La historia cuenta que se le preguntó una vez al infame ladrón de bancos, Willie, «¿Por qué robas bancos?». Y él respondió: «Porque ahí es donde está el dinero». Tiene mucho sentido, ¿verdad? Bueno, pero en realidad el dinero ya no se encuentra ahí en estos días. Tu sucursal local podría tener algo de dinero, sin duda. Pero, ¿dónde está el dinero grande? No está en el banco. Está en línea. Está en sus sistemas de TI. Está digitalizado. Son unos y ceros. Entonces, si vamos a hablar de seguridad, echemos un vistazo a la analogía que comienza con un banco y las amenazas que vemos allí. Y echemos un vistazo a cuál sería su componente de TI similar. Entonces, ¿qué enfrentamos en cada uno de estos casos? Bueno, comienza con la idea de amenazas. ¿Entonces, qué es una amenaza? Bueno, una amenaza es cualquier acción que pueda deshacer el funcionamiento del sistema. Amenaza la operación normal del sistema y produce un efecto adverso. Podríamos tener amenazas que, en el caso de un banco, podrían ser un robo. Y en un sistema de TI, podría ser una intrusión o una campaña de malware. Así que esta es la amenaza general, hay una analogía aquí.
El siguiente aspecto a considerar es el actor de la amenaza. En el caso del banco, ese sería el ladrón. En el ejemplo de TI con una campaña de malware, es la persona que escribió el malware o está distribuyendo el malware. A continuación, debemos considerar las vulnerabilidades. Las vulnerabilidades son debilidades en el sistema. ¿Cuál es una debilidad en el sistema de un banco? Bueno, los bancos tienen ventanas, y las ventanas están hechas de vidrio, y el vidrio es débil. Hablaremos sobre cómo se puede explotar eso en un momento. Pero esa es la vulnerabilidad, el vidrio. ¿Qué pasa con los cajeros mismos? Podrían ser amenazados para entregar el dinero. Otras cosas podrían ser los procedimientos, como cuando llega el camión de dinero. ¿Tenemos asegurado el camino desde el camión hasta la bóveda y viceversa? Si los procedimientos no son correctos, entonces podríamos ser vulnerables. ¿Cuál sería el ejemplo de TI en este caso? Bueno, si estamos hablando de una campaña de malware, probablemente esté aprovechando algún error en el software. Entonces hay alguna vulnerabilidad que se ha introducido en el software mismo.
A continuación, tenemos que considerar una explotación. ¿Entonces, qué sería una explotación? En el caso de una ventana, podrías lanzar una piedra a través de ella. Bueno, también podrías lanzar un ladrillo. O podrías lanzar una palanca a través de ella. Esos son tres exploits diferentes que aprovechan la misma vulnerabilidad subyacente de que el vidrio se puede romper. Ahora, tenemos el mismo tipo de cosas que pueden ocurrir en los sistemas de TI. Pero el exploit en el caso de un ataque de malware será algún código, el propio malware, que aprovecha la vulnerabilidad subyacente en el sistema operativo o en una aplicación. Hará alguna actividad maliciosa, sobrescribirá la memoria o algo así. Ese es nuestro exploit.
Luego tenemos que considerar el riesgo. El riesgo básicamente implica cuantificar y examinar cuál es el problema aquí. ¿Cuál es la probabilidad de que esto ocurra? ¿Cuál es el costo si de hecho sucede? ¿Cuál es la probabilidad? ¿Cuál es la frecuencia? Esas son las cosas que consideramos en el riesgo. Y tenemos eso tanto en el ejemplo del banco como en el ejemplo de TI. Y finalmente, observamos cosas como los controles, o a veces llamamos a esto contramedidas en seguridad. Ahora, en el banco, vamos a ver ciertos tipos de controles que son específicos para ese entorno. Como poner alarmas en el banco, poner cámaras, poner guardias en el banco. ¿Qué vamos a hacer en el sistema de TI? Bueno, hay diferentes tipos de controles que podemos implementar en estos casos. De hecho, estos controles se dividen en tres tipos diferentes. Uno es un control técnico. Un control administrativo. Y un control procedimental.
Por ejemplo, un control técnico podría ser cosas como decir que vamos a parchar todo nuestro software. Vamos a instalar un antivirus en todos nuestros sistemas. Vamos a utilizar un sistema de detección y respuesta en el punto final (EDR) en lugar de antivirus. Vamos a configurar algo como un sistema de respaldo para poder recuperar los datos si han sido comprometidos. Vamos a contar con capacitación de usuarios para que sepan que no deben hacer clic en enlaces y caer en ataques de phishing y terminar infectando sus sistemas. Podríamos tener otras cosas como un sistema de gestión de eventos e información de seguridad (SIEM) o un sistema de detección y respuesta extendido (XDR) que es esencialmente como el sistema de alarma que nos permite investigar todo el entorno de TI. Y luego tendríamos algo para la respuesta ante incidentes. ¿Qué vamos a hacer una vez que tengamos el problema? ¿Cómo respondemos ante esto? Y eso es lo que llamamos un SOAR en el ejemplo de TI, una plataforma de orquestación, automatización y respuesta de seguridad, que nos permite unificar todas estas cosas.
Amenazas, Vulnerabilidades y Control en la Seguridad de TI:
| Amenazas | Vulnerabilidades | Control |
|---|---|---|
| Robo de un banco | Vidrios de las ventanas, procedimientos de seguridad | Alarmas, cámaras, guardias |
| Campaña de malware | Errores en el software | Parches de software, antivirus, EDR, respaldo de datos, capacitación de usuarios, SIEM, XDR, SOAR |
Preguntas frecuentes:
1. ¿Qué es una amenaza?
Una amenaza es cualquier acción que pueda poner en peligro el funcionamiento normal de un sistema.
2. ¿Qué son las vulnerabilidades?
Las vulnerabilidades son debilidades en un sistema que pueden ser explotadas para causar daño o acceso no autorizado.
3. ¿Cómo se pueden controlar las amenazas y vulnerabilidades en un sistema de TI?
Se pueden implementar controles técnicos, administrativos y procedimentales para mitigar las amenazas y proteger contra vulnerabilidades. Estos controles incluyen parches de software, antivirus, sistemas de respaldo de datos, capacitación de usuarios, SIEM, XDR y SOAR.
Gracias por leer este artículo. ¡Mantente seguro en línea y no olvides consultar nuestros artículos relacionados en todoforti.net!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!