Hace algunos meses tuve el placer de asistir a una velada de participación de GDS organizada por el almirante Patrick Walsh (retirado) de iSIGHT PARTNERS (antes de su adquisición por parte de FireEye). Fue fascinante escuchar de Pat el papel que jugó la inteligencia contra amenazas a partir de sus experiencias directas en la Marina y creo que puedo hablar en nombre de mis pares en nuestra mesa cuando digo que todos podríamos beneficiarnos de esos conocimientos en nuestro propio trabajo.
Aquellos que hayan leído mis publicaciones anteriores sobre el tema de la seguridad cibernética y la aplicación de KnowIT en la seguridad de TI sabrán que creo que los enfoques y el pensamiento actuales en seguridad cibernética están listos para la disrupción.
Tomo esta posición a partir de un análisis de los costos y beneficios del paradigma existente para implementar estrategias de Seguridad Cibernética y específicamente desde el dominio de la gestión de vulnerabilidades y parches.
Para cualquier empresa global, las implementaciones existentes de administración de vulnerabilidades y parches simplemente cuestan demasiado y brindan muy pocos beneficios. El gran volumen de vulnerabilidades identificadas a partir de las pruebas de penetración, IAST, SAST y DAST por sí solas hacen que el costo de remediación sea exorbitante; suponiendo que dicha remediación sea posible.
Hay que recordar que sólo una fracción del código utilizado por la empresa está bajo control directo. La gran mayoría del código en cualquier negocio es propiedad de proveedores de software propietario y está controlado por ellos o es de naturaleza comunitaria o de código abierto. Para representar esto desde una perspectiva de Java, he incluido una imagen de un documento técnico que se publicará a principios del próximo año.
La respuesta estándar al problema del costo es, por supuesto, una evaluación pragmática del riesgo y un intento de parchear lo que se debe parchear y gestionar/mitigar el riesgo de lo que no se puede parchear. Pero este enfoque conduce a otra serie de dificultades para las empresas globales. Evaluar el riesgo y llegar a un acuerdo con las partes interesadas sobre qué se debe parchear y cuándo se debe parchear puede ser en sí mismo un ejercicio manual, costoso y propenso a errores que a menudo resulta en sistemas que violan el principio NoIT .
Una empresa global no tiene la cohesión, disciplina o cadena de mando de una organización militar. Incluso cuando se ha identificado que una amenaza conlleva el mayor nivel de riesgo que afecta a las medidas correctivas, ya sea un parche, una regla de firewall o incluso apagar la aplicación vulnerable, lleva tiempo.
Si bien podemos dedicar recursos a una mejor capacitación, mejores procesos y sensibilización para crear mejores sistemas de respuesta a las amenazas, no puedo evitar pensar que institucionalizar tales prácticas simplemente conducirá a un aumento de costos insostenible y, en última instancia, inaceptable.
Por eso encontré tan convincente la conversación con Pat. Según tengo entendido, la inteligencia sobre amenazas se utiliza en círculos militares para identificar la naturaleza y la motivación de la amenaza con el objetivo de crear inteligencia procesable .
Entonces, ¿en qué se diferencia la inteligencia sobre amenazas del enfoque estándar de evaluación de riesgos? Quizás en esencia no sea así; ambos enfoques buscan informar una respuesta a la amenaza y una decisión de mitigación del riesgo. Sin embargo, en la práctica, una evaluación de riesgo de vulnerabilidad de seguridad estándar se centra en el CVSS de una vulnerabilidad, no en la naturaleza, la motivación y el objetivo de un ataque. Por supuesto, la mayoría de los equipos de seguridad cibernética incluirán al menos cierta información relacionada con el objetivo en su análisis pero, en general, a estos factores no se les da la debida importancia.
Veo un beneficio inmediato de la inteligencia sobre amenazas cibernéticas como un medio para reducir la evaluación interna de un CVSS realizada por el CISO. Ya hacemos esto cuando la autoprotección de aplicaciones en tiempo de ejecución está vigente dentro de la empresa.
Dado que sabemos que las aplicaciones y plataformas que utilizan RASP reciben un mayor grado de protección contra las vulnerabilidades de inyección de línea de comandos, inyección SQL y secuencias de comandos entre sitios que dependen de estos vectores de ataque, podemos emitir una calificación de riesgo interno más baja para dichas vulnerabilidades, obviando así la necesidad de poner en marcha un costoso e invasivo ejercicio de parcheo.
Cyber Threat Intelligence puede ser una tecnología maravillosamente complementaria junto con RASP. Puede introducirse sin tener que cambiar inicialmente los mecanismos de respuesta a amenazas existentes, sino más bien para reducir el número de veces que se ejercen estas respuestas y apuntar a cualquier respuesta de manera más efectiva. Una vez que se haya establecido y se haya demostrado su beneficio de ahorro de costos, creo que se justificaría una mayor inversión para lograr mayores cambios en el enfoque general de respuesta a las amenazas.
Esta es una publicación invitada de Hussein Badakhchani.