La mayoría de los ataques comienzan con correos electrónicos maliciosos dirigidos a empleados, con el fin de comprometer un dispositivo y mediante movimientos laterales encontrar activos de mayor valor.
Las pruebas tradicionales evalúan una parte de la infraestructura de una organización, en muchos casos esto es exigido por regulaciones, sin embargo, las pruebas de penetración y análisis de vulnerabilidades no son suficientes debido a los siguientes motivos:
- Hipótesis falsas: Se realizan pruebas de seguridad tomando como base que estamos seguros, pero en el mundo de hoy eso no necesariamente es cierto. Es más real asumir que estamos comprometidos y probar lo contrario.
- Incompletas: Las defensas se prueban únicamente de afuera hacia adentro, sin mostrar el estado de compromiso de la organización, lo que es clave para poder tomar acciones informadas.
- Limitadas: Muestran una imagen específica en un momento dado y dependen en gran medida de la habilidad de la persona que realiza las pruebas.
- Confía en el eslabón más débil: Las pruebas de seguridad se basan en que todos los ataques ocurren explotando vulnerabilidades, pero la realidad es que es mucho más fácil enviar un correo con un enlace malicioso para comprometer una organización.
Las arquitecturas de ciberdefensa han crecido en cuanto a complejidad, las amenazas evolucionan constantemente, y los proveedores de defensa se han centrado en “detectar y luego mitigar”, basando la evaluación de seguridad exclusivamente en pruebas de penetración y análisis de vulnerabilidades, lo cual genera a las organizaciones una falsa sensación de seguridad.
La industria requiere un nuevo enfoque, porque ¿quién puede decir con total certeza si su empresa está o no comprometida? Las compañías necesitan entender la efectividad de las soluciones que tienen implementadas, y ante el panorama actual de ciberataques es hora de asumir que están comprometidas y probar lo contrario. Medir continuamente el nivel de compromiso de una organización permite enfocarse en donde realmente están los problemas, en lugar de seguir adicionando capas de seguridad para la amenaza de moda.
“La medición continua de compromiso se ha vuelto una necesidad y las organizaciones que logran saber qué se esconde en su propia data podrán empoderarse y perfeccionar sus estrategias de defensa. La industria de ciberseguridad tiene una gran oportunidad: dotar a las organizaciones de conocimiento correcto en cuanto a niveles de compromiso, a través de la implementación de metodologías de testeo que estén probadas y sean verdaderas”, concluye el CEO de Lumu.