Investigadores argumentan que el sesgo de acción dificulta la respuesta a incidentes

Una sesión de Black Hat 2021 se centró en el instinto humano de actuar inmediatamente después de un ciberataque y cómo eso puede afectar negativamente la respuesta a incidentes.

El mejor enfoque para la respuesta a incidentes después de un ciberataque no es actuar directamente, sino reducir la velocidad.

Ese fue el tema de una sesión de Black Hat 2021 la semana pasada, en donde Josiah Dykstra, miembro técnico del centro de colaboración de seguridad cibernética de la Agencia de Seguridad Nacional (NSA), y Douglas Hough, asociado senior de la Escuela de Salud Pública Bloomberg de la Universidad John Hopkins, presentaron un enfoque menos tradicional de la respuesta a incidentes. Basándose en conceptos de economía del comportamiento y psicología del comportamiento, ambos determinaron que la respuesta rápida no siempre es la mejor respuesta cuando se trata de ciberseguridad.

La principal preocupación que observaron fue el sesgo de acción. Según Hough, el sesgo de acción es el impulso de actuar para obtener una sensación de control sobre una situación. Proporcionó un ejemplo de un estudio realizado sobre porteros de fútbol en Europa e Israel, que examinó cómo se movían durante la situación de alto riesgo de los tiros penales. Según el estudio, el 95% de las veces los porteros se movieron hacia la izquierda o hacia la derecha a pesar de que la estrategia óptima, según la evidencia estadística, es quedarse en el medio.

Ya sea en el campo de fútbol o durante una situación de respuesta a incidentes, la causa del sesgo de acción es bastante simple.

"Es la urgencia de tomar alguna acción. Es para mostrar liderazgo. Es para evitar dudas", dijo Hough durante la sesión.

Al analizar el sesgo de acción en términos de ciberseguridad, Dykstra se refirió al ejemplo de ransomware, dividiéndolo en tres grupos durante un compromiso de respuesta a incidentes: usuarios, defensores de ciberseguridad y líderes. Aunque los objetivos de cada grupo difieren, comparten algo en común. Dykstra y Hough descubrieron que los tres grupos tenían el instinto de controlar la situación y actuaron siguiendo ese instinto.

"A pesar de que sus acciones se veían de manera diferente, ninguno de ellos quería quedarse pasivamente al margen y recopilar más información o construir un plan que habían hecho con anticipación", dijo Dykstra durante la sesión. "Y hubo presión para actuar como si el ransomware a menudo tuviera una cuenta regresiva, y si no tomas medidas, suceden cosas malas. Y, por lo tanto, la presión del tiempo alentó a las personas a tomar todas y cada una de las acciones posibles".

Ejemplos de esto están presentes en los recientes ataques de ransomware, incluidos Colonial Pipeline Co. y JBS Foods USA, donde ambas compañías se apresuraron a ceder a las demandas de rescate. En un comunicado de prensa de JBS, la subsidiaria de los productores de carne más grandes del mundo admitió que pagó un rescate de $11 millones de dólares, aunque "en el momento del pago, la gran mayoría de las instalaciones de la empresa estaban operativas".

Durante dos audiencias legislativas diferentes en junio, James Blount, director ejecutivo de Colonial Pipeline, proporcionó más detalles sobre el ataque. Primero, confirmó que la empresa pagó un rescate de $4,4 millones de dólares el 8 de mayo, un día después del ataque. En segundo lugar, reveló que pocos días después del ataque, la empresa se enteró de que podría haber restaurado los datos de las copias de seguridad. Resultó que no estaban corrompidos.

Volviendo a esos tres grupos distintos, dijo Dykstra, en el caso de un ataque de ransomware, optaron por una acción inmediata sin análisis. Además de pagar rescates, esas acciones a veces incluyen cerrar las redes por completo para detener la propagación del ransomware, pero Dykstra se opuso a tales acciones. "En medio de una crisis, la mejor acción es casi nunca desconectar", dijo. "Hay cosas mejores y más inteligentes que podemos hacer".

Para el CISO de una empresa, o cualquier otro liderazgo en una organización, Dykstra dijo que su trabajo depende de la seguridad y el ransomware es una falla de seguridad. En cierto sentido, dijo, la gente es despedida en estas situaciones.

"El objetivo real del CISO en la vida es, en última instancia, la seguridad, incluso si requiere una gran cantidad de recursos [y] mucho dinero o tiempo. Quieren cero ransomware", dijo Dykstra.

Establecer la meta de que los ataques nunca vuelvan a ocurrir es peligroso, según Hough, y citó tres razones de ese peligro. En particular, alienta a las personas a intentar cualquier cosa, lo que sea para evitar que vuelva a suceder, lo que puede llevar a un gasto indebido de recursos. Asumir que nunca puede suceder lo convierte en un objetivo inalcanzable que solo agrega estrés innecesario a la fuerza laboral.

"Los atacantes están motivados para seguir atacando. Nada de lo que podamos hacer será 100% exitoso, y 'nunca más' establece este objetivo sin precedentes de que podemos tener un 100% de éxito cuando, de hecho, los atacantes seguirán atacando", Dykstra dicho.

La mayor solución, según Hough y Dykstra, es ralentizar el proceso de respuesta a incidentes; aunque reducir la velocidad no significa no hacer nada. Dykstra recomendó trasladar el tiempo que los equipos de seguridad dedican a un problema antes de que ocurra la crisis mediante la planificación de respuesta a incidentes, ejercicios de mesa, equipos rojos y otros tipos de preparación. También dijo que cree que es importante tener un escepticismo saludable en el calor del momento, particularmente cuando alguien pregunta si se debe hacer algo en respuesta a una violación de datos.

"Pregúntense: ¿Va a tener los beneficios que creo que va a tener y a qué costo?", dijo Dykstra. "Conocemos la frase al disparar: 'Preparen, apunten, fuego'. Pero parece que, en ciberseguridad, con demasiada frecuencia, disparamos primero, y luego tal vez nos preparamos, y quizá después apuntamos".

Ser consciente del sesgo de acción es solo un primer paso, dijeron los presentadores. La preparación y la práctica son dos factores clave que, según Dykstra, pueden conducir a acciones consistentes y más racionales. "Tengan un plan, practíquenlo y estén preparados para lo inesperado, porque no podemos anticipar todo lo que va a suceder, particularmente en ciberseguridad".

Investigue más sobre Privacidad y protección de datos

ComputerWeekly.com.br
Close
  翻译: