No hay duda de que las empresas están en la mira de posibles delincuentes que buscan explotarlas. Si bien las empresas buscan soluciones y capacitación para ayudar a mantener el perímetro seguro, el mayor punto de falla a menudo son los empleados, también conocido como el elemento humano.

En este podcast de Threatpost, patrocinado por Salida, nos sentamos con Jack Chapman para discutir los pasos y las tácticas que las empresas pueden tomar para mantenerse un paso por delante de sus adversarios.

Durante nuestra conversación, discutimos:

– Debilidades que los atacantes buscan explotar
– Evolución de los juegos de herramientas
– Asegurar MFA y más

Una transcripción abreviada está disponible a continuación.

Jeff Espósito: Hola a todos y bienvenidos a la última edición del Podcast de Threatpost. Hoy nos acompaña Jack Chapman de Egress. Es el vicepresidente de inteligencia de amenazas en Egress y tiene la tarea de comprender profundamente el panorama en evolución de las amenazas cibernéticas para mantenerse un paso por delante de los ciberdelincuentes.

Aprovechando estos conocimientos y su amplio conjunto de habilidades de investigación y desarrollo, Jack supervisa la inteligencia de amenazas para Egress. Jack cofundó anteriormente la empresa antiphishing Aquila AI y se desempeñó como director de tecnología, trabajando en estrecha colaboración con la agencia de inteligencia y cibernética del Reino Unido GCHQ para desarrollar capacidades de productos de vanguardia. Aquila AI fue adquirida por Egress en 2021. Jack, bienvenido al podcast. ¿Cómo estás hoy?

Jack Chapman: Bien, Jeff. Encantado de estar aquí.

I: Siempre es bueno verte. Con suerte, todo va bien en el Reino Unido hoy. Entonces, al analizar sus antecedentes, quería ver si podíamos sumergirnos un poco en el lado más oscuro de la ciberseguridad y mirar dentro de la mentalidad del atacante. ¿Es algo con lo que estás bien?

JC: Ese es mi pan y mantequilla, es lo que hago a diario, es mi tema favorito.

I: Bueno, eso es algo bueno porque luego vamos a sumergirnos un poco. Entonces, ¿cuáles son algunas de las debilidades que los atacantes buscan explotar en las empresas?

JC: El número uno es la gente. Se trata en gran medida de que los atacantes fueron una especie de crimen a medida que los ecosistemas de servicios maduraron, pasaron a un modelo de gran retorno de la inversión. Y la gran mayoría de los atacantes están muy motivados económicamente. Y como parte de eso, evalúan sus TTP y cómo atacan a las organizaciones. Y curiosamente, cuando decimos en voz alta, tiene sentido, es mucho más barato y fácil apuntar a un humano que invertir medio millón de dólares en el próximo día cero. Por lo tanto, está muy centrado en el ser humano y, a partir de ahí, crece lo que permite los otros ataques.

I: Así que parece que no importa lo que cambie el año, siempre será ese elemento humano el mayor problema para las empresas.

JC: Si absolutamente. Y casi parecía que estaba cambiando hace un par de años, pero luego las organizaciones y en general, hemos madurado nuestra postura cibernética, hemos implementado una especie de OWASP, los 10 principales, con pruebas de penetración y políticas de contraseña, que es genial de ver. Y es casi como si hubiéramos vuelto a centrar a los atacantes en la pieza tradicional, así que volvemos a las personas.

I: Y es como, ¿es solo phishing? ¿Hay otras cosas como las que sé, hemos visto cosas como que la gente ha perdido el USB en las caídas que hemos visto en el pasado? ¿Pero es solo phishing? Esa es la capa más fácil, ¿hay otras opciones para eso?

JC: Creo que el phishing es la gran mayoría, pero tienes los elementos marginales como la ingeniería social, el phishing, el smishing y todos estos otros excelentes términos de marketing que tenemos en la cibernética en su conjunto, que no, ellos no me vuelvas loco en absoluto, sinceramente. Pero luego, a partir de eso, estamos comenzando a ver más cosas sobre los ataques de repetición de infracciones, y la cantidad de infracciones de datos en las que se encuentran las personas y las organizaciones y ese es el otro canal principal en el que parece ser el phishing y la reproducción de infracciones en este momento.

I: Bien, ahora, una vez que los atacantes están adentro, ya sabes, ¿cómo han evolucionado los conjuntos de herramientas y qué organizaciones deben estar al tanto?

JC: Creo que las dos formas principales en que han evolucionado son la sofisticación y la automatización. Entonces, aunque estamos usando el mismo lenguaje para todos estos ataques, han avanzado un poco más. Entonces, solo un ejemplo de este, uno que vi la otra semana, era un ataque de phishing que cuando el usuario hacía clic en el enlace, buscaba automáticamente su registro MX, para ver qué carga debería mostrar al usuario, cuál es una gran innovación desde el punto de vista de los atacantes, pero a veces hace que sea bastante difícil de proteger.

Entonces, en términos de esa base de conocimiento, ¿qué necesitamos saber para manejar este aumento en la sofisticación, la automatización, en primer lugar, una especie de cambio en la actitud de esperar que continúe más de esto? Es una fuerte tendencia que va a ocurrir, y realmente reevaluar si los extremos tradicionales que tenemos en su lugar, porque la otra gran cosa que ha cambiado en este cambio, si lo desea, es el aumento de cuentas comprometidas donde un correo electrónico tendrá un correo electrónico fantástico. autenticación, la marca D del comando SPFD, pero también será un dominio más antiguo. Tiene más de dos años. Tiene mucho flujo de correo, todas las cosas alrededor de las cuales tradicionalmente podíamos crear soluciones de seguridad. Los atacantes han identificado nuestra metodología y la han roto esencialmente. Entonces, desde nuestro punto de vista, no se trata solo de confiar en la misma solución de esa manera, es importante reevaluar realmente los riesgos que enfrentamos en ese espacio.

I: Ya sabes, el seguimiento de eso, sin embargo, es un juego gigante del gato y el ratón. Y parece que, ya sabes, este es uno de esos lugares, ese será el lugar final donde las empresas deben mantenerse al tanto de este, de lo contrario, podrían ser víctimas de uno de estos tipos de ataques. Ahora, hablando del punto de vista de la empresa, ¿cómo están atrasadas las empresas cuando se trata de capacitación y mantenerse al día con la tecnología?

JC: Creo que probablemente, especialmente desde el punto de vista de la capacitación, sé que mi mayor frustración y hablé con muchas organizaciones es que piensan que la capacitación es la solución en sí misma. Y es uno de esos temas, mientras que las expectativas frente a la realidad. Pero la capacitación es un gran activo cuando se trata de ciberseguridad. Queremos traer a nuestros usuarios comunes con nosotros en este viaje hacia ese tipo de eficacia cibernética, lo que diría, bueno, no son expertos cibernéticos. No es su trabajo serlo, pero son parte de la solución y no del problema potencial.

Parte del problema, especialmente cuando se trata de ingeniería social, es este tipo de pensamiento tipo uno, tipo dos, donde un ataque está diseñado para mantener a las personas en el tipo uno, que es muy instintivo, receptivo, en lugar del tipo dos, que es ese pensamiento más lento y metódico. proceso de salida. Donde la suposición con mucho entrenamiento está bien, puedes hacer que las personas se detengan y piensen, sin embargo, si un ataque te mantiene en ese tipo, no podrán volver a su entrenamiento, por lo que muchos ataques están diseñados para casi socavarlo. Entonces, para mí, el entrenamiento es una parte clave del tipo de protección en capas hacia él.

Pero necesita tecnología para superponerse esencialmente a eso, que pueda ayudar a detectarlo, especialmente algunos de estos ataques más sofisticados. Cualquier política también. Entonces, si alguien solicita una transferencia financiera, llámelo por teléfono, haga algo completamente fuera de la cadena de comunicación. Romper, romper desde el punto de vista de los atacantes, creo que recurriendo a estos tres, que son pilares bastante tradicionales de los que hablamos todo el tiempo y la industria, y cómo se interrelacionan. Creo que la forma en que este tipo de personas, tecnología y políticas se interrelacionan es una oportunidad para ayudar a mitigar el cambio en la sofisticación.

I: Y creo que profundizar un poco más en esto, y uno de los puntos aquí que creo que se destaca, especialmente en la capa tecnológica sobre la capacitación, es el hecho de que, cuando mucha gente mira las capacitaciones y las empresas, pienso que es fácil, oye, esto es con nuestra capacitación de cumplimiento una vez al año. Y es algo que parece estar condenado al fracaso si buscas entrenar solo para encontrar la solución.

JC: Absolutamente. Y creo que ahí es donde entra la expectativa, ¿a qué amenazas se enfrenta realmente como organización? ¿Cuáles son los riesgos? ¿Dónde están tus joyas de la corona? Y hablamos bastante de algo que registra el riesgo. Y también está vinculando el entrenamiento y la tecnología a eso, porque lo desafortunado que lo hace bastante difícil en el lado defensivo es que cada organización es diferente. Su panorama de amenazas es diferente, su apetito por el riesgo es diferente.

Y es importante que sean tratados como individuos sobre cómo los protegemos también. Entonces, una de las razones por las que me metí en la cibernética en primer lugar fue que es mucho más difícil defender el sistema que atacarlo. Así que creo que, en ese sentido, es muy importante la innovación continua. El hecho de que la capacitación haya funcionado en el pasado no significa que seguirá funcionando. Incluso si es solo el mismo entrenamiento, actualizarlo ayuda, actualice los canales que usa, busque otras opciones también.

I: Y creo que creo que lo que dijiste es llegar a ese punto aún más, y cuando acabas de hablar de, ya sabes, la persona que levanta el teléfono y habla de una transferencia bancaria, creo, ya sabes, solo este año, ha habido al menos seis de esos de los que podrías haber oído hablar, y no es una pequeña cantidad de dinero lo que la gente está perdiendo. Así que creo que definitivamente es un enfoque que los practicantes deben seguir y aprecio el hecho de que eres un buen tipo y que encuentras mejor y más desafiante hacer el lado bueno de las cosas. Ahora, volviendo a, ya sabes, las apropiaciones de cuentas y cosas, uno de los temas más candentes que creo que sabes, que mucha gente ha compartido es la necesidad de MFA. Pero parece que incluso con esto, es una medida de seguridad que tiene fallas y puede abrir la puerta. ¿Estoy en lo correcto y estoy leyendo eso o es algo un poco diferente?

JC: Sí, creo que MFA es un paso clave para nuestra postura de seguridad, agrega una barrera de entrada y dificulta que los atacantes comprometan las cuentas y luego las usen como activos u obtengan todo el tipo de resultado deseado. Creo que la dificultad con MFA es que demasiadas organizaciones piensan que tengo MFA, por lo tanto, estoy seguro, y ese es el final del viaje para ellos. Donde lo que estamos viendo es desde el punto de vista de los atacantes, la cantidad de herramientas y servicios automatizados que tienen para eludir MFA está aumentando y aumentando rápidamente.

Todo, desde hacer una especie de ataques de hombre en el medio donde instalan una cookie o raspan las cookies de su computadora portátil, hasta el uso real de los servicios de autenticación completos donde pretenden iniciar sesión en Microsoft de Microsoft, por ejemplo, en su nombre. . Entonces, un atacante se ha dado cuenta de que esa es una barrera de entrada y la está superando con rapidez. Así que creo que es clave tenerlo porque nos gustaría frustrar a los atacantes, pero no podemos confiar únicamente en él.

I: Y creo que con esa parte, hay tantas formas diferentes en que las personas ven MFA, ya sean claves de seguridad, ya sea un autenticador, ya sea que esté allí, digo, SMS en algunos casos también, como, ¿cuáles son algunos de ¿Cuáles son las mejores prácticas que cree que las organizaciones deben seguir cuando implementan esto en sus entornos?

JC: El primer paso es tenerlo. Entonces, una implementación no perfecta es el 99% de las veces mejor que ninguna, porque hablo con muchas organizaciones y dudan porque no pueden hacerlo a la perfección. Así que empujo ligeramente esa lógica. En otras formas, diría cómo puede implementarlo de tal manera que no tenga que frustrar a sus usuarios, dependiendo de lo que esté protegiendo. Porque al final del día, si la seguridad no funciona para las personas, a menudo encuentran una forma de evitarlo, es algo desafortunado porque tienen trabajos que hacer. Lo que diría sobre eso es que haga un tipo de enfoque razonado y razonable. Entonces, ¿tiene reinicios semanales? ¿Hacéis reinicios mensuales? ¿Nuevos dispositivos? Y esa es la conversación que debe tener todo su equipo de seguridad sobre lo que funciona mejor para su organización en ese lugar, tanto desde el punto de vista operativo y de riesgo como desde el punto de vista del cumplimiento y en qué vertical se encuentra su organización.

I: Entonces, con ese punto, este es un lugar realmente interesante en el que quiero profundizar un poco más. Porque antes hablábamos de cómo los empleados son el eslabón más débil, el número uno. Número dos, cuando analizas esto un poco más, ya sabes, implementamos tecnologías para asegurarlos. Pero luego, la tercera parte al respecto, ahora, cuando los usuarios configuran una forma de absorber el MFA, casi actúan como piratas informáticos casi internos, porque tienen que hacer su trabajo para hacerlo. Por ejemplo, ¿hay alguna manera de implementar MFA específico para funciones de trabajo o cosas por el estilo?

JC: Sí, depende del tipo de tecnología y de lo que esté tratando de lograr. Lo sé, en la industria, tenemos este concepto de una especie de defensa de la joya de la corona. Entonces, ¿son solo ciertos activos los que necesita proteger por encima y más allá, y hay una especie de soluciones de almacenamiento seguro que puede usar para agregar una capa adicional, donde obtuvo protección general o una especie de uso compartido de archivos general, y entonces tienes un nivel arriba si quieres. Además, dependiendo del tipo de función laboral, la otra forma de ver esto es desde una base de riesgo. ¿Qué individuos están en mayor riesgo según los comentarios de su capacitación? Y creo que esta es una oportunidad clave, cuando se crea una especie de política de seguridad, se usan las capas de ajuste de seguridad para alimentar la creación de otras capas. Entonces, ¿cuáles son sus principales riesgos? ¿Cómo los estás mitigando? Y luego, ¿quiénes son las personas alrededor de esos riesgos principales? Y de esa manera, tiene una metodología bastante buena que es razonada y apropiada pero que aún así asegurará a la organización.

I: Y creo que esa es la clave ahora, antes de que te dejemos ir hoy, Jack, tengo una pregunta final para ti, y es cómo ves que evolucionan los juegos de herramientas y los ataques en el futuro.

JC: Los veo siguiendo la tendencia actual en la que son más fácilmente accesibles y se vuelven más baratos y más automatizados. Sin embargo, podría predecir, mire en mi bola de cristal aquí que se van a convertir y se conectarán con más fuentes de Osen. Así que raspando las redes sociales, raspando las infracciones. Casi ir hacia un ataque dirigido más automatizado, phishing de lanza automatizado. En una escala más grande, estamos empezando a ver que los criminales prueban esto, están más usando infracciones para dirigir sus ataques basados ​​en plantillas y haciendo búsquedas. Pero esperaría que este tipo de aumento en la sofisticación continúe.

La otra tendencia que estamos viendo en esto, que desafortunadamente espero que no cambie, es la cantidad de técnicas de ofuscación y contradetección integradas en estos conjuntos de herramientas. Cosas como usar una fuente de tamaño cero y texto en blanco dentro del propio correo electrónico. Entonces, el usuario ve algo completamente diferente a lo que vería una máquina. Y no creo que un atacante vaya a cambiar esta tendencia general hasta que deje de tener éxito para ellos, lamentablemente. Así que ahí es donde es importante para nosotros intentar dar ese paso adelante. Siempre hablamos sobre esta espada y escudo, nos hemos movido en el lado defensivo hacia adelante, luego los atacantes se mueven hacia adelante. Y creo que para nosotros es cómo podemos socavarlos aquí porque actualmente tienen este paso adelante sobre nosotros.

I: Pero creo que es una de esas cosas que definitivamente debemos vigilar. Y creo que definitivamente también vamos a estar atentos al trabajo que está haciendo tu empresa, Jack, pero eso nos lleva al final del podcast de hoy. Así que quería agradecerte por el tiempo de hoy, Jack, y desearte nada más que el mejor de los éxitos en el futuro en estas cosas.

JC: Gracias, Jeff. Ha sido un placer.