Blog B-SECURE

Combatir las amenazas requiere protección ampliada, proactiva y dirigida

shutterstock_255043504.jpgLas organizaciones, sin importar su tamaño, han incorporado en los últimos años una cantidad enorme de tecnologías que ha hecho más complejo el panorama de su infraestructura. Tendencias como la virtualización, la nube, la movilidad o el Internet de las cosas, por mencionar algunas, en tan solo unos años fueron acogidas ampliamente y no solo han traído consigo cambios en la forma  en que funcionan las empresas,  también suponen nuevos desafíos de seguridad.

Fundamentalmente, han crecido los riesgos a los que las organizaciones se encuentran expuestos. Las redes incluyen más componentes y están geográficamente dispersas y por consiguiente “desperimetrizadas”. Los sistemas que se solían tener “controlados” en centros de datos propios, ahora se encuentran virtualizados, alojados en centros de datos de terceros o en servicios de nube. Las tecnologías de la operación (TO) ya no están “desconectadas” y están convergiendo con TI. Además, los colaboradores utilizan una mayor cantidad y variedad de dispositivos que incluyen computadores de escritorio, portátiles, tabletas y teléfonos inteligentes.

Nuevos desafíos requieren un enfoque proactivo

Las áreas de seguridad, tecnología, infraestructura, aplicaciones y otras responsables de la operación tecnológica de una empresa, tienen el reto de minimizar los riesgos a los que se enfrenta la organización. Son las encargadas de asegurar que los colaboradores puedan realizar sus labores adecuadamente, que las interacciones con los clientes no se vean afectadas en ningún momento y que no haya un compromiso de la información que pueda afectar el negocio en sí mismo o la reputación de la marca.

Este es un desafío de clase mundial pues los recursos son limitados. Los presupuestos para la puesta en marcha de tecnologías de seguridad, aunque han crecido y seguirán creciendo en los próximos años, aún son reducidos en la mayoría de los casos con respecto al incremento de la amenazas. Además, existe un claro déficit de profesionales dedicados a la seguridad y muchos de ellos no se encuentran preparados adecuadamente para responder a esa creciente cantidad  y complejidad de amenazas que están surgiendo.

Adicionalmente, el enfoque tradicional de seguridad que busca detectar y bloquear amenazas a través de controles básicos (firewalls, antimalware, gateways de correo y web, etc.) y otros más avanzados (WAF,IPS,DDoS, etc.) que se amplían  de acuerdo a consideraciones generales sobre los riesgos (usualmente subjetivas) siguen siendo necesarios, pero su nivel de efectividad se reduce día a día. Aunque la detección es una parte importante de la seguridad, es requerido incluir otros aspectos que permitan dejar de actuar de forma reactiva y pasar a un enfoque proactivo que priorice y mitigue continua y efectivamente los riesgos que impactan el negocio de tal manera que disminuyan las posibilidades reales de que un ataque ocurra.

¿Qué analizar y medir?

La consigna número uno debe ser medir y analizar constantemente la situación de seguridad de la empresa. Sin embargo, no existe una única métrica que permita evaluar todos los aspectos asociados a la seguridad. Es indispensable utilizar diferentes mediciones y hacer un análisis conjunto que permita obtener una perspectiva más completa. Solo de esta forma se podrá realizar eficientemente la asignación de recursos, la planificación de programas, la evaluación de riesgos y la selección de productos y servicios, que ayudan a prevenir, detectar y responder adecuadamente ante las amenazas. A continuación algunos aspectos a tener en cuenta.

  • Indicadores de compromiso (IOC): actividades y artefactos digitales que alertan sobre la posibilidad de un ataque. La primera categoría describe actividades anómalas o sospechosas dentro de su red y sistemas que incluyen tráfico de red inusual, actividad de cuenta de usuario privilegiada inusual, anomalías de inicio de sesión. Los artefactos digitales son aquellas cosas que aparecen en un host o red y que pueden indicar compromiso o actividad por software malicioso, incluyen archivos, entradas de registro o procesos. Los IOC entregan información valiosa sobre eventos que ya sucedieron, por lo que es difícil utilizarlos como alertas tempranas de ataques potenciales. Se han realizado grandes esfuerzos para estandarizar IOCs. Sin embargo es deber del equipo de su empresa establecer si se ajustan o no a la realidad de la organización.
  • Indicadores de exposición (IOE): debilidades  en el ambiente de TI que son particulares de una organización y que pueden ser explotadas o usadas para explotaciones por parte de un atacante. Incluyen vulnerabilidades del software, configuraciones incorrectas, controles de seguridad faltantes, reglas excesivamente permisivas y violaciones de políticas de seguridad. La mayoría de las exposiciones nunca se explotan, pero todas representan posibles vectores de ataque. Los IOEs son usados para obtener una representación de la superficie de ataque.
  • Superficie de ataque: suma total de las vulnerabilidades de los dispositivos, redes o personas, de las que pueden valerse los ciberdelincuentes para afectar una organización. Mide que tan atacable puede ser un sistema. La superficie de ataque de un sistema depende del subconjunto de los recursos que puede usar un criminal para atacarlo. Estos incluyen métodos, canales y elementos de datos. Los puntos de entrada y salida son los métodos que usa un atacante para enviar o recibir datos del sistema (por ejemplo, API). Los canales son los medios que usa para conectarse al sistema (por ejemplo, sockets) y los elementos de datos son los datos que puede enviar o recibir del sistema (por ejemplo, cadenas de entrada). Un sistema que tiene más recursos tiene una superficie de ataque más grande y, por lo tanto, existe un nivel mayor de riesgo. No tener un claro entendimiento de la superficie de ataque hace que se priorice y asegure lo que se cree crítico, aunque en realidad muchas veces no lo sea.

Dejando atrás el enfoque reactivo de la seguridad

Proteger de forma proactiva una organización significa no esperar a ser atacado para conocer lo que debe ser remediado. Requiere de la puesta en marcha de un proceso continuo de evaluación de la postura de seguridad y los factores de riesgo frente a los que se encuentra expuesto e implica establecer indicadores que permitan tener una visión completa de la superficie de ataque para determinar y priorizar las acciones que cerrarán significativamente su tamaño con el menor esfuerzo.

Todo esto sin dejar a un lado el desarrollo de capacidades de detección, análisis y repuesta a amenazas pues siempre existirán las posibilidades de que un ataque sea satisfactorio y un delincuente logre ingresar a los sistemas. El siguiente reto será entonces lograr que una vez allí no pueda causar daño alguno.

Topics: SOC