La detección y respuesta de punto final (EDR), la autenticación multifactor (MFA) y la gestión de acceso privilegiado (PAM) han sido durante mucho tiempo las tres herramientas más comúnmente requeridas por las aseguradoras cibernéticas al emitir pólizas, pero un informe compilado por el Centro de Análisis de Riesgo Cibernético en la firma de servicios profesionales Marsh McLennan sugiere que las técnicas de endurecimiento automatizado son más efectivas que las herramientas tradicionales por cierto margen.
El informe vincula directamente los controles cibernéticos clave que las aseguradoras exigen que se implementen antes de emitir una póliza con una probabilidad reducida de un incidente cibernético y, al evaluar la efectividad relativa de cada uno, los analistas de Marsh McLennan creen que las organizaciones pueden asignar mejor sus escasos recursos para las herramientas más efectivas, posicionar mejor su riesgo con las aseguradoras y, en última instancia, mejorar su resiliencia general.
“Todos los controles clave en nuestro estudio son mejores prácticas bien conocidas, comúnmente requeridas por los suscriptores para obtener un seguro cibernético. Sin embargo, muchas organizaciones no están seguras de qué controles adoptar y confían en opiniones de expertos en lugar de datos para tomar decisiones”, dijo Tom Reagan, líder de prácticas cibernéticas de EE. UU. y Canadá en Marsh McLennan.
“Nuestra investigación brinda a las organizaciones los datos que necesitan para dirigir de manera más efectiva las inversiones en seguridad cibernética, lo que a su vez ayuda a posicionarlas favorablemente durante el proceso de suscripción de seguros cibernéticos. Es otro paso hacia la construcción no solo de un mercado de seguros cibernéticos más resistente, sino también de una economía más resistente a la cibernética”.
Los datos del informe comprenden el propio conjunto de datos de reclamos cibernéticos de Marsh McLennan y los resultados de una serie de cuestionarios de autoevaluación de seguridad cibernética completados por sus clientes de EE. UU. y Canadá.
En función de la correlación entre los dos conjuntos de datos, pudo asignar una métrica de “intensidad de la señal” a cada método de control: cuanto mayor sea la métrica, mayor será el impacto que tiene el método de control en la disminución de la probabilidad de un incidente.
Descubrió que las organizaciones que usaban técnicas de fortalecimiento automatizado que aplican configuraciones de seguridad de referencia a los componentes del sistema, como servidores y sistemas operativos, tenían seis veces menos probabilidades de experimentar un incidente cibernético que aquellas que no lo hacían. Dichas técnicas incluyen, por ejemplo, la implementación de políticas de grupo de Active Directory (AD) para hacer cumplir y volver a implementar las opciones de configuración en los sistemas.
Marsh McLennan dijo que esto fue una sorpresa dado el énfasis puesto en EDR, MFA y PAM, y aunque estas herramientas siguen siendo importantes y útiles, el informe también reveló una idea de cómo se comparan en la realidad.
MFA, por ejemplo, solo funciona realmente cuando está implementado para todos los datos críticos y confidenciales, en todos los accesos de inicio de sesión remotos posibles y todos los accesos de cuenta de administrador posibles y, aun así, las organizaciones que lo implementan de manera tan amplia (que no todas lo hacen) solo son 1,4 veces menos probabilidades de experimentar un ciberataque exitoso. Los autores del informe dijeron que esto mostraba claramente los beneficios de un enfoque de defensa en profundidad para la seguridad cibernética, en lugar de implementar herramientas al azar en algunos casos pero no en otros.
Aplicación rápida de parches: un camino hacia la protección
Por el contrario, reparar vulnerabilidades de alta gravedad (aquellas con una puntuación CVSS alta de entre siete y 8,9) en un período de siete días fue notablemente más eficaz de lo esperado, reduciendo la probabilidad de experimentar un incidente cibernético por un factor de dos y, sin embargo, solo El 24% de las organizaciones que respondieron a los cuestionarios estaban haciendo esto.
Dijo que las organizaciones que implementan políticas de parcheo mejoradas tenían una buena oportunidad no solo de aumentar su propia resiliencia, sino que al compararse favorablemente con otras, podrían convertirse en un riesgo mucho más atractivo para las aseguradoras cibernéticas.
Sin embargo, tenga en cuenta que la aplicación rápida de parches a las vulnerabilidades con puntajes CVSS severos de nueve o más fue menos efectiva para reducir la probabilidad de un incidente exitoso, probablemente porque los actores de amenazas son mucho más rápidos para explotarlas.
Los controles más efectivos de los 12 estudiados fueron:
- Técnicas de endurecimiento, que redujeron la probabilidad de un ciberincidente exitoso 5,58 veces;
- PAM, que redujo la probabilidad 2,92 veces;
- EDR, que redujo la probabilidad 2,23 veces;
- Registro y monitoreo a través de un centro de operaciones de seguridad (SOC) o proveedor de servicios administrados (MSP), lo que redujo la probabilidad 2,19 veces;
- Parchar vulnerabilidades de alta gravedad, lo que redujo la probabilidad 2,19 veces.
Algunos de los controles de menor impacto, además de MFA, incluyeron iniciativas de capacitación en seguridad cibernética y filtrado de correo electrónico.
El informe completo de Marsh McLennan se puede descargar aquí.