VUCA: La realidad en ciberseguridad

Hay un nombre para el ambiente en el que viven los militares y partes de las fuerzas de seguridad/ciberseguridad.  Se llama VUCA.

• Volatilidad
• Incertidumbre
• Complejidad
• Ambigüedad

Desde hace un par de años, la noción de "VUCA" está ganando popularidad (Más bien parece que si no hablas de VUCA estas obsoleto) como término para cubrir las diversas dimensiones de este entorno "incontrolable" aplicado a cualquier modelo de negocios, pero lo cierto es que, donde mejor encaja este nuevo acronimo, es en ciberseguridad.

Piensa en cómo ha evolucionado la guerra, ha pasado de líneas de batalla definidas con adversarios que llevan uniformes claramente identificables al campo de batalla urbano de hoy, donde el personal hostil esta incrustado entre los amistosos y son casi imposibles de diferenciar hasta que actúan. Los mismos tipos de desafíos existen para los cuerpos del estado y las empresas privadas cuando tratan de identificar a aquellos dentro y fuera de nuestras fronteras cuando ejecutan planes ciberterroristas y ciberataques. Todos los responsables de la protección de los activos de la organización viven también en un entorno de VUCA.  

Si vemos VUCA en detalle, para entender mejor cómo describe los retos a los que nos enfrentamos en materia de ciberseguridad, podemos ver:

Volatilidad (Volatility)

La volatilidad se define como algo "susceptible de cambiar de forma muy repentina o extrema".  Es fácil ver cómo existe en ciberseguridad en un entorno volátil.  Cada día, la superficie de ataque que manejamos cambia.  Surgen nuevas vulnerabilidades, a menudo sin avisos o sin parches.  Los sistemas que antes eran seguros se ven comprometidos y se utilizan como puntos para lanzar ataques.  Y todos los días, los usuarios interactúan con estafas de phishing en su correo electrónico, son víctimas de sitios web peligrosos y están diseñados socialmente para obtener tus credenciales.  Claramente, en ciberseguridad vivimos en un ambiente volátil.

Incertidumbre (Uncertainty)

La certeza es escurridiza.  La mayoría de los gerentes TI reconocen que operan con datos imperfectos.  Saber exactamente qué sistemas están en una red es un gran desafío.  Comprender el estado de estos activos es igualmente difícil, especialmente con la movilidad de los usuarios y la creciente lista de servicios, herramientas y tecnologías que se están desplegando en la mayoría de las empresas.  Y al otro lado de la ecuación, no sabes con certeza quiénes son los malos.  No sabes con certeza las herramientas que utilizan, o los conocimientos que tienen.  Puedes tratar de aplicar inteligencia de amenazas a esto, pero en última instancia nunca es suficiente.  El problema es demasiado volátil para tener certeza sobre cualquier cosa, aparte de la certeza de que hay amenazas que debemos manejar.

Complejidad (Complexity)

Este es obvio.  Cada dispositivo, servicio y aplicación que implementamos trae consigo nuevas complejidades.  La configuración de las políticas es extremadamente difícil.  El equilibrio entre "optimizado para la seguridad" y "optimizado para realizar el trabajo" se traduce en políticas debilitadas y nuevos riesgos que hay que gestionar.

La complejidad apilada sobre la complejidad resulta en una superficie de ataque que es esencialmente desconocida.  Y esto se aplica a todas las organizaciones, desde las más pequeñas hasta las más grandes.  Las defensas de ciberseguridad traen su propia complejidad, y eso es significativo.  Tener las habilidades dentro de la empresa para gestionar eficazmente las responsabilidades que conlleva la ciberseguridad se está convirtiendo cada vez más en algo inalcanzable para todos, excepto para los pocos afortunados que se encuentran en la cima de la pirámide.  Ampliar esta capacidad y mantenerse al día con la complejidad es lo que más afecta a las pymes medianas.

Ambigüedad

Y finalmente, la ambigüedad.  Eso es gris.  No estoy seguro, podría ser, pero de nuevo, podría no serlo.  Esta ha sido la perdición de la existencia del equipo de ciberseguridad.  El despliegue de muchos productos y servicios en las puertas de enlace, en los endpoints y en cualquier lugar que se encuentre entre ellos genera un agotamiento interminable de los datos de registro y eventos/logs.  ¿Qué haces con la información? ¿Cómo encuentras la verdadera amenaza?  ¿Podemos confiar en que encontraremos una nueva amenaza en los datos de los logs? Probablemente no.

¿Cómo transformar una señal gris en un ciberdelincuente o en un evento inocente? ¿Qué otros datos o medidas necesitamos para recopilarlos?. Una anomalía es sólo eso hasta que podemos investigar el contexto de esa anomalía.  Y para ello son  necesarias herramientas y capacidades muy diferentes de las que normalmente se despliegan en una organización.

La caza de amenazas requiere "armas" especializadas y una coordinación de esfuerzos en el equipo de ciberseguridad e IT.  Debemos demostrar nuestras habilidades frente a otros enfoques, como por ejemplo, el SIEM. En ciberseguridad debemos odiar la ambigüedad.  No podemos eliminarlo todo, pero debemos hacer un trabajo muy eficaz proporcionando a nuestros analistas de ciberseguridad  suficiente contexto y herramientas para poder llegar a la respuesta de la forma más rápida.