ANÁLISIS EMPRESA SEGURIDAD TOP HISTORIAS
Corey Nachreiner, director de tecnología de WatchGuard Technologies, nos dice que no existe una «fórmula mágica» de ciberseguridad. Él dice: «La parte desafiante de la seguridad es que requiere un enfoque en capas que incluya muchas estrategias de protección, tanto técnicas como humanas».
Según el reciente Informe de seguridad de Internet de WatchGuard Threat Lab, las detecciones de ataques a la red alcanzaron su nivel más alto desde los picos de 2018 en el cuarto trimestre de 2020.
Las firmas de ataques de red únicos totales también mostraron un crecimiento constante con un aumento del 4% con respecto al tercer trimestre. Esto muestra que incluso cuando el mundo continúa operando de forma remota, el perímetro de la red corporativa todavía está muy en juego a medida que los actores de amenazas continúan apuntando a los activos locales.
El CIO inteligente habló con Corey Nachreiner, CTO de WatchGuard Technologies, sobre por qué los atacantes continúan apuntando a la red.
Analizamos por qué la protección de los activos corporativos locales sigue siendo importante y la importancia de establecer una postura de seguridad en capas que equilibre las defensas desde la red hasta el punto final.
¿Por qué es importante ayudar a la postura de ciberseguridad de otras organizaciones?
En resumen, las protecciones de la red siguen siendo importantes, ya que sus servidores y servicios de red residen dentro de los perímetros de la red, específicamente sus oficinas, centros de datos o nubes públicas y privadas. Si bien la protección de endpoints puede proteger directamente a sus usuarios dondequiera que se encuentren (en casa y fuera de su perímetro), los servidores necesitan protecciones adicionales cuando se exponen a través de una red.
Cosas como firewall, IPS, protección contra malware de red, etc., siguen siendo críticas. De hecho, aunque vimos que el malware seguía a los usuarios hasta sus hogares durante la pandemia, también vimos que los ataques de red dirigidos a las vulnerabilidades del software en los servicios expuestos aumentaban en los perímetros de la red (como en las instalaciones y en la nube) y alcanzaban un máximo histórico. desde 2018.
También es importante tener en cuenta que existen clases de dispositivos comerciales y operativos (IoT y OT) que no pueden agregar controles de seguridad basados en terminales. La protección basada en red es excelente para defender estos dispositivos de IoT y OT.
¿Cómo puede la ciberseguridad convertirse realmente en un «esfuerzo comunitario»?
Ya sea que sea una empresa de seguridad, una autoridad de ciberseguridad o simplemente una empresa que ha sufrido un ataque, existen varios programas y opciones cuantificables para compartir indicadores de compromiso y ataque que pueden beneficiar a la comunidad en general (como divulgación pública, programas de recompensas de errores, trabajo grupos y más).
También existen métodos suaves, como compartir información sobre sus esfuerzos de seguridad, desafíos o infracciones en un blog corporativo o aviso público. Cuanta más ayuda pueda proporcionar a otras empresas para comprender y prepararse adecuadamente para posibles amenazas, mejor.
Y finalmente, si no comparte información sobre amenazas o incluso consejos anecdóticos, el simple hecho de mejorar la postura de seguridad de su organización ayuda a la comunidad. Por ejemplo, en este momento los ataques a la cadena de suministro digital son una tendencia preocupante.
Casi todas las empresas tienen conexiones con otras empresas a través de asociaciones o los productos y servicios que eligen utilizar. Debido a que su seguridad a veces depende de estas otras empresas y viceversa, simplemente mejorar la seguridad de su propia organización puede ayudar a todos sus clientes conectados.
¿Por qué es importante compartir inteligencia sobre amenazas y conciencia de seguridad?
La inteligencia de amenazas (TI), como quién lo está atacando (o al menos las direcciones IP o los dominios de quién lo está atacando), es increíblemente útil para otros porque a menudo los mismos ciberdelincuentes se dirigen a varias empresas. Cuanto más TI comparta la comunidad empresarial y de seguridad entre sí, más datos pueden agregar todos a sus controles de seguridad individuales. En lo que respecta a la conciencia de la seguridad, el nivel de seguridad de otra empresa puede afectar al suyo sin darse cuenta, por ejemplo, si se asocia con una empresa y utiliza sus productos y servicios.
¿Puede destacar algunas de las principales estrategias de protección para evitar incidentes de seguridad?
Desafortunadamente, no existe una «solución milagrosa» en ciberseguridad. La parte desafiante de la seguridad es que requiere un enfoque en capas que incluya muchas estrategias de protección, tanto técnicas como humanas. Dicho esto, hay tres tipos de protecciones en las que la gente debería centrarse hoy.
Primero, las organizaciones necesitan soluciones modernas y avanzadas de detección de malware. Algunas de las soluciones «antivirus» tradicionales todavía se basan en gran medida en firmas reactivas (patrones) para detectar malware.
El malware actual, infortunadamente, es más sofisticado y evasivo. Los atacantes alteran proactivamente el malware de víctima a víctima para superar las soluciones basadas en firmas. Necesita soluciones antimalware que utilicen técnicas más proactivas y automatizadas, como el análisis de comportamiento o el aprendizaje automático, para detectar malware nuevo y nunca antes visto. Hay muchas soluciones EPP de próxima generación para terminales y redes que hacen esto; asegúrese de estar usando una.
En segundo lugar, la detección y la respuesta son tan importantes como la prevención. No importa qué tan buenos sean sus controles preventivos, debe esperar que un ataque los evite algún día. La ciberseguridad es un juego del gato y el ratón, y debes hacer todo bien, mientras que un atacante solo tiene que encontrar un error.
Las empresas tienen el hábito de invertir más en soluciones de seguridad preventiva, lo que tiene sentido, ya que todos preferiríamos no tener nunca un incidente. Sin embargo, la verdad es que incluso con los mejores controles preventivos, todavía es una cuestión de cuándo, no si (recuerde, los humanos pueden cometer errores que eluden los controles).
Por eso, mi segundo consejo es invertir también en productos de seguridad diseñados para encontrar y ayudar a remediar posibles infecciones o incidentes. Por ejemplo, las soluciones de detección y respuesta de endpoints (EDR) no están diseñadas para prevenir el malware (eso es lo que hace EPP), sino que encuentran y limpian cualquier dispositivo que parezca infectado. Invierta en EDR.
Por último, todas las empresas de hoy, desde la más pequeña hasta la más grande, deben implementar la autenticación multifactor en todos los empleados, no solo en los usuarios y administradores privilegiados. La identidad es la piedra angular de la seguridad. Todas sus políticas de seguridad dependen de saber «quién» está haciendo «qué». La autenticación es un proceso crucial para verificar la identidad digitalmente, y la única autenticación sólida es aquella que utiliza varios factores para identificar a los usuarios. Si no está utilizando MFA, debe esperar una infracción.
¿Cómo han demostrado las brechas en la cadena de suministro que estamos mucho más conectados entre nosotros de lo que creemos?
Cuando elige una solución de registro, CRM u otro producto en su cadena de suministro, probablemente no crea que instalarlo dentro de su red puede resultar algún día en que un atacante patrocinado por el estado viole su sistema. Pero eso es exactamente lo que puede suceder, como demostró recientemente el ataque masivo a la cadena de suministro de SolarWinds.
Y ciertamente no pensamos en la segunda capa de un ataque como este. FireEye también fue violada debido a la tecnología SolarWinds, que podría haberse filtrado a los clientes de FireEye. Si bien parece que FireEye detectó la infracción temprano y evitó que se propagara a los clientes, aún destaca el riesgo de una infracción inadvertida a un socio tecnológico o proveedor en la cadena de suministro.
Es como la versión digital del juego «Seis grados de Kevin Bacon». En este mundo digital, no solo usamos a menudo los productos y servicios de los demás, sino que también compartimos algunos de nuestros datos con las organizaciones con las que nos conectamos. Los últimos ataques a la cadena de suministro han demostrado claramente que nuestras conexiones digitales abarcan varios niveles.
¿Cómo ha cambiado el panorama de amenazas en los últimos 12 meses?
Nuestros datos muestran que el malware disminuyó a un nivel muy cuantitativo en el perímetro, pero se extendió a los puntos finales remotos y domésticos. Dado que la mayoría de los usuarios trabajan de forma remota, menos malware ha atacado las redes comerciales y, en cambio, se ha centrado en usuarios individuales. Sin embargo, a pesar de ese cambio, los ataques a la red dirigidos a software y servidores han aumentado significativamente en las oficinas y los perímetros de la nube, lo que demuestra que los actores de amenazas aún saben dónde viven nuestros servicios de red y continuarán atacándolos.
Como anécdota, creo que el ataque SolarWinds será el ataque de la década y presentará serias ramificaciones en la industria de la seguridad en los próximos años. Los ataques a la cadena de suministro han sido la tendencia más preocupante en los últimos 12 meses, una para la que solo tenemos soluciones parciales y que será un enfoque principal en la comunidad de seguridad de la información en el futuro.
