Ya sea la integridad de un sistema informático corporativo o un proceso electoral, el estado mental más seguro es asumir que algo ya ha sido pirateado y luego usar la mejor inteligencia para verificar en qué puede confiar.
Esa es la conclusión de MarketWatch de una entrevista con Sandra Joyce, vicepresidenta sénior de inteligencia global de FireEye Inc.
FEYE -4,55%,
quien se sentó para una conversación individual la semana pasada en la conferencia anual de seguridad cibernética RSA en San Francisco.
Joyce, quien reporta directamente al presidente ejecutivo Kevin Mandia, es responsable de la recopilación y el procesamiento de la inteligencia de amenazas en FireEye, ya sea desde cibercriminales hasta estados nacionales para desestabilizar organizaciones más grandes. Ha trabajado en la industria de la seguridad durante más de dos décadas, es miembro de la facultad de la Univer sidad Nacional de Inteligencia y ha obtenido cuatro maestrías; Actualmente está completando un MBA en el Instituto de Tecnología de Massachusetts.
FireEye es conocido por su inteligencia sobre las organizaciones internacionales de piratería y sus acciones, y lanzó el informe M-Trends 2020 en RSA, que describía las tendencias en cibercrimen, guerra y espionaje. El informe encontró que, si bien los profesionales de seguridad eliminan a los intrusos en sus sistemas más rápido, los piratas informáticos están mejorando para disfrazarse con malware, el 41% de los cuales nunca antes se había visto, eso es mucho más difícil de detectar.
Joyce discutió los cambios en malware y ransomware, dos de los tipos más comunes de ataques en línea, así como la seguridad electoral y más. La entrevista se edita para mayor c laridad, duración y brevedad.
Reloj de mercado: ¿Qué significa que el 41% del malware es previamente desconocido?
Sandra Joyce: Hay mucho ingenio para las personas que crean malware, detectamos nuevas familias de malware constantemente. Eso es algo a tener en cuenta, porque el actor de la amenaza tiene que seguir evolucionando y cambiando, porque una vez que las detecciones están en su lugar, son menos efectivas. Y todo el nuevo malware que está saliendo: lo están desarrollando ellos mismos o están tomando piezas de otro código y están haciendo algo completamente nuevo, y una tendencia que estamos viendo en ese ámbito es el ransomware.
Reloj de mercado: ¿Cuál es la tendencia que estás viendo con el ransomware?
Sandra Joyce: Se está poniendo un poco peor, porque antes era solo un producto básico, como “Voy a hacer esto, encerrarlo, obtener 300 bitcoins y tal vez recuperar sus datos”. Pero lo que hemos estado viendo es mucho más deliberado, lo que llamaríamos un evento de malware posterior a la intrusión. Lo que eso significa es que lo que están haciendo es más reconocimiento y están obteniendo acceso a partes más profundas del negocio para encerrar piezas más críticas. Y la economía de esto es que las cantidades de rescate, las demandas, son mucho más altas. En Europa, respondimos a un incidente de ransomware donde la demanda superaba los 300,000 euros debido a la información confidencial que capturaron.
Reloj de mercado: ¿No puede resolverse eso haciendo una copia de seguridad de los sistemas más?
Sandra Joyce: Sería genial tener un botón fácil, y sería genial tener un sitio caliente y simplemente volver a eso. Cada caso es diferente y algunos de ellos bloquearán tecnologías e infraestructura reales. No se trata solo de “puedo retroceder” ahora, tal vez no esté brindando servicios a los clientes, tal vez sea por días, tal vez sea por horas. Lo que alentamos a las empresas a hacer son estos ejercicios de mesa y estar preparados para un evento como este. Especialmente si tiene un perfil alto, debe tener un plan para las comunicaciones estratégicas. Al menos tienes que caminar a través del proceso.
Pagar o no [rescate] es una decisión realmente complicada. Parece que la gente diría “No, demonios, no, no lo haría” o “lo haré”, pero en realidad podemos informarle sobre ese actor de amenazas y decir: “Este tipo derramará sus datos de todos modos”. Podemos investigar sobre el actor de la amenaza, ya podemos reconocerlo. Si somos llamados “afortunados”, lo haríamos.
Lee también: ¿Y si fuera el Universo Marvel de Ciberseguridad?
El impacto comercial real viene en cuánto tiempo y qué tan exitoso es el actor de la amenaza una vez que están en el sistema mismo. Todo el mundo debería suponer que han sido violados, como si apresuraras a los guardias a un banco, “Felicitaciones, entraste. ¿Conoces la combinación de la caja fuerte? ¿Sabes dónde se guarda el dinero? ¿Sabes si esa cosa que buscas está ahí? ¿Puedes salir sin que nadie te vea?
Si tiene esa mentalidad de “sí, voy a suponer que hay una violación, pero voy a tener tecnologías y procesos para rastrear el movimiento lateral en mi organización”, ahí es realmente donde está el impacto comercial. Aún puede conservar gran parte de la funcionalidad de su negocio si puede responder a ese movimiento lateral.
Reloj de mercado: ¿Qué piensa sobre la seguridad electoral?
Sandra Joyce: La pregunta de si los estados nacionales se están entrometiendo en las elecciones se hace y se responde. Hemos visto la suplantación de candidatos políticos en las redes sociales por parte de actores iraníes. Hemos visto sitios web no auténticos publicados. Hemos visto actores de amenazas iraníes que publican cartas al editor y se publican en los periódicos. Entonces, la pregunta de si lo están haciendo debe hacerse y responderse. Definitivamente están tratando de hacer eso. La pregunta que encuentro sorprendente es cuando la gente pregunta: “¿Qué candidato político? ¿Qué grupos?
No importa.
Todo el tema de la seguridad electoral, debemos considerarlo como un ecosistema. Hay máquinas de votación: lo sorprendente que hemos visto es que a partir de enero no hemos visto ningún ataque directo a las máquinas de votación que cambie la cuenta, por lo que son buenas noticias. Pero si sale del círculo, para apoyar a las organizaciones, [información personal identificable] ha sido robada de los registros de votantes y estos son cibercriminales que los están vendiendo en la clandestinidad, y tal vez su intención es no interrumpir una elección, pero todavía están erosionando esa confianza en ese proceso. Y luego la superficie de ataque más grande es el propio electorado. Hemos visto una operación de influencia concertada.
Reloj de mercado: ¿Quién se ha convertido en la amenaza más activa durante el año pasado?
Sandra Joyce: Yo diría que Irán se ha convertido en el más activo. Es probable debido al aumento de las tensiones entre Estados Unidos e Irán, la situación del acuerdo nuclear, con Estados Unidos retirándose de eso. Si pensamos en el ciber como la herramienta para la extensión de la voluntad política de un país, entonces podemos ver que un país como Irán que no puede desafiar ningún otro instrumento de poder como el militar, económico o diplomático, es muy atractivo para Un tipo de capacidad asimétrica. Así que veremos esa relación directa entre la geopolítica y las tensiones y el uso de herramientas cibernéticas porque se ha convertido en el Plan A de los países que no pueden desafiar de ninguna otra manera.