Las amenazas cibernéticas se están intensificando y la ciberseguridad se ha vuelto crítica para las operaciones comerciales. A medida que crecen los presupuestos de seguridad, los directores ejecutivos y las salas de juntas exigen pruebas concretas de que las iniciativas de ciberseguridad ofrecen valor más allá del cumplimiento de las regulaciones.
Así como no comprarías un automóvil sin saber que fue sometido primero a una prueba de choque, los sistemas de seguridad también deben validarse para confirmar su valor. Hay un cambio cada vez mayor hacia la validación de la seguridad, ya que permite a los profesionales cibernéticos utilizar de forma segura exploits reales en entornos de producción para evaluar con precisión la eficiencia de sus sistemas de seguridad e identificar áreas críticas de exposición, a escala.
Nos reunimos con Shawn Baird, Director Asociado de Seguridad Ofensiva y Red Teaming en DTCC, para discutir cómo comunicar de manera efectiva el valor comercial de sus prácticas y herramientas de Validación de Seguridad a su alta gerencia. A continuación se detalla cómo Shawn hizo espacio para las plataformas de validación de seguridad dentro de su ya ajustado presupuesto y cómo tradujo las prácticas técnicas de seguridad en resultados comerciales tangibles que han impulsado decisiones de compra a favor de su equipo.
Tenga en cuenta que todas las respuestas a continuación son únicamente opiniones de Shawn Baird y no representan las creencias u opiniones de DTCC y sus subsidiarias.
P: ¿Qué valor aporta la Validación de Seguridad a su organización?
La validación de seguridad consiste en poner a prueba sus defensas, no contra riesgos teóricos, sino contra técnicas de ataque reales. Es un cambio de supuestos pasivos de seguridad a una validación activa de lo que funciona. Me dice hasta qué punto nuestros sistemas pueden resistir las mismas tácticas que utilizan los ciberdelincuentes hoy en día.
En DTCC hemos estado realizando validaciones de seguridad durante mucho tiempo, pero buscábamos tecnología que sirviera como amplificador de rendimiento. En lugar de depender únicamente de ingenieros costosos y altamente capacitados para llevar a cabo validaciones manuales en todos los sistemas, podríamos centrar a nuestros equipos de élite en ejercicios de formación de equipos rojos específicos y de alto valor. La plataforma automatizada tiene contenido TTP incorporado para realizar pruebas, que cubren técnicas como Kerberoasting, escaneo de red, fuerza bruta, etc., lo que libera al equipo de tener que crear esto. Las pruebas se ejecutan incluso fuera del horario laboral habitual, por lo que no estamos confinados a los períodos de prueba estándar.
Este enfoque significó que no estábamos sobrecargando a nuestro personal de seguridad con tareas repetitivas. En cambio, podrían centrarse en escenarios de ataque más complejos y cuestiones críticas. Pentera nos brindó una manera de mantener una validación continua en todos los ámbitos, sin agotar a nuestros ingenieros más capacitados en tareas que podrían automatizarse.
En esencia, se ha convertido en un multiplicador de fuerza para nuestro equipo. Contribuye en gran medida a mejorar nuestra capacidad para adelantarnos a las amenazas y al mismo tiempo optimizar el uso de nuestros mejores talentos.
P: ¿Cómo justificó el ROI de una inversión en una plataforma de validación de seguridad automatizada?
En primer lugar, vemos una directa aumento de la productividad de nuestro equipo. La automatización de evaluaciones manuales y tareas de prueba que requerían mucho tiempo fue un punto de inflexión. Al trasladar estas tareas repetitivas y que requieren mucho esfuerzo a Pentera, nuestros ingenieros cualificados podrían centrarse en trabajos más complejos. Y sin necesidad de personal adicional, podríamos ampliar significativamente el alcance de las pruebas.
En segundo lugar, somos capaces de reducir el costo de los contratistas externos. Tradicionalmente, dependíamos en gran medida de contratistas expertos externos, lo que puede resultar costoso y, a menudo, de alcance limitado. Con la experiencia humana integrada en una plataforma como Pentera, reducimos nuestra dependencia de costosas contrataciones de servicios. En cambio, contamos con personal interno (analistas con menos experiencia) que realiza pruebas efectivas.
Finalmente, existe un claro beneficio de reducción de riesgos. Al validar continuamente nuestra postura de seguridad, podemos reducir significativamente la probabilidad de una infracción y el costo potencial de una infracción, si ocurre. El informe Costo de una vulneración de datos de 2023 de IBM lo confirma, informando una reducción del 11% en los costos de vulneración para las organizaciones que utilizan estrategias proactivas de gestión de riesgos. Con Pentera, logramos precisamente eso: menos exposición, detección y remediación más rápidas, todo lo cual contribuyó a reducir nuestro perfil de riesgo general.
P: ¿Cuáles fueron algunos de los obstáculos internos que encontró?
Uno de los obstáculos clave que enfrentamos fue la fricción por parte de la junta de revisión de arquitectura. Es comprensible que les preocupara ejecutar exploits automatizados en nuestra red, a pesar de que la plataforma es “segura por diseño”. La idea de ejecutar ataques del mundo real en entornos de producción puede resultar desconcertante, especialmente para los equipos responsables de la estabilidad de los sistemas críticos.
Para abordar esto, adoptamos un enfoque gradual. Comenzamos ejecutando la plataforma en una superficie de ataque reducida, apuntando a sistemas menos críticos para demostrar su seguridad y eficacia. A continuación, ampliamos su uso durante una participación del equipo rojo, ejecutándolo junto con nuestros procesos de prueba existentes. Con el tiempo, ampliamos gradualmente el alcance, demostrando la confiabilidad y seguridad de la plataforma en cada etapa. Este lanzamiento gradual ayudó a generar confianza sin correr el riesgo de sufrir interrupciones importantes, por lo que ahora la confianza en la plataforma está bastante bien establecida.
P: ¿Cómo asignaron los fondos?
Asignamos los fondos para Pentera en la misma línea que nuestras herramientas de equipo rojo, agrupadas con otras soluciones como Rapid7 y escáneres de vulnerabilidad. Al colocarlo junto a herramientas de seguridad ofensivas, el proceso de presupuestación se mantuvo sencillo.
Analizamos específicamente nuestro costo para evaluar la susceptibilidad de nuestro entorno a un ataque de ransomware. Anteriormente, gastábamos 150.000 dólares al año en análisis de ransomware, pero con Pentera podíamos realizar pruebas con más frecuencia con el mismo presupuesto. Esta reasignación de fondos tenía sentido porque cumplía con nuestros criterios clave, mencionados anteriormente: mejorar la productividad aumentando nuestra capacidad de prueba sin necesidad de contratar y reducir el riesgo con pruebas más frecuentes y a mayor escala. Reducir las posibilidades de un ataque de ransomware y limitar el daño si ocurre.
P: ¿Qué otras consideraciones entraron en juego?
Algunos otros factores influyeron en nuestra decisión de invertir en validación de seguridad automatizada. La retención de empleados fue un tema importante. Como dije antes, la automatización de tareas repetitivas mantuvo a nuestros expertos en ciberseguridad enfocados en trabajos más desafiantes e impactantes, lo que creo que nos ha ayudado a retener su talento.
Otro punto fue la mejora de las operaciones de seguridad. Pentera nos ayuda a garantizar que nuestros controles estén ajustados y validados adecuadamente, también ayuda a la coordinación entre los equipos rojos, los equipos azules y el SOC.
Desde el punto de vista del cumplimiento, facilitó la recopilación de evidencia para las auditorías, lo que nos permitió completar el proceso mucho más rápido de lo que lo haríamos de otra manera. Finalmente, el seguro cibernético es otra área en la que Pentera ha agregado valor financiero adicional al permitirnos reducir nuestras primas.
P: ¿Consejos para otros profesionales de la seguridad que intentan obtener un presupuesto para una validación segura?
El valor de rendimiento de la validación de seguridad automatizada es claro. La mayoría de las organizaciones no tienen los recursos internos para llevar a cabo equipos rojos maduros. Ya sea que tenga un equipo de seguridad pequeño o una práctica de seguridad ofensiva madura como la que tenemos en DTCC, es muy probable que no tenga suficientes recursos expertos en seguridad para realizar una evaluación completa. Si no encuentra nada, no hay pruebas de que haya un interno malicioso en su red, no podrá demostrar resiliencia, lo que dificulta lograr el cumplimiento normativo.
Con Pentera, tiene TTP integrados, lo que le brinda una ruta directa para evaluar qué tan bien responde su organización a las amenazas. Con base en esa validación, puede fortalecer su infraestructura y abordar las vulnerabilidades descubiertas.
La alternativa (no hacer nada) es mucho más arriesgada. El costo de una infracción puede resultar en el robo de IP, la pérdida de datos y el posible cierre de operaciones. Por otro lado, el costo de la herramienta brinda la tranquilidad de saber que ha reducido su exposición a amenazas del mundo real y la capacidad de dormir mejor por la noche.
Vea el seminario web completo a pedido con Shawn Baird, director asociado de seguridad ofensiva y Red Teaming en DTCC, y Jason Mar-Tang, CISO de Pentera Field.
