LOS EXPERTOS OPINAN: `Las defensas automatizadas frente al malware´- JOSÉ LUIS LAGUNA

Publicado el 29-09-2017      Notícia sobre: Artículos
 

 

   

José Luis Laguna

Director técnico 

Fortinet Iberia

La tendencia hacia la adopción de la infraestructura cloud repercute directamente en la ciberseguridad.

De acuerdo con el informe publicado recientemente por Fortinet ‘Threat Landscape Report Q1 2017’, en el primer trimestre del año, el número de aplicaciones en la nube utilizadas por una organización era de 62 (33 de software como servicio y 29 de infraestructura como servicio), cifras ligeramente por debajo de las registradas el trimestre anterior. 

 
 
Las aplicaciones en la nube amplían la superficie de ataque, al incorporar nuevos vectores de amenazas como shadow IT al tiempo que se generalizan los servicios para la nube personal. La creciente dependencia de los servicios conectados para automatizar y realizar las tareas diarias, reduce la seguridad e invita a visitantes no deseados
 
Otra tendencia de infraestructura que causa preocupación es, paradójicamente, el cifrado. El mismo informe señalaba que la media de tráfico HTTPS con respecto a HTTP alcanzó una marca destacada en el primer trimestre de 2017. Si bien este  protocolo seguro es útil a la hora de mantener nuestra privacidad, esta tendencia también supone un desafío para el control y la detección de amenazas. Las organizaciones, especialmente aquellas con el tráfico HTTPS más seguro, no pueden permitirse ignorar las amenazas que podrían producirse dentro de las comunicaciones cifradas.
 
Por otro lado, una enorme parte de la actividad de exploits está totalmente automatizada a través de herramientas que exploran Internet sondeando los posibles agujeros de seguridad. Las herramientas disponibles y la infraestructura ‘’crimeware-as-a-service’’ permite a los cibercriminales actuar a escala global a gran velocidad.
 
Desafíos: Recursos, Tiempos de Respuesta, Experiencia
 
Los equipos de seguridad TI están saturados. Hacen frente a una avalancha de alertas de seguridad y no cuentan con los recursos, o en ocasiones la experiencia, para responder a dichas alertas. Consecuentemente, aumenta la dependencia de los proveedores de servicios de seguridad gestionada y de sus fabricantes de seguridad para gestionar el problema.
 
El tiempo de respuesta es otro inconveniente. La capacidad de dar una respuesta antes de que produzca un daño significativo se está reduciendo. A menudo los equipos  TI no pueden responder  a todas, o a la mayoría de las alertas en los tiempos adecuados.  Los equipos de TI a menudo no saben o no pueden priorizar los eventos de amenazas, mucho menos centralizarlos y correlacionarlos fácilmente.
 
Los ataques, especialmente los automatizados, tienen un periodo de vida corto; los indicadores de compromiso cuentan con huellas ligadas a ataques específicos, pero se desvanecen rápidamente. El equipo de Seguridad TI debe ser capaz de responder a un ataque cuando este es visible, no tiempo después de que haya ocurrido. El problema es que el proceso es complejo si se cuenta con soluciones puntuales y se confía únicamente en los seres humanos para llevar a cabo su integración. Esta es la razón por la que la automatización se convierte en un elemento clave.
 
Combatir la automatización con automatización
 
Cuando los controles tecnológicos trabajan conjuntamente y se comunican, la tecnología es capaz de tomar algunas decisiones de manera automatizada. Este es el primer paso para crear un sistema experto - un sistema informático que imita el proceso de toma de decisiones de un experto. Estos controles pueden no eliminar la amenaza real pero una vez que ésta es detectada, ayudarán a contener o aislar la brecha.
 
Con ello, proporciona más tiempo al equipo de incidencias para combatir el ataque.
 
A modo resumen, combinando estas cinco herramientas,  las empresas pueden unificar el control de todos los vectores de ataque y detener los ataques automatizados:
 
1. El manejo de parches es esencial. Mirai y Hajime, gusanos sigilosos y con capacidades de auto propagación muy avanzadas, ejemplifican el daño que se puede provocar cuando los equipos TI no logran parchear las vulnerabilidades concidas.
 
2. Un sistema de prevención de intrusiones (IPS) es la primera línea de defensa. Como los fabricantes de los dispositivos IoT no son los responsables de asegurar los mismos, Internet se va envenenando. Existen miles de millones de dispositivos, sin parches disponibles, que son vulnerables a ataques. Hasta que estos dispositivos no estén limpio por completo, se requiere contar con un IPS que actúe como parche virtual para bloquear los ataques a dispositivos IoT.
 
3. El dato es importante. La segmentación es una necesidad debido a que los ataques tipo ransomware van tras los datos valiosos. Han existido casos de ransomware que penetran e infectan los datos y sus copias de seguridad, lo cual es un desastre. Es importante asegurarse de que se están realizando correctamente copias de seguridad y de que estas mismas están en segmentos de red protegidos.
 
4. Foco en la visibilidad. Siempre tratamos de levantar una fortaleza contra un enemigo invisible. Si construimos una barrera y se la estamos mostrando a los atacantes, ¿ellos que harán? Atravesarán la barrera y conseguirán entrar en la red. Por lo tanto, el primer paso es aprovechar soluciones que integren inteligencia de amenazas para comprender quienes son nuestros enemigos y sus procedimientos para luego diseñar una defensa inteligente de acuerdo con la información obtenida. También es clave conocer donde se encuentran nuestros activos críticos y priorizar la seguridad en torno a los mismos. Si un activo es secuestrado, atacado por una denegación de servicio distribuida (DDoS) o comprometido de algún modo, ¿cuál será el coste para nuestro negocio?
 
5. Finalmente, una vez se haya comprendido al enemigo y se hayan dispuesto las soluciones adecuadas, es importante reforzar la proactividad. Lo más recomendable son soluciones proactivas e interoperables. La mayoría de las organizaciones cuentan con muchas soluciones procedentes de distintos proveedores. Debemos reducir esa complejidad integrando y consolidando los dispositivos de seguridad existentes dentro de un marco basado en el intercambio inteligente de información de amenazas y en una arquitectura abierta.
 
Combatir el fuego con fuego
 
No importa el nivel de excelencia de nuestros equipos de seguridad TI, el ser humano no puede mantenerse al día con los ataques automatizados actuales. Estas incursiones de red deben ser detectadas y tratadas rápidamente, antes de que puedan producir daños y desaparecer sin dejar rastro. Un sistema de soluciones de seguridad integradas y orquestadas convenientemente permite a las organizaciones combatir la automatización con automatización utilizando las propias tácticas de los ciberdelincuentes.
 
 

Global Gold Sponsor