La ciberseguridad se ha convertido no sólo en una de las mayores preocupaciones de las organizaciones, sino también en uno de los elementos principales pilares de las estrategias de la transformación digital. Hablamos con uno de los principales gurús de la ciberseguridad mundial: John Shier, Senior Security Advisor de Sophos
Entrevista con John Shier, Senior Security Advisor de Sophos
¿Cuáles son las principales amenazas actuales?
El ransomware es obviamente la amenaza más visible y destructiva que existe hoy en día, pero es importante recordar que es sólo el último paso de una larga línea de errores que conforman un ataque. La mayoría de los ataques actuales comienzan explotando una vulnerabilidad o siendo presa de un ataque de phishing. Estas amenazas permiten a los atacantes acceder rápidamente a las futuras víctimas del ransomware. Una vez dentro, las amenazas más comunes implican el uso de herramientas de seguridad ofensivas (por ejemplo, mimikatz, Cobalt Strike), herramientas de acceso remoto (por ejemplo, AnyDesk, RDP, TeamViewer) y binarios living-off-the-land (por ejemplo, PowerShell, WMIC, BITSAdmin) para establecer y mantener la persistencia, escalar privilegios y moverse lateralmente. En las etapas finales del ataque, es probable que se roben los datos y se despliegue el ransomware
Ransomware es la estrella de todos los malware y da la sensación de que muchas veces esconde otras ciberamenazas, ¿las empresas valoran la protección ante otras amenazas?
Las empresas que valoran una ciberprotección amplia suelen ser las que evitan los ataques de ransomware, incluso aunque no eviten todos los ataques. La protección contra el ransomware implica la protección contra todo tipo de amenazas previas que tienen presencia en el curso de un ataque. Por lo tanto, las empresas que han invertido en capas de seguridad que proporcionan protección contra estas amenazas previas, están mejor posicionadas para defenderse contra ransomware. Es importante que esta defensa también incluya, por ejemplo, prácticas de seguridad fundamentales como la aplicación de parches, el endurecimiento de la protección de la identidad mediante la autenticación multifactorial y las copias de seguridad.
Todo parece pasar por una estrategia Zero-Trust y la industria hace mucho hincapié en ella ¿es una estrategia correcta o más bien un desarrollo de marketing?
Es la estrategia correcta combinada con mucho marketing. La idea detrás de una estrategia Zero-Trust es proporcionar capas de protección a la vez que se otorga visibilidad a todas las partes dentro de la empresa. Las capas evitan que un sistema comprometido afecte al resto de la organización y la telemetría generada por todos los dispositivos del entorno proporciona a los equipos de TI contexto y correlación sobre todos los eventos que ocurren en la red. Esto facilita tanto la protección de la red empresarial como la detección de eventos sospechosos que puedan estar relacionados y formar parte de un problema mayor.
Acaban de sacar su servicio MDR, ¿qué ventajas proporciona a los departamentos de ciberseguridad?
La destreza se adquiere con la experiencia. Para proteger con éxito una empresa, no sólo se necesitan las herramientas adecuadas, sino también experiencia en la búsqueda de amenazas y en su reparación. La mayoría de las empresas no han experimentado, ni deberían hacerlo, el volumen de ataques necesario para adquirir la experiencia necesaria. En cambio, gracias a nuestra amplia y profunda visibilidad sobre empresas de todos los tamaños y sectores, Sophos tiene la experiencia necesaria para identificar y neutralizar rápidamente las amenazas. Para aquellas empresas que cuentan con los conocimientos necesarios pero que necesitan una ayuda, Sophos está ahí para respaldar a su equipo las 24 horas del día y los 365 días del año. No sólo es valioso un segundo par de ojos, sino que también puede evitar el bornout de los profesionales y puede tender un puente en el caso de que se quede sin personal.
Da miedo pensar apartados como el malware en la cadena de suministro o el ransomware as a service, entre otros muchos. Ya no es necesario ser ni tener conocimientos técnicos para llevar a cabo un ciberataque. ¿Vamos a un entorno cada vez más inseguro en el que «el malo» va a terminar ganando?
Lo bueno de que existan ciberatacantes poco cualificados es que puede ser más fácil defenderse contra ellos. Sin embargo, esto también conlleva enfrentarse a un mayor volumen de ataques. La clave para defenderse de los atacantes de alta y baja cualificación es estar preparado. Se necesitan las herramientas adecuadas, los procesos adecuados y el personal adecuado. Las herramientas, por un lado, proporcionan protección proactiva y visibilidad para todos sus dispositivos. Los procesos, por su parte, incluyen planes de recuperación que explican cómo debe responder la empresa en caso de ataque. Las personas, por último, son las que están presentes para actuar sobre la telemetría recogida por las herramientas y aplicar los procesos que mantienen la empresa segura y protegida
¿Qué es lo que más ha cambiado en el mundo de la ciberseguridad en los últimos años?
El uso de la inteligencia artificial, y en concreto del Deep Learning, en las soluciones de ciberprotección ha mejorado enormemente la capacidad de esos productos para hacer frente volumen creciente de amenazas. Sin la IA sería difícil para los equipos de seguridad escalar en proporción a la amenaza. Además, el Deep learning ha permitido al sector aplicar la protección en muchas más áreas, como la detección de phishing basada en el contexto de los correos electrónicos. También hemos aprendido que ninguna herramienta es suficiente para protegerse de las amenazas actuales. Una defensa en capas, con herramientas especialmente diseñadas, ofrece más posibilidades de detener las amenazas que intentan evadir nuestras defensas. Por último, una única pantalla de gestión para los incidentes de seguridad permite a los equipos tener el contexto que necesitan para tomar las mejores decisiones sobre lo que está sucediendo en sus redes.
¿Cuáles son los principales riesgos que corremos tanto empresas como usuarios? ¿Es la formación en ciberseguridad el elemento más importante de una estrategia de ciberseguridad más allá de tener más o menos productos.
Uno de los principales riesgos es pensar y actuar como si se estuviera seguro cuando no es así. Comprender sus capacidades y debilidades permite a una empresa aplicar los recursos donde más se necesitan. Esto incluye usar valores predefinidos adecuados, invertir en la protección que falta y emplear a las personas adecuadas. Aunque la formación en ciberseguridad es valiosa, las empresas deben esforzarse por crear una cultura de la seguridad en la que todo el mundo entienda por qué es importante la seguridad y cómo puede cada miembro afectar positivamente a la postura de seguridad de la empresa en todo momento.
