“Microsoft Patch Tuesday, Exploit Wednesday” era una broma. Ahora es la realidad. Los adversarios utilizan el desensamblador LLM para aplicar ingeniería inversa a parches, detectar fallas subyacentes, desarrollar exploits y comenzar a escanear Internet en busca de objetivos, todo dentro de un día de su publicación. Hace cinco meses esa ventana era de cuatro días.
James Blake es director global de estrategia de resiliencia cibernética en Cohesity.
El problema no son los nuevos métodos de ataque. Apresúrate a parchearlo. Muy pocas organizaciones pueden aplicar parches en un día. CISA otorga incluso a las empresas estadounidenses más críticas 30 días para reparar las vulnerabilidades de Internet. Si tiene una infraestructura Fortinet, Evanti, Cisco o Microsoft orientada a Internet, la pregunta no es si la solucionará, sino cuándo.
Esto no es una predicción. Es aritmética simple.
La seguridad no puede cerrar la brecha
La razón por la que las organizaciones necesitan resiliencia es para protegerse contra fallas. No ocasionalmente, sino regularmente. El instinto de los equipos de seguridad es responder con más protección: mejor EDR, más inteligencia sobre amenazas, ciclos de parches más rápidos. Todo esto es necesario, pero ninguno es suficiente.
A lo largo de cada incidente al que respondió mi equipo, todas las empresas cuyos datos estaban cifrados tenían una solución EDR actualizada. No importa.
Existen al menos ocho métodos conocidos para eludir las herramientas EDR. Lo más común es implementar un módulo de kernel vulnerable a través de un exploit rudimentario ubicado en la parte superior del firmware, donde las capacidades de detección son efectivamente ciegas. Este es el manual estándar, no el caso extremo.
La inteligencia sobre amenazas tiene el mismo problema estructural. Por definición, detrás de ese comportamiento se esconde inteligencia sobre el comportamiento de un adversario. Incluso las estrategias de parcheo basadas en inteligencia de amenazas, donde las organizaciones priorizan las vulnerabilidades en función de la actividad de explotación conocida, tienen un retraso incorporado. La sabiduría llega sólo después de abrir la ventana.
La IA está acelerando la invasión del espacio del phishing, aunque de forma diferente. La IA puede analizar cómo las personas elaboran sus correos electrónicos y crear suplantaciones lo suficientemente convincentes como para engañar a sus colegas.
Los ataques de compromiso de correo electrónico empresarial que alguna vez requirieron experiencia y acceso significativos ahora se pueden realizar rápidamente y a escala. Los oponentes siempre hacen esto. La IA acaba de bajar la barrera considerablemente.
Es necesario que haya organización conversacional.
Las empresas deben aceptar una verdad inquietante: los ataques se producirán sin importar cuán excepcional sea el equipo de seguridad. Algunos CISO todavía creen lo contrario. Le dirán a su junta directiva que un presupuesto y una plantilla adecuados salvarán a la empresa. Pero el incumplimiento de las empresas más grandes y mejor financiadas muestra que esa suposición no se basa en la realidad.
La mayoría de los líderes de seguridad todavía evitan esa conversación con la empresa. Deberían liderar con eso. La IA no está introduciendo estrategias de ataque fundamentalmente nuevas. Está acelerando lo que los adversarios ya están usando. Y si la protección ya ha fallado antes, la IA es más fuerte que nunca para generar una resiliencia real.
Una planificación madura de la seguridad no comienza con cómo prevenir cada ataque, sino que reconoce que algunos inevitablemente tendrán éxito. Esto desplaza la discusión de una esperanza poco realista de cerrar todas las vulnerabilidades a cómo continuar operando si un ataque tiene éxito.
Tres lugares para empezar:
- Mapee sus servicios comerciales más importantes y la infraestructura detrás de ellos. La mayoría de las organizaciones encuentran brechas que no sabían que existían.
- Verifique si su configuración de red tiene una copia de seguridad. La mayoría de las organizaciones no lo hacen.
- Simule la pérdida de Active Directory y del correo electrónico corporativo simultáneamente. Qué superficies te dirán más sobre tu postura de resiliencia que cualquier prueba.
Ya sea que un exploit tarde cuatro o uno días en desarrollarse, la estrategia de resiliencia es la misma: identificar los servicios más esenciales antes de que se produzca una crisis, mantenerlos bajo presión y reconstruir la confianza en todos los niveles (red, identidad, acceso) antes de declarar seguro el entorno.
Cuando las vulnerabilidades se explotan en horas, no en días, la seguridad no llega a la prevención. Se trata de la rapidez con la que una organización puede superar el fracaso. En un mundo de “hazañas de Mercurio”, la resiliencia -no la velocidad- determina quién permanecerá operativo.
Hemos presentado el mejor software de seguridad para terminales
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
