro, se está midiendo a las agencias para evitar que se produzca el establecimiento de mando y control, pero aún no están integrando las ocho disciplinas de seguridad Esenciales. Los atacantes que violan con éxito el firewall externo a menudo no tienen más restricciones una vez dentro de la red. En otras palabras, los hackers pueden elegir su camino y luego son libres de moverse lateralmente a través de la red hasta que alcancen sus objetivos.

A pesar de no estar en el Essential Ocho, es una recomendación “excelente” en el conjunto más amplio de Limitar el alcance de los incidentes cibernéticos. Efectivo segmentación de red para el centro de datos moderno y las estrategias de contención en el corazón de Cero Confianza se están convirtiendo (y deben seguir siendo) priorizados como una pieza vital y fundamental de la estrategia de seguridad continua de cada departamento. Esto ayudará a reforzar la resiliencia a medida que se alcancen los niveles de referencia de marca de agua bajos.

La forma en que actualmente se les pide a las agencias que evalúen e informen sobre su postura de seguridad impulsa medidas cualitativas y, en última instancia, enfoques o productos que las hacen “más conformes, mejoran su seguridad o proporcionan una mejor manera de detectar amenazas”. Dicho esto, “más”, “mejorar” y “mejor” son todas medidas cualitativas y predominantemente autoevaluadas. ¿Estas iniciativas proporcionan, y pueden vincularse a, una mejora cuantitativa en la resiliencia de los sistemas de TI frente a ataques maliciosos, ya sea estado-nación o el ransomware siempre popular de los ciberdelincuentes?

Bien elegido, microsegmentación no solo garantiza que esté aumentando drásticamente la dificultad de los atacantes para alcanzar y filtrar datos valiosos, con comprobada beneficios cuantitativos — lo hace sin necesidad personal adicional o el esfuerzo y la carga financiera de las iniciativas tradicionales de seguridad a gran escala que este informe destaca son los obstáculos comúnmente reportados.

Pero más sobre eso en la parte 2 de esta serie.

Aunque no se mencionaron detalles específicos de ataques específicos, y la fuente del reciente aumento en el volumen de ataques no atribuido públicamente a nadie, el reciente del primer ministro Morrison nota de prensa ciertamente debería ser tomado por los departamentos y empresas del gobierno australiano como una llamada de atención, por mucho que tal vez sea un aviso a los responsables para decir: “sabemos lo que están haciendo”.

Si aún no estás comprometido, comunicate con Illumio y Cirrus y echa un vistazo a la próxima entrega para saber cómo puedes seguir el consejo del Ministro de Defensa:”tomar medidas para proteger su propia red” y planificar más allá de las recomendaciones tácticas para los vectores de ataque recientes para limitar la oportunidad y el impacto de futuras brechas.

Y para obtener más información sobre cómo funciona la microsegmentación con Illumio, visite https://www.illumio.com/products/illumio-core