El verano pasado, los funcionarios encargados de hacer cumplir la ley contactaron a Apple y Meta, exigiendo datos de los clientes como parte de las "solicitudes de datos de emergencia". Las empresas han cumplido. Desafortunadamente, los "oficiales" resultaron ser piratas informáticos afiliados a una pandilla cibernética llamada "Equipo de recursión".
Hace unos tres años, el director general de una empresa de energía con sede en el Reino Unido recibió una llamada del director general de la empresa matriz alemana de la empresa pidiéndole que transfiriera un cuarto de millón de dólares a un "proveedor" húngaro. Él cumplió. Desafortunadamente, el "CEO" alemán era en realidad un ciberdelincuente que usaba tecnología de audio deepfake para falsificar la voz del otro hombre.
Un grupo de delincuentes pudo robar datos, el otro dinero. Y la razón fue la confianza. La fuente de información de las víctimas sobre con quién estaban hablando eran las propias personas que llamaban.
¿Qué es la confianza cero, exactamente?
Zero Trust es un marco de seguridad que no depende de la seguridad del perímetro. La seguridad perimetral es el viejo modelo omnipresente que asume que todos y todo dentro del edificio corporativo y el firewall son confiables. La seguridad se garantiza impidiendo el ingreso de personas ajenas al perímetro.
Un estudiante de doctorado británico en la Universidad de Stirling llamado Stephen Paul Marsh acuñó la frase "confianza cero" en 1994. NIST 800-207).
La seguridad perimetral está obsoleta por varias razones, pero principalmente debido a la prevalencia del trabajo remoto. Otras razones incluyen: computación móvil, computación en la nube y la creciente sofisticación de los ataques cibernéticos, en general. Y, por supuesto, las amenazas también pueden venir desde dentro.
En otras palabras, ya no hay bordes de red, no realmente, e incluso en la medida en que existan perímetros, se pueden cruzar. Una vez que los piratas ingresan al perímetro, pueden moverse con relativa facilidad.
Zero Trust tiene como objetivo abordar todo esto al exigir que cada usuario, dispositivo y aplicación pasen individualmente una prueba de autenticación o autorización cada vez que acceden a un componente de red o recursos corporativos.
Las tecnologías están involucradas en la confianza cero. Pero la autoconfianza cero no es una tecnología. Es un marco y, hasta cierto punto, un estado de ánimo. Tendemos a pensar en ello como una mentalidad de arquitectos de redes y especialistas en seguridad. Es un error; esta debe ser la mentalidad de todos los empleados.
La razón es simple: la ingeniería social es un truco no técnico de la naturaleza humana.
Por qué solo Zero Trust puede vencer a la ingeniería social
Un enfoque básico para aplicar la confianza cero al desafío de los ataques de ingeniería social es antiguo y familiar. Suponga que recibe un correo electrónico que dice ser del banco e indica que hay un problema con su cuenta. Simplemente haga clic aquí para ingresar su nombre de usuario y contraseña y solucionar el problema, dice. La forma correcta de manejar esta situación (si no está seguro) es llamar al banco y verificar.
En cualquier tipo de ataque de ingeniería social, la mejor práctica es nunca usar el método de acceso que se le proporcionó, sino obtener uno propio. No utilice a la persona que se comunica con usted como fuente de información sobre la persona que se comunica con usted. Comprueba siempre de forma independiente.
En el pasado, era fácil falsificar un correo electrónico. Nos enfrentamos a un futuro inmediato donde será igual de fácil simular voz y video en vivo.
Más allá de la suplantación de identidad por correo electrónico, las organizaciones también pueden ser atacadas mediante phishing, vishing, smishing, spear phishing, snowshoeing, hailstorming, clon phishing, whaling, tabnabbing, reverse tabnabbing, in-session phishing, suplantación de identidad de sitios web, manipulación de enlaces, encubrimiento de enlaces, error tipográfico, homógrafo. ataques, scareware, tailgating, baiting, DNS spoofing y muchos más. Su capacitación sobre óxido cero debería permitir que los empleados se familiaricen íntimamente con todos estos tipos de ataques. El simple hecho de conocer las muchas formas nefastas de engañar a los humanos para que permitan el acceso no autorizado les ayuda a comprender por qué la confianza cero es la respuesta.
En su excelente libro de 2011, "Ghost in the Wires", el ex superhacker Kevin Mitnick describe una de sus técnicas de ingeniería social más efectivas: ve a los empleados afuera de un edificio a punto de entrar y simplemente los sigue hasta la puerta con la confianza de alguien que pertenece allí. Los empleados interpretan universalmente esta confianza como toda la verificación que necesitan para mantener la puerta abierta a un extraño.
Cuando Apple y Meta fueron contactados por agentes de la ley falsos, deberían haber anotado los detalles del identificador de llamadas, colgado el teléfono y llamado a la agencia para verificar.
Cuando este director ejecutivo del Reino Unido fue contactado por alguien que decía ser el director ejecutivo de la empresa matriz, la política debería haber sido una devolución de llamada y no una transferencia de fondos basada en la llamada inicial.
Cómo adoptar Zero Trust para la ingeniería social
La buena noticia es que, si bien muchas empresas no han implementado la confianza cero, ni siquiera han desarrollado una hoja de ruta de confianza cero, la adopción de su uso contra la ingeniería social se puede implementar de inmediato. .
Encuentre una manera de autenticar a cada participante en reuniones de audio o video.
En otras palabras, a través de cambios en la capacitación, la política y la práctica, cualquier comunicación entrante que solicite algo (transferir fondos, proporcionar una contraseña, cambiar una contraseña, hacer clic en un archivo adjunto, hacer clic en un enlace, permitir que alguien ingrese al edificio) debe ser verificado y autenticado, tanto la persona como la ruta de la solicitud.
Casi todos los ataques de ingeniería social implican que el actor malicioso se gana la confianza de alguien con acceso y luego abusa de ese acceso.
El desafío de utilizar la capacitación y la cultura de seguridad para inculcar una mentalidad de confianza cero en todos los empleados es que a las personas mismas les gusta que se confíe en ellas. La gente se ofende cuando se les dice: "Déjame revisarte primero".
Esta debería ser la parte más importante de la capacitación: lograr que los empleados y gerentes insistan en que no se confía en ellos. No puedes simplemente confiar en que las personas no confíen en ellos, tienes que hacer que las personas insistan en que no se confíe en ellos mismos.
Si un alto ejecutivo envía un archivo adjunto a un subordinado y este último simplemente lo descarga y lo abre sin ningún paso de verificación adicional (por ejemplo, llame y pregunte), el ejecutivo debe considerar esto como una violación grave de las mejores prácticas de seguridad.
Culturalmente, la mayoría de las empresas están lejos de adoptar esta práctica. Y esto es lo que hay que repetir mil veces: el permiso de confianza cero de todo es para gente de confianza y para gente de poca confianza.
Con tantos trabajadores ahora dispersos entre la oficina, el hogar, en otros estados o incluso en otros países, es hora de un reinicio drástico, una revolución de confianza cero, por así decirlo, en la forma en que interactuamos entre nosotros en el día a día. comunicaciones comerciales diarias. .
© 2022 IDG Communications, Inc.