Defensa interna: Ciberseguridad con una mirada hacia adentro. Debido al peligro, las organizaciones están reforzando sus defensas contra los ciberataques del exterior. Sin embargo, a menudo se olvidan de mirar hacia adentro. Las nuevas tecnologías ayudan a detener a los atacantes que ya están en la red.
Para los ciberdelincuentes, la crisis de la corona y sus consecuencias significan un estado de ánimo de fiebre del oro: nunca antes muchas empresas habían sido tan vulnerables como lo son hoy. Sin embargo, la seguridad de TI se está poniendo al día lentamente para proteger la mayor superficie de ataque causada por empleados distribuidos, y aumenta los muros de seguridad alrededor de la empresa y sus empleados que trabajan desde casa. Muchas organizaciones pasan por alto el hecho de que las soluciones utilizadas solo están dirigidas hacia el exterior y no hacia el interior, donde a veces acechan los peligros mayores.
Los extorsionistas cibernéticos son cada vez más objetivos
El cifrado de datos por ransomware es un buen ejemplo de amenazas externas. Los atacantes los difunden ampliamente utilizando el principio de la regadera, y el éxito de los delincuentes tiende a ser aleatorio, según el empleado que haya hecho clic en un correo electrónico de phishing. Pero incluso si los datos se cifraron, las empresas pueden usar herramientas de descifrado, software de recuperación o copias de seguridad simples para contrarrestar y recuperar los datos.
En respuesta, muchos extorsionadores cibernéticos se están volviendo más objetivos. Están dirigiendo cada vez más sus ataques a organizaciones cuyos datos se consideran más valiosos o donde el potencial de daño a la reputación es mayor. Porque estas empresas están más dispuestas a pagar un rescate, incluso si es por el hecho de que los datos no se hacen públicos. Para ello, los delincuentes estudian a las víctimas potenciales individualmente y con gran detalle para poder evaluar con precisión el potencial de un ataque exitoso. En última instancia, deciden qué organizaciones atacar en función de las expectativas de ganancias. Estas amenazas nuevas, mucho más específicas, requieren una respuesta diferente a la de los ataques más indiscriminados del ransomware.
Las nuevas amenazas requieren respuestas más inteligentes
Desde la perspectiva de las operaciones de seguridad de TI, una gran parte del desafío de defenderse de los ciberdelincuentes radica en detectar e investigar ataques potenciales mediante indicadores de compromiso (IOC). Estas pueden ser direcciones IP sospechosas y/o incluidas en la lista negra, URL de phishing conocidas y firmas de archivos maliciosos. Idealmente, las herramientas de seguridad clásicas que usan estos IOC, como la detección de intrusos, los firewalls y la seguridad de puntos finales, evitan que las organizaciones sean víctimas de un ataque exitoso antes de que lo hagan.
Herramientas clásicas para ataques clásicos
Este enfoque puede funcionar para ransomware, donde los datos se cifran inmediatamente después de un ataque exitoso. Con los ataques dirigidos, los delincuentes tienen que buscar en la red durante un tiempo para encontrar los datos correctos que vale la pena robar. Las empresas pueden tener petabytes de datos almacenados en muchos lugares diferentes. Para obtener estos valiosos datos, los delincuentes tienen que invertir mucho más tiempo y esfuerzo. Sin embargo, las herramientas de seguridad orientadas al exterior no pueden detectar a los internos comprometidos porque, a primera vista, son completamente legítimos en la red. Para detectar ataques en esta etapa, las organizaciones necesitan otras herramientas de seguridad. Y dado que los delincuentes a veces pueden permanecer en la red durante mucho tiempo, es importante detectarlos lo antes posible antes de que puedan causar más daño.
El factor tiempo ofrece una ventaja a la seguridad de TI
Egon Kando es vicepresidente de área de ventas de Europa Central, del Sur y del Este en Exabeam (Foto: Exabeam).
A veces, los delincuentes pueden pasar meses o incluso años dentro de una infraestructura, haciendo todo lo posible para pasar desapercibidos mientras se abren camino a través de la cadena de defensa hacia las joyas de la corona de datos de la empresa. Sin embargo, esto también ofrece a la defensa pequeñas ventajas: por un lado, tienen más tiempo para buscar a los intrusos en comparación con el ransomware y, por otro lado, los delincuentes dejan rastros a medida que se mueven en la red.
La seguridad de TI puede aprovechar estas oportunidades para evitar que sucedan cosas peores, siempre que cuente con las herramientas necesarias para dirigir la vista de seguridad hacia adentro. Porque los IOC siempre están orientados hacia el exterior, lo que los hace inútiles para detectar atacantes que ya están en la red.
SIEM y UEBA: La defensa central eficaz
Las soluciones SIEM (Security Information and Event Management) compilan registros de una variedad de fuentes y los analizan en busca de comportamientos de red normales y sospechosos. La última generación de SIEM se basa en UEBA (User Entity Behavior Analytics), que se basa en algoritmos de aprendizaje automático y monitorea continuamente el comportamiento de los usuarios y dispositivos en la red. Por ejemplo, cuando se accede a archivos inusuales o se ejecutan aplicaciones llamativas. Este análisis de los datos de registro de la red debe automatizarse porque simplemente hay demasiados para que los equipos de seguridad los examinen manualmente de manera efectiva y en tiempo real.
Acortar las reacciones a los ataques.
Sin embargo, identificar comportamientos sospechosos es solo una parte del trabajo. Porque ahora es necesario reaccionar lo más rápido posible para evitar daños inminentes o limitarlos en la medida de lo posible. Para poder definir el alcance de la reacción, el incidente debe investigarse a fondo. Esto incluye la creación de una línea de tiempo que muestra todas las actividades de los usuarios y dispositivos involucrados y evalúa si son normales o inusuales. Una vez hecho esto, se puede planificar e implementar la respuesta. Los equipos de seguridad de TI están respaldados por soluciones SOAR (Security Orchestration, Automation and Response) para la automatización y orquestación de las medidas de defensa necesarias utilizando varios productos de seguridad. SOAR es, por así decirlo, el libero de la defensa, que reacciona a los ataques de manera dirigida lo más rápido posible después de la detección y el análisis.
Los libros de jugadas dedicados pueden automatizar completamente las mitigaciones, como aislar un host o prohibir una dirección IP para limitar el impacto. Además de tiempos de respuesta más rápidos, esto reduce el tiempo medio de recuperación (MTTR) en aquellos escenarios críticos donde el tiempo es esencial.
Nunca te sientas seguro
Incluso si las soluciones de defensa externa, como la detección de intrusos, los cortafuegos y la seguridad de punto final, no han hecho sonar la alarma, la seguridad de TI en las empresas siempre debe esperar que los ciberdelincuentes estén de alguna manera en la red, y los atacantes estén tratando de rastrearlos de manera proactiva. Para hacer eso, necesita soluciones de seguridad que miren hacia adentro”.
Más información en Exabeam.com
Acerca de Exabeam Exabeam significa Smarter SIEM™. Exabeam permite a las organizaciones detectar, investigar y responder a los ataques cibernéticos de manera más eficiente, para que sus equipos de seguridad y amenazas internas puedan trabajar de manera más eficiente. Las organizaciones de seguridad ya no tienen que vivir con precios inflados, ataques distribuidos perdidos y amenazas desconocidas, o investigaciones y contramedidas manuales. Con Exabeam Security Management Platform, los analistas de seguridad pueden recopilar datos de registro ilimitados, usar análisis de comportamiento para detectar ataques y automatizar la respuesta a incidentes, tanto en las instalaciones como en la nube. Las líneas de tiempo inteligentes de Exabeam, secuencias de comportamiento de usuarios y entidades creadas a través del aprendizaje automático, reducen aún más el tiempo y la especialización necesarios para detectar tácticas, técnicas y procedimientos de atacantes. Exabeam está financiado de forma privada por Aspect Ventures, Cisco Investments, Icon Ventures, Lightspeed Venture Partners, Norwest Venture Partners, Sapphire Ventures y el conocido inversor en seguridad Shlomo Kramer. Más información está disponible en www.exabeam.com. Siga a Exabeam en Facebook, Twitter, YouTube o LinkedIn.