1.
Crecimiento de las amenazas cibernéticas: Las amenazas crecen en
términos de magnitud y agresividad. Con la creciente conectividad, cada nueva
amenaza tiene el potencial de infectar a más equipos.
2.
La ciberdelincuencia está creciendo: Esta nueva amenaza también nos
recuerda que la ciberdelincuencia está creciendo, ya que cada vez más las
amenazas tienen una motivación financiera. Ellas se tornan más peligrosas
porque las organizaciones criminales que las dirigen tienen cada vez más
recursos para desarrollar “armas” sofisticadas y actuar globalmente con ellas.
3.
Impacto real en los negocios: Durante los últimos días se han visto
noticias sobre empresas que fueron contaminadas y tuvieron que pagar por el
rescate de sus datos, así mismo, otras decidieron desconectar sus equipos. En
los dos casos, es evidente el impacto en términos de costo (sea por el pago del
rescate o, en el peor de los casos, por la pérdida de productividad).
4.
La prevención es fundamental y comienza con pequeñas cosas: La
vulnerabilidad es conocida hace más o menos dos meses, cuando Microsoft publicó
un boletín recomendando la actualización de los sistemas Windows para
corregirla. Un trabajo de Gestión de Patchs, complementado con Gestión de
Vulnerabilidades, habría evitado ese dolor de cabeza. Realizar copias de seguridad
con alta frecuencia es otra práctica muy común que ayuda en situaciones de
ramsonware. Son conceptos sencillos, pero que necesitan ser realizados de forma
consistente, con procesos, herramientas y personal entrenado.
5.
Microsegmentar la red: La utilización de herramientas para la
microsegmentación reduce los estragos. Al aislar sistemas por microsegmentos,
el movimiento lateral realizado por el malware se contiene, y él no contamina
una gran cantidad de equipos en red. Optar por la microsegmentación por
software, enfocándose inicialmente en sistemas más críticos permitirá la
adopción rápida, sin impacto en la arquitectura de la red, y con reducción de
costos. A mediano y largo plazo, esta técnica aumentará la seguridad y
permitirá la simplificación de la red al reducir la complejidad de firewalls
internos y segmentación vía VLANs.
6.
Monitoreo de Comportamiento de Malware: En todo momento surgirán nuevas
amenazas, que serán desconocidas para las herramientas tradicionales de
seguridad que trabajan con firmas y estándares de malware conocidos. La
utilización de herramientas de corrección de eventos es un control necesario,
pero no es suficiente. Prepararse para el malware nuevo requiere de un SOC
(Centro de Operaciones de Seguridad) más inteligente, que identifique
comportamientos anómalos incluso cuando se presente un ataque nuevo con firma
desconocida. En el caso de WannaCry, la comunicación mediante la puerta de SMB,
el comportamiento de moverse lateralmente dentro de la red, y la dirección de
su “maestro” que intenta contactar, son indicios típicos de que algo extraño
está sucediendo y que permitirán a un SOC inteligente detectar la nueva amenaza
a tiempo.
7.
Respuesta a incidentes: Una vez detectada la nueva amenaza, es necesario
contar con una rápida respuesta. Las respuestas automáticas o manuales podrían
bloquear el tráfico sospechoso y eliminar de la red a los equipos contaminados.
La utilización de una Arquitectura de Seguridad Adaptable es recomendada para
responder de modo dinámico, cambiando la arquitectura de subredes a la medida
en que las contaminaciones sean identificadas. Un ejemplo es colocar en
cuarentena los equipos contaminados y evitar que los mismos contaminen a otros.
No hay comentarios:
Publicar un comentario
Escriba sus comentarios aqui: