El accidente de CrowdStrike nos mostró lo invasivo que es el software de ciberseguridad. ¿Existe una solución mejor?

El viernes, el mundo sufrió lo que muchos han descrito como la mayor interrupción de TI en la historia, cuando 8,5 millones Las computadoras con Windows fallaron y no se reiniciaron.

La causa fue un error provocado por una actualización automática de un software del que hasta el viernes nadie más allá de los expertos en seguridad cibernética había oído hablar: Falcon de CrowdStrike.

Falcon es un tipo de software conocido como «detección y respuesta de puntos finales» o EDR, por sus siglas en inglés. Es algo así como un antivirus con esteroides. Cuando se instala, Falcon monitorea una computadora en busca de señales de ataques cibernéticos.

Puede recopilar datos sobre los archivos que abre, los programas que ejecuta, los sitios web que visita, etc. Esto lo hace software altamente privilegiadoCuando un empleado abre accidentalmente un archivo adjunto de un correo electrónico malicioso, Falcon lo observa, eternamente vigilante.

Los programas EDR se consideran la mejor práctica, recomendado por la principal agencia de defensa cibernética del gobierno australiano.

Lo que significa que en 2024, la mejor estrategia que recomiendan los expertos en ciberseguridad pasa por un software que espíe todo lo que ocurre en nuestros ordenadores.

¿Cómo llegamos hasta aquí? ¿Existe una mejor manera de avanzar?

El caso de EDR

CrowdStrike es líder del mercado en EDR, por eso tantos sistemas dejaron de funcionar la semana pasada. Y hay buenas razones para recomendar tecnologías EDR como Falcon. Para las organizaciones individuales, son invaluables para alertar a los equipos de seguridad de TI sobre señales de intrusión cibernética.

Esto ayuda a los equipos de TI a frustrar a un atacante antes de que pueda causar un daño significativo. En el caso de ataques más sigilosos, ayuda a detectar comportamientos sospechosos que podrían indicar una intrusión de larga data. Hackeo de Medibank El caso de 2022 es un buen ejemplo. Tras obtener acceso inicialmente, el hacker pasó semanas dentro de las redes de Medibank sin ser detectado.

Tecnologías como Falcon de CrowdStrike también brindan información valiosa sobre las amenazas cibernéticas emergentes a nivel mundial. Debido a que su software se implementa en tantas organizaciones en todo el mundo, CrowdStrike tiene una vista panorámica que, al menos en teoría, le permite identificar patrones de comportamiento malicioso más allá de lo que cualquier organización individual puede ver.

Por esta razón, también es una Líder en inteligencia sobre amenazas cibernéticasbrindando información a los equipos de TI sobre qué deben tener en cuenta. Si una organización detecta un ciberataque, los datos recopilados por herramientas EDR como Falcon también pueden ayudar a determinar exactamente cómo ocurrió la intrusión.

Una vez más, el hackeo a Medibank sirve como un buen ejemplo. Corte federal Los documentos contienen información detallada sobre la cronología de los acontecimientos que llevaron al ataque, incluyendo cómo ocurrió la intrusión inicial y qué hizo el atacante una vez que obtuvo acceso a las redes de Medibank.

Sin la visión omnisciente que proporcionan herramientas de vigilancia como EDR, reunir este tipo de información sería increíblemente difícil.

¿Cuales son las desventajas?

A raíz de la interrupción del servicio del viernes, vale la pena cuestionar las desventajas de las tecnologías EDR. Muchos ya han planteado las preguntas obvias sobre la dependencia de nuestra sociedad de muy pocos gigantes tecnológicos globales y la Los riesgos de los monocultivos tecnológicos.

Pero conocemos estos riesgos desde hace más de… dos decadasProbablemente no podamos esperar que este incidente deshaga los monopolios que impregnan los mercados tecnológicos.

Otra desventaja es el enorme riesgo técnico. El software EDR como Falcon obtiene su omnisciencia al estar estrechamente integrado en el núcleo de Microsoft Windows: el software fundamental que controla la mayoría de nuestros ordenadores. Por eso podría provocar los fallos que vimos en primer lugar.

Como fabricante de software altamente privilegiado, CrowdStrike tenía la responsabilidad de garantizar la seguridad de sus actualizaciones. Es evidente que fracasó y todos deberíamos exigir estándares de responsabilidad mucho más altos a los fabricantes de software crítico.

Compensaciones en materia de privacidad

Todas estas cuestiones han sido ampliamente debatidas en los días posteriores al incidente. Menos discutidas han sido las desventajas en materia de privacidad.

Si le pide a un profesional de seguridad cibernética que nombre qué tipo de software espía todo lo que usted hace en su computadora, lo más probable es que nombre el spyware antes de mencionar el EDR.

El software espía es un software malicioso que los piratas informáticos instalan en las computadoras de las víctimas para capturar información confidencial, como Contraseñas, información bancariao fotos de desnudosentre otras cosas.

De hecho, algunos científicos informáticos preocupados por la privacidad equiparar EDR con spyware.

Como ocurre con otras formas de vigilancia corporativa, existe una clara tensión entre el derecho individual a la privacidad y el imperativo organizacional de protegerse de las intrusiones cibernéticas.

Las tecnologías EDR se han implementado en importantes organizaciones sin que se haya debatido mucho sobre su impacto en la privacidad y la confianza de los usuarios. Esta interrupción puede brindar una oportunidad para finalmente tener esos debates.

¿Existe una manera mejor?

A raíz de este incidente, vale la pena considerar si las compensaciones que ofrece la tecnología EDR actual son las correctas.

Abandonar el EDR sería un regalo para los cibercriminales, pero la tecnología de seguridad cibernética puede (y debe) mejorarse mucho.

Desde un punto de vista técnico, Microsoft y CrowdStrike deberían trabajar juntos para garantizar que herramientas como Falcon funcionen a distancia del núcleo de Microsoft Windows. Eso reduciría en gran medida el riesgo que suponen futuras actualizaciones defectuosas. mecanismos Ya existen tecnologías que pueden permitir esto. La tecnología que compite con Falcon de CrowdStrike ya funciona de esta manera.

Para proteger la privacidad del usuario, las soluciones EDR deben adoptar métodos que preserven la privacidad para la recopilación y el análisis de datos. Apple ha demostrado cómo se pueden recopilar datos a gran escala desde los iPhones Sin invadir la privacidad del usuarioSin embargo, para aplicar estos métodos a la EDR, probablemente necesitaremos nuevas investigaciones.

Más fundamentalmente, este incidente plantea preguntas sobre por qué la sociedad sigue dependiendo de un software informático que es tan demostrablemente poco fiable. Especialmente en Australia, donde estamos Reconocido internacionalmentelíderes mundiales en la ingeniería de sistemas informáticos de alta seguridad, como los que Proteger información altamente clasificada.

A largo plazo, deberíamos reducir nuestra dependencia de tecnologías invasivas como EDR centrando nuestros esfuerzos en crear software que sea confiable y seguro desde el principio.

Este artículo se vuelve a publicar desde La conversación bajo una licencia Creative Commons. Lea el artículo original.