Existen seis principios de defensa integrada ante amenazas para ayudar a las organizaciones a comprender mejor la intención y los posibles beneficios de esta arquitectura
Comparte:Tweet about this on TwitterShare on Facebook11Share on LinkedIn1Share on Google+0Email this to someone
Proteger a la empresa de amenazas puede determinar su posible éxito o fracaso, ya que a medida que las organizaciones se digitalizan, su crecimiento depende cada vez más de la capacidad de asegurar su plataforma digital.
Actualmente, los ciberdelincuentes aprovechan todos los recursos en línea —sean legítimos o no— para realizar sus ataques, que van desde la capacidad de los servidores, la suplantación de identidad, el robo de información y la exigencia de rescates a las víctimas, cuya información fue secuestrada.
Si los atacantes encuentran más lugares en línea dónde operar, su impacto puede crecer exponencialmente. Para muestra el caso del kit de arranque Angler, el cual en una sola campaña afectó a 90,000 víctimas en un día y dejó a los delincuentes una ganancia neta de más de 30 millones de dólares al año.
Su forma de operar fue así: los usuarios recibían la cadena de redireccionamiento y enviaban una solicitud GET para una página de acceso, que entraba al servidor proxy, el cual enrutaba el tráfico a un servidor de ataque —en un país diferente, con un proveedor diferente— asociado con diversos servidores proxy.
En una investigación realizada por Cisco se descubrió que, en realidad, los servidores a los que los usuarios estaban conectados no alojaban ninguna de las actividades maliciosas de Angler y solo servían como conductos.
Según el Informe Anual de Seguridad Cisco 2016, para el 68% de los encuestados, todos ellos responsables de la ciberseguridad empresarial, el malware constituye el principal desafío de seguridad externo que enfrentan y más del 85% de las organizaciones estudiadas fueron afectadas por éste; le siguen la suplantación de identidad y las amenazas persistentes avanzadas (APT), con un 54% y 43%, respectivamente.
gusano-spam-virus-seguridad-ciberataqueCon frecuencia, las tecnologías integradas de defensa ante amenazas pueden detener ataques importantes antes de que afecten las redes empresariales, sin embargo, en muchos casos, no solo se requieren defensas tecnológicas, sino también coordinación entre los proveedores de servicios de seguridad y la empresa.
A medida que los delincuentes toman cada vez más en serio la rentabilización de sus actividades y perfeccionan su infraestructura interna (back-end) para realizar ataques con eficacia y mayores ganancias, los expertos recomiendan que el sector tecnológico realice un mejor trabajo de asociación para anular las campañas delictivas.
Por su parte, las organizaciones deben planificar actualizaciones periódicas y reconocer el valor de controlar su infraestructura crítica de forma proactiva.
Cabe señalar que las infecciones de navegadores se expanden y son también una fuente importante de filtración de datos, no obstante, los equipos de seguridad ven los complementos de navegador como una riesgo de poca gravedad.
Otra amenaza muy popular es el ransomware, ya que representa una operación de bajo mantenimiento para los artífices de amenazas y ofrece una forma rápida de rentabilización, porque los usuarios les pagan a los atacantes directamente en criptomonedas.
Los botnets conocidos como Bedep, Gamarue y Miuref son redes de computadoras infectadas con malware. Los atacantes pueden controlarlas en grupo y ordenarles que realicen una tarea específica, como enviar correo electrónico no deseado o iniciar un ataque DDoS; éstas han estado creciendo en tamaño y en cantidad por años.
Para comprender mejor el panorama actual de las amenazas a escala global, en su estudio Cisco analizó las redes de 121 empresas de abril a octubre de 2015 en busca de pruebas de uno o más de los ocho botnets.
El análisis logró detectar también que los ciberdelicuentes pueden controlar vía WordPress —la conocida plataforma de desarrollo de sitios web y blogs— el flujo continuo de servidores comprometidos, para crear una infraestructura que respalde el ransomware, el fraude bancario o los ataques de suplantación de identidad. El número de dominios de WordPress utilizados por los delincuentes aumentó un 221% entre febrero y octubre de 2015.
Estos son algunos de los tipos de archivo y de software alojados con frecuencia en sitios WordPress comprometidos:
Archivos ejecutables que son cargas útiles para los kits de ataque.
Archivos de configuración de malware, como Dridex y Dyre.
Código proxy que transmite comunicación de comando y control para ocultar la infraestructura de comando y control.
Sitios web de suplantación de identidad para recopilar nombres de usuario y contraseñas.
Scripts HTML que redireccionan el tráfico a los servidores de los kits de ataque.
Cisco también pudo detectar a través de un análisis de malware que el 91.3% usa el servicio de nombre de dominio DNS 'no autorizado' para realizar campañas, y los clientes no estaban al tanto de que sus empleados estaban usando los solucionadores como parte de su infraestructura de DNS.
Otra de las vulnerabilidades detectadas en este Informe Anual de Seguridad Cisco 2016 descansa en Adobe Flash, aunque los proveedores de software están reduciendo el riesgo de que los usuarios se expongan a malware, a través de la tecnología Flash.
El desafío frente a estas amenazas
Las empresas parecen tener una idea clara de los desafíos que enfrentan en torno a la ciberseguridad, ya que el 65% de los encuestados cree que su organización enfrenta un nivel de riesgo de seguridad considerable, que surge concretamente por el uso de movilidad, seguridad de TI y soluciones basadas en la nube.
Alrededor de un tercio de los ejecutivos también está preocupado por su capacidad para proteger datos críticos, el 32% seleccionó 'información financiera confidencial', seguida de la 'información del cliente' e 'información comercial confidencial'.
Sin embargo, al observar las tendencias de 2015, los autores del estudio destacan que el tráfico cifrado HTTPS ha llegado a un punto de inflexión y pronto se convertirá en la forma dominante de tráfico de Internet, por lo que si bien puede proteger a los consumidores, también puede poner en riesgo la eficacia de los productos de seguridad, lo que dificulta el seguimiento de las amenazas. Sumado al desafío, algunos tipos de malware pueden iniciar comunicaciones cifradas a través de un conjunto diverso de puertos.
Los investigadores destacan también que la infraestructura obsoleta está creciendo y deja a las organizaciones cada vez más vulnerables al riesgo. El 92% de los dispositivos de la muestra estaba ejecutando software con vulnerabilidades conocidas: además, el 31% están en la etapa 'fin de venta' y el 8%, en el 'fin de vida útil'.
En este punto, destacan el caso de las pymes, las cuales muestran indicios de que sus defensas contra atacantes son muy débiles: el 48% de ellas utiliza seguridad web, lo que puede poner en riesgo a sus clientes. Si los atacantes pueden violar la red de una pyme, también pueden encontrar una vía hacia una red empresarial.
Además, una cuarta parte de las pymes encuestadas no tiene un ejecutivo a cargo de la seguridad, al no creer que sus empresas sean objetivos de gran valor para los delincuentes en línea, es decir, existe un exceso de confianza en la capacidad de la empresa para frustrar los sofisticados ataques en línea de hoy, o lo que es más probable, que se tenga la idea de que nunca será atacada.
Una infraestructura de TI desactualizada y obsoleta constituye una vulnerabilidad para las organizaciones. A medida que avanzamos al Internet de las Cosas se torna cada vez más importante que las empresas se aseguren de contar con una infraestructura de red segura para garantizar la integridad de los datos y las comunicaciones que atraviesan la red.
Las organizaciones suelen evitar hacer actualizaciones de infraestructura porque son costosas y requieren tiempo de inactividad de la red. En algunos casos, una simple actualización no bastará. Algunos productos son tan antiguos que no se pueden actualizar a fin de incorporar las últimas soluciones de seguridad necesarias para proteger a la empresa.
Finalmente, los equipos de seguridad deben dedicar tiempo y recursos a la supervisión de este riesgo y que consideren un aumento del uso de la automatización para priorizar las amenazas.
Los seis principios de una defensa integrada ante amenazas
En el Informe semestral de seguridad 2015 de Cisco, los expertos afirman que la necesidad de soluciones adaptables e integradas dará lugar a cambios importantes en el sector de seguridad en los próximos cinco años.
A continuación, los seis principios de defensa integrada ante amenaza para ayudar a las organizaciones —y a sus proveedores de seguridad— para comprender mejor la intención y los posibles beneficios de esta arquitectura:
- Se necesita una arquitectura de red integrada y seguridad más eficiente para manejar el volumen y la sofisticación en aumento de los artífices de amenazas.
- Contar con la mejor tecnología de su clase no alcanza para hacer frente al panorama de amenazas actual o futuro; simplemente aumenta la complejidad del entorno de red.
- Para un mayor tráfico cifrado hay que tener una defensa ante amenazas integrada capaz de reunir la actividad maliciosa que hace que determinados productos puntuales se vuelvan ineficientes.
- Las API abiertas son fundamentales para una arquitectura de defensa ante amenazas integrada.
- Una arquitectura de defensa ante amenazas integrada requiere menos equipos y software para instalar y administrar.
- Los aspectos de automatización y coordinación de una defensa ante amenazas integrada ayudan a reducir el tiempo de detección, contención y corrección.