La falta de colaboración y estándares amenaza la ciberseguridad en una era de ataques sofisticados y cooperación entre cibercriminales

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker y líder del Capítulo Querétaro de la Fundación OWASP.

La falta de colaboración y estándares en la industria de la ciberseguridad pone en peligro la seguridad digital, dificultando enormemente la integración de soluciones en una época marcada por ataques cada vez más sofisticados y una creciente cooperación entre grupos de cibercriminales.

Uno de los principales desafíos en la seguridad de la información que enfrentan las organizaciones es que una ciberseguridad efectiva requiere una serie de herramientas y tecnologías que a menudo están desconectadas entre sí. Aunque este problema no es nuevo y se ha discutido durante años, sigue siendo una preocupación persistente.

Por ejemplo, en la gestión de riesgos cibernéticos, que implica identificar amenazas y vulnerabilidades en una infraestructura digital y tomar medidas para mitigar estos riesgos, las organizaciones grandes suelen manejar una amplia gama de tecnologías. Estas pueden incluir la gestión de la superficie de ataque, la gestión de vulnerabilidades, la gestión de la postura de seguridad en la nube, los feeds de inteligencia de amenazas cibernéticas, las bases de datos de gestión de configuración, pruebas de penetración, y herramientas de Red Teams, Blue Teams y Purple Teams, entre otras.

El modelo de plataforma de ciberseguridad, que propone una solución integral mediante la adquisición de todos los productos de un único proveedor, presenta sus propias limitaciones. Aunque esta solución puede ser efectiva para organizaciones más pequeñas, enfrenta desafíos significativos para las empresas más grandes. Para una gran empresa, el concepto de plataforma a menudo implica una dependencia única de un proveedor, algo que las organizaciones tienden a evitar.

Además, la transición de herramientas distribuidas a una plataforma centralizada puede llevar meses o incluso años, lo que requiere que los proveedores de plataformas convenzan a numerosos interesados de que el esfuerzo de migrar valdrá la pena, una tarea complicada debido al escepticismo generalizado entre los profesionales de la ciberseguridad.

El panorama de amenazas y los cambios en los requisitos de seguridad suelen superar las capacidades de cualquier plataforma. ¿Cómo pueden las organizaciones abordar estas deficiencias? Mediante el uso de herramientas adicionales especializadas en casos de uso específicos.

Una solución frecuentemente adoptada son las interfaces de programación de aplicaciones (APIs), que permiten la interoperabilidad de tecnologías diversas y deberían facilitar una integración fluida en la ciberseguridad. Sin embargo, la eficacia de las APIs en la práctica es muy limitada. Para que funcionen correctamente, los proveedores deben abrir sus APIs a otros proveedores, lo que no siempre ocurre. A veces, los proveedores solo abren algunas APIs o se niegan a hacerlo por completo, y aún cuando las APIs están disponibles, persisten problemas de integración.

Por ejemplo, si un cliente quiere integrar su proveedor de gestión de vulnerabilidades con herramientas de detección y respuesta de endpoints (EDR) utilizando productos de tres fabricantes distintos que, aunque colaboran ocasionalmente, suelen competir entre sí, el proveedor tendría que trabajar con los tres fabricantes e integrarse con tres conjuntos diferentes de APIs. Esto representa un gran esfuerzo para alcanzar un objetivo común.

En general, la tecnología de ciberseguridad enfrenta un problema de integración. Aunque algunos proveedores tienen éxito en áreas específicas, el panorama general sigue siendo complejo, lo que hace que la ciberseguridad sea mucho más difícil de gestionar de lo que debería ser. Por ejemplo, los principales escáneres de vulnerabilidades no intercambian datos entre sí, lo que obliga a integrar manualmente los datos de cada uno como parte de la estrategia de mitigación de riesgos, a pesar de que todos realizan funciones similares.

Para abordar estos desafíos, es crucial adoptar un enfoque arquitectónico abierto que fomente la integración y la adopción de estándares comunes, como un formato de datos unificado, APIs estandarizadas y normas para acciones de remediación.

También se necesitan entidades capaces de promover este enfoque, como OWASP, MITRE, ENISA u otros proyectos colaborativos. Las grandes organizaciones del sector tecnológico podrían reunir a sus ingenieros de seguridad para desarrollar estándares que beneficien a todos los sectores.

Es momento de que, como comunidad de ciberseguridad, nos unamos y exijamos colaboración. En un entorno cada vez más complejo y riesgoso, nuestra seguridad digital depende de ello.

Para más información, visite: https://www.silikn.com/