¿Predictor o trampa? Evaluadores de seguridad de terceros

¿Predictor o trampa? Evaluadores de seguridad de terceros

  • jueves 5 enero, 2023

En caso de que no se haya enterado, el uso de terceros para probar la higiene cibernética de socios comerciales y proveedores se ha vuelto cada vez más común. No se habla mucho. De hecho, casi nada. En Radware, sin embargo, nos hemos dado cuenta de esta tendencia creciente, incluso dándole su propio nombre: cumplimiento en la sombra.

En resumen, el cumplimiento en la sombra se reduce a la confianza. Es como irrumpir en un banco para probar su seguridad antes de confiarles su dinero. Solo en el caso del cumplimiento de la sombra, la prueba no es ilegal. Lo que es importante recordar es que los resultados pueden no ser una evaluación justa de la higiene cibernética del sujeto.

«¿Cómo pudo pasar esto?»

Estar preocupado por la ciberseguridad de socios y proveedores no es nada nuevo. Durante años, se manejaron cuestionarios y documentos solicitados. Una vez que las respuestas se proporcionaron satisfactoriamente, las casillas se podían marcar, lo que indicaba que estaba bien seguir adelante. Pero este tipo de cumplimiento fue desechado hace dos años cuando la empresa de software SolarWinds fue atacada en diciembre de 2020.

El ataque a la cadena de suministro de software, que fue lanzado por el servicio de inteligencia ruso SVR, afectó a varios clientes de SolarWinds. Los dejó preguntándose cómo un producto confiable de larga data podría ser responsable de una vulnerabilidad que afectó a tantas empresas. Y se lanzó a través de una actualización de software simple y variada del producto Orion de SolarWinds, que ayuda a los clientes a administrar sus sistemas e infraestructura tecnológica. SVR insertó sigilosamente un código malicioso en la actualización a través de una puerta trasera que descubrió. Fue un ataque grande, aterrador y exitoso. En realidad, sin embargo, la vulnerabilidad se trataba en última instancia de la confianza. Hizo que millones se preguntaran ¿Cómo pudo haber sucedido esto?

Los falsos positivos no cuentan la historia real

Las evaluaciones de seguridad de terceros pueden venir desde grandes empresas bien establecidas hasta antiguos piratas informáticos que se anuncian como perfectos para el trabajo. R Para atrapar a un delincuente, debe pensar que una mentalidad puede resultar eficaz, pero puede que no. Incluso las grandes empresas de seguridad establecidas también pueden generar falsos positivos. Un falso positivo sin un contexto de respaldo podría significar la pérdida de clientes, participación de mercado e ingresos.

Considere este ejemplo. Un proveedor de tecnología establecido tenía millones de dólares en riesgo cuando su cliente, un gran banco, recurrió a una firma de evaluación de seguridad de terceros para determinar si realmente se podía confiar en su proveedor. Las pruebas descubrieron anomalías en la red del proveedor. Naturalmente, el banco quería respuestas, y rápido. Después de todo, los activos de miles de clientes podrían estar en riesgo.

Se determinó, aunque tardó dos meses en descubrirse, que las anomalías eran el resultado de un análisis de seguridad realizado por el equipo de TI de la empresa de tecnología. Entonces, durante dos meses, la empresa de tecnología dedicó un tiempo y un gasto incalculables a investigar la causa de las anomalías con las que no tenía nada que ver. Si se emitió una disculpa no es el punto. Lo que definitivamente se perjudicó fue la confianza que se había establecido entre vendedor y cliente. Y quién sabe cuántas personas se enteraron de los resultados de las pruebas sin saber que eran falsos. Su buen nombre puede haber sido manchado en el mercado. Un falso positivo puede haberles costado millones en ingresos, cientos de clientes y mala prensa que probablemente les tomó mucho tiempo y gastos para recuperarse.

Preparación para el cumplimiento de la sombra: 4 elementos imprescindibles a tener en cuenta

Para ayudar a garantizar que su empresa pase una prueba de ciberseguridad sigilosa que se está realizando sin su conocimiento, aquí hay cosas que ayudarán a preparar a su organización.

Definitivamente sudar las cosas pequeñas

No hay duda, hay muchas tareas que mantendrán tus defensas que no son nada del otro mundo. No son emocionantes. Los hay mundanos, incluso aburridos. Pero ignorar cualquiera de ellos puede dejar fácilmente a su organización expuesta a ataques. Y si alguno no está abrochado, puede quedar expuesto fácilmente en una auditoría de seguridad cibernética. Si no se abordan las tareas más simples y mundanas, eso dirá mucho sobre su organización. Nadie quiere confiar sus valiosos datos a un socio o proveedor que pasa por alto los detalles.

Limite el acceso al sistema a unos pocos seleccionados

Suena como algo simple e intuitivo a tener en cuenta, pero es sorprendente cómo esto se aleja de las organizaciones. El acceso otorgado aquí y allá eventualmente lleva a que muchos lo tengan. Pregúntele a un miembro de TI cuántas personas tienen acceso a sistemas y aplicaciones, y tenga la seguridad de que su suposición será muy inferior al número real. Con el tiempo, realmente se suma. No realizar un seguimiento puede aumentar su superficie de ataque de un individuo a la vez.

Haga un inventario cuidadoso de su inventario

Al igual que el acceso, los activos, incluidas las aplicaciones, las bases de datos, el hardware y el software, pueden salirse de control con el tiempo. si no ha sido monitoreado, una auditoría de inventario integral puede producir resultados sorprendentes. Es como mirar en tu ático después de años en una casa; no puedes creer la cantidad de cosas que has acumulado.

Además, los inventarios deben incluir la gestión de la configuración. Esto ayuda a garantizar que su organización utilice las últimas versiones compatibles y características de seguridad. Vuelva a verificar su trabajo con cada proveedor. Le informarán si está aprovechando lo último de todo, en cuanto a seguridad, relacionado con sus productos y servicios.

Supervisar, gestionar y mantener constantemente

Una mentalidad de «configúrelo y olvídese» es una excelente manera de fallar en una auditoría de seguridad cibernética. Recuerda, los malos actores no piensan así. Las amenazas evolucionan constantemente. Crean nuevos por minuto. Eso no va a cambiar. La última palabra que podría usar para describir la ciberseguridad es estática. Entonces, es mejor que la diligencia sea una de las palabras que describa y defina su estrategia de ciberseguridad.

El monitoreo y el mantenimiento de sus necesidades de higiene cibernética incluyen pruebas periódicas, incluidos escaneos de vulnerabilidades y pruebas de penetración. Es una buena idea usar un tercero para hacer esto. Examinarán su infraestructura de manera objetiva. Llevarlos a cabo internamente es demasiado subjetivo, lo que facilita pasar por alto los problemas que su equipo da por sentado.

¿Preguntas sobre cómo obtener una calificación aprobatoria en Shadow Compliance?

Si tiene preguntas sobre la higiene cibernética de su organización y sobre cómo aprobar un examen de cumplimiento en la sombra próximo y desconocido, hable con los profesionales de seguridad cibernética experimentados y talentosos de Radware. Llevan años proporcionando seguridad y tranquilidad a miles de empresas y al sector público. 

¿Quieres saber más?

ventas@advance-nt.com

www.advance-nt.com

5556730701