Como la mayoría de los equipos de respuesta a incidentes (RI) que trabajan con proveedores, siempre nos piden “historias jugosas” sobre casos de RI para atraer a los clientes. ¿Qué tan inusual o peligroso fue el incidente? ¿Cómo lo afrontamos? Así es cómo usted también podría beneficiarse de nuestro nuevo y brillante producto de seguridad.
Esto esta bien. Las ruedas del marketing deben girar, y ¿qué mejor para iniciar una llamada de ventas que un estudio de caso directo y de primera mano sobre cómo resolver el problema de seguridad de otra empresa? Eso es bien, hasta que no esté bien. A menudo, los límites se superan y se nos pide que nos centremos en una amenaza, una industria o incluso una región en particular. Si bien entiendo totalmente los beneficios del marketing dirigido, a veces puede resultar contraproducente.
Se convierte en un juego interminable de intentar adaptar la última presentación al calzador en el último ángulo. Por ejemplo, he realizado presentaciones en las que entramos en detalles sobre los actores de amenazas y su vector particular o rasgos de malware, pero luego la conversación se convierte en “¿De cuáles deberíamos preocuparnos?”, “¿Cuál es peor?” o “No, he oído que la familia se está cerrando, así que no necesitamos pensar más en eso”.
En las conversaciones sobre preparación, a menudo preguntamos a las organizaciones sobre las amenazas que les preocupan y muchas de ellas parecen presentar las más brillantes amenazas nuevas porque son de lo único de lo que se habla. Si las organizaciones quieren mantenerse seguras, deben mirar más allá de la “amenaza del día”. En una conversación reciente sobre el tema, un colega exclamó: “¡Esto no es un desfile de moda!”, Y tenía bastante razón.
Todas las organizaciones deberían, por supuesto, preocuparse por cada amenaza y cualquier combinación de actor de amenaza, vector y malware, y no solo por las más brillantes, nuevas, grandes y “malas”. La realidad es que una vez que hemos realizado nuestras investigaciones y hemos encontrado la causa raíz, rara vez es el cerebro sofisticado de un ataque lo que alguien pensó que era.
Muy a menudo, es un vector relativamente básico que un atacante pudo aprovechar, como obtener privilegios a través de una cuenta mal asegurada que les permite permanecer sin ser detectados mientras exfiltran datos y cargas útiles antes de descargar algún ransomware y huir.
Por lo tanto, en lugar de pensar en el panorama de las amenazas como una pasarela, podríamos dar un paso atrás y observar lo que realmente está involucrado en preparar el escenario en primer lugar. En lugar de reaccionar ante cualquier amenaza que esté “en boga”, debemos pensar en lo que podemos hacer para detener, prevenir, detectar y luego responder.
Sé que en retrospectiva siempre es 20/20, y todo el mundo es un crítico mirando hacia atrás, pero si todo lo que hacemos es ofrecer respuestas estándar y recomendaciones basadas en los “últimos” hallazgos, las organizaciones nunca estarán tan seguras como deberían.
Es tentador, desde la perspectiva de un cínico, pensar que este será siempre el caso, pero estoy seguro de que si los defensores dejaran de centrarse en las amenazas “de moda” y en su lugar miraran algunos pasos de resiliencia más básicos y menos “jugosos”, podríamos elimine muchas más amenazas de raíz antes de que se conviertan en un problema. Quizás entonces la conversación pueda cambiar.
The Secret IR Insider trabaja en el proveedor de soluciones y servicios de seguridad cibernética Check Point Software.
Como especialistas en respuesta a incidentes (RI), se encuentran en la primera línea de la batalla en curso contra los ciberdelincuentes maliciosos, el ransomware y otras amenazas.
Su verdadera identidad es un misterio.