Por qué la detección de amenazas necesita segmentación de confianza cero

Este artículo fue publicado originalmente en channelfutures.com.

Durante la última década, la ciberseguridad se ha vuelto infinitamente más compleja. En consecuencia, muchas organizaciones han recurrido a proveedores de servicios de seguridad administrados (MSSP) para ayudar a protegerlos. Hasta ahora, su enfoque se ha centrado casi en su totalidad en la detección y respuesta de amenazas, pero esa decisión ha tenido algunas consecuencias negativas e imprevistas.

Para la mayoría de las organizaciones (comerciales, sin fines de lucro o del sector público), la ciberseguridad no es una competencia central. Por eso muchos han subcontratado parte o la totalidad de ella a un MSSP. Y esa externalización no solo incluye operaciones de seguridad; a menudo es toda la función de ciberseguridad, incluyendo compras y planificación estratégica.

Cuando el cliente de un MSSP tiene una brecha de seguridad de alto perfil, como un ataque de ransomware generalizado, las conversaciones subsiguientes no son agradables. La razón por la que una empresa subcontrata su función de seguridad a un MSSP es para evitar esos resultados y su consiguiente publicidad, costo y daño a la marca.

IA: ¿Panacea, o una herramienta que necesita asistencia?

Muchos proveedores han convencido a las organizaciones de que la respuesta a sus oraciones es la detección de amenazas basada en IA. Se les ha hecho creer que si solo gastan suficiente dinero en IA, atraparán a esos atacantes ultra furtivos. Han bajado por un agujero de conejo de detección basado en IA, pero los resultados que esperaban no se han materializado. No han pasado.

Si bien estoy de acuerdo en que la detección de amenazas basada en IA es un gran paso adelante para nuestra industria, necesita algo de ayuda para hacer el trabajo. Entrar Segmentación de confianza cero.

Si presegmenta la red antes de ir a la búsqueda de amenazas, la tarea de detección, ya sea asistida por IA o no, se vuelve mucho más simple y rápida. Reduce el tamaño de la superficie de ataque donde necesita buscar amenazas. La segmentación preventiva elimina muchas de las rutas que de otro modo permitirían a los atacantes moverse lateralmente a través de la red interna.

La metáfora que uso es que en lugar de buscar una aguja en un pajar grande y complejo, creas muchos micro pajar. Entonces tus herramientas pueden mirar dentro de estos micro pajar en paralelo, por lo que es probable que encuentres esa aguja mucho antes.

Lo que un barco puede enseñarnos sobre la segmentación

Hace años, en mi primera asignación en servicio activo como guardiamarina de la Marina de los Estados Unidos, abordé el USS McCloy, cuya misión principal era cazar, detectar y disuadir a los submarinos enemigos frente a la costa estadounidense. Acababa de terminar mi primer año de universidad como estudiante de ingeniería eléctrica y estaba entrenando para convertirme en oficial en la Marina de los Estados Unidos. No podía esperar para conocer la sofisticada tecnología de detección de submarinos enemigos de la Marina y conocer a los miembros del equipo de detección de amenazas de élite de McCloy.

Entonces, imagina mi sorpresa el primer día cuando me entregaron algunas llaves y destornilladores, emparejados con un compañero miembro de la tripulación, y se me asignó la tarea de asegurar que las aproximadamente 30 “escotillas” de acero (también conocido como puertas) en el McCloy fueran en forma de barco. Y si no lo fueran, para hacer alguna reparación. ¡Tanto por ayudar a mis compañeros de barco a cazar adversarios maliciosos!

Mientras iba con mi misión, pensé en la frase “batear por las escotillas”. Se originó en el 19^el siglo en el que, al inicio de una tormenta importante u otro riesgo de ruptura de agua, los capitanes de barco ordenaban a su tripulación que cerrara todas las puertas del barco y barricaran esas puertas con varillas de madera o “barras”. Hoy en día, esta frase es una metáfora de la sabiduría de tomar acción inmediata y decisiva al inicio de cualquier riesgo importante.

Llego a apreciar que todos los expertos en tecnología de élite y caza de amenazas de McCloy estarían en riesgo de fallar en su misión si las escotillas de McCloy no estuvieran ahí para protegerlos. Gracias a la arquitectura de segmentación incorporada del McCloy y a las escotillas que funcionan bien, una brecha en el casco no escalaría hasta convertirse en una extensión lateral del agua de pasillo a pasillo, y de habitación en habitación, hundiendo el barco.

El equivalente cibernético de batir las escotillas

En la película de 1990 “La caza del Octubre Rojo”, el Octubre Rojo era un submarino ruso con la tecnología de evitación de detección más avanzada. En el equivalente cibernético de hoy, no estamos buscando submarinos esquivos, sino ciberadversarios cada vez más sigilosos y sofisticados en las redes electrónicas.

Los cazadores de ciberamenazas deben segmentar sus redes con “escotillas” electrónicas para evitar el movimiento lateral de intrusiones. Si tiene una brecha en su red, no desea que el malware o el ransomware se propaguen, por lo que debe dividir la red en compartimentos individuales que funcionan como barreras.

La segmentación es una herramienta de seguridad, además de la detección y respuesta administradas (MDR), que Los MSSP pueden ofrecer como un servicio, Segmentación de confianza cero como servicio.

En mi próximo blog, explicaré con más detalle por qué la segmentación (y, más específicamente, la segmentación basada en host) es un complemento perfecto para la detección y respuesta administradas sólidas. No solo es bueno para los clientes de MSSP, sino también para el MSSP.