Aamir Lakhani, investigador de FortiGuard Labs, explica por qué las organizaciones deben extender la capacitación en conciencia cibernética en toda la empresa, desde los luditas hasta los ejecutivos.
En estos días, el ransomware es aparentemente omnipresente. Ya no es solo un tema de discusión para los profesionales e investigadores de la ciberseguridad, en estos días parece que rara vez pasa una semana sin que esté en los principales medios de comunicación.
Se ha convertido rápidamente en una palabra común y, en algunos aspectos, esta mayor visibilidad es un avance positivo. Si bien no es bueno que todos hablen de ello en relación con los ataques recientes, lo bueno es que la conciencia (con suerte) también está aumentando. Porque en el mundo actual, básicamente todo el mundo es un objetivo potencial para el ransomware, y eso significa que los profesionales de la seguridad tienen mucho trabajo por delante.
Mayor vulnerabilidad en general.
Incluso los luditas más reconocidos entre nosotros probablemente tengan al menos una pequeña huella digital, lo sepan o no. Si compra alimentos con una tarjeta de débito, visita a un médico o paga impuestos, hay información personal sobre usted en un formato digital en alguna parte. Y eso es solo por nombrar algunos ejemplos.
Eso significa que la mentalidad de "Oh, no tengo nada que les interese a los ciberdelincuentes" debe dejarse de lado para siempre. Sí, lo hace, e incluso si no cree que lo haga directamente, probablemente esté conectado con otra persona con activos digitales más valiosos, y los malos actores intentarán usarlo como un camino. Y como profesionales de la seguridad, debemos hacer que todos comprendan esto.
La explosión de ataques es el resultado de que los actores de amenazas recogen la fruta más barata con "recolectores" digitales increíblemente poderosos y recursos escalables, incluidos los enfoques automatizados y el aprendizaje automático. Por ejemplo, considere cómo están usando el spear-phishing a través del aprendizaje automático armado para dirigirse a los ejecutivos. También significa que ahora los dispositivos de IoT de baja seguridad, las actualizaciones del sistema sin parches y más se pueden detectar de manera más fácil y eficiente que nunca.
Lowest hanging fruit is not always the best target.
Si bien no todos los piratas informáticos buscan dinero, si es así, se vuelven particularmente hábiles para ejercer su oficio. Lo que los actores malintencionados buscan a menudo son las "llaves del reino", la información, las contraseñas, los contactos o las cuentas más lucrativos y de importancia crítica, que generalmente se encuentran dentro del C-suite. Y los objetivos de la alta dirección no solo tienen los datos organizativos más valiosos, sino que también son los que toman las decisiones sobre si pagar un rescate.
Esto crea dos situaciones que ponen a los ejecutivos bajo una amenaza aún mayor. En primer lugar, hace que un ataque de ransomware a un responsable de la toma de decisiones sea increíblemente eficiente, lo que logra el máximo retorno de la inversión para los actores de amenazas. En segundo lugar, hace que las comunicaciones personales de un ejecutivo de alto nivel sean increíblemente valiosas y particularmente vulnerables. Cuanto más estrictos sean los ciberdelincuentes con las vergonzosas comunicaciones comerciales y privadas amenazadas de liberación, mayores serán sus posibilidades de pago y, a menudo, más podrán exigir.
La triste realidad es que la mayoría de los ejecutivos, y en particular sus subordinados directos, son objetivos increíblemente blandos. Los ciberdelincuentes de hoy cuentan con una tecnología cada vez más sofisticada. Cuando se utilizan herramientas como la tecnología deep fake generada por IA , la simplicidad del ransomware es engañosa en más de un sentido. Cuando los actores de amenazas obtienen acceso a las comunicaciones personales, es ridículamente fácil usar la IA para reflejar el tono y el estilo de personas de las que nunca sospecharía, no solo otro miembro de la C-suite o un líder empresarial, sino un amigo cercano, un cónyuge o un miembro de la familia.
More cybersecurity training is needed.
Los esquemas de ingeniería social, como los ataques de phishing, continúan siendo uno de los vectores más comunes de ransomware y otros ataques de ciberseguridad. Y aunque muchas organizaciones supuestamente están capacitando a los empleados, esos trabajadores aparentemente no retienen lo que les han enseñado.
A recent report by Cloudian found that phishing attacks were successful even though 54 percent of all respondents, and 65 percent of those who reported it as the entry point of a ransomware attack, had taken training. against phishing for employees.
Una mayor concienciación es el principio fundamental en el que se basa una sólida estrategia de ciberseguridad. Aunque muchas organizaciones se centran en la formación diaria de conciencia cibernética del usuario final, también deben considerar el valor de formar a sus profesionales de seguridad y redes.
Para maximizar las inversiones y mejorar la ciberseguridad, la capacitación en conciencia cibernética debe garantizar que los profesionales de seguridad técnica obtengan el conocimiento necesario para optimizar las implementaciones de soluciones para una seguridad mejorada. Al tomar medidas para priorizar la capacitación en concientización sobre seguridad cibernética, las organizaciones y sus empleados pueden adelantarse a las amenazas antes de que puedan tener un impacto.
Al mismo tiempo, la capacitación en ciberseguridad debe llevarse a cabo en todos los ámbitos, lo que incluye a los ejecutivos, a quienes no se puede pasar por alto, dado el acceso que tienen y los enormes objetivos a sus espaldas.
Don’t discriminate – Educate.
El ransomware no discrimina. Hoy, todo el mundo es un objetivo potencial. Si tiene incluso la huella digital más pequeña, se enfrenta al riesgo de ransomware y otros tipos de ataques. Eso es aún más cierto para los ejecutivos, que tienen acceso a datos más confidenciales. Dada esta realidad, las organizaciones deben ampliar la formación en concienciación cibernética en toda la empresa. Ningún empleado es demasiado grande o demasiado pequeño para este tipo de educación. En un mundo donde todos están en riesgo, tiene sentido equipar a cada empleado con la información que necesita para ayudar a vencer el ciberdelito.
Autor: Aamir Lakhani
Fuente https://threatpost.com/cybersecurity-strategy-ransomware/169397/
