La nueva realidad impuesta por el aislamiento social que trajo la Pandemia, obligó a las empresas a reforzar las medidas de ciberseguridad vinculadas al acceso remoto de aplicaciones y documentos corporativos que ahora se realiza principalmente desde redes hogareñas. El aislamiento, entonces, viene a crear un ambiente propicio para que esta coyuntura sea aprovechada por cibercriminales.
La velocidad y el incremento de los ataques detectados en los Estados Unidos, nos dan una clara muestra de lo que también está sucediendo en otros países del mundo. Según el reciente informe de amenazas de EE.UU realizado por VMware Carbon Black, la frecuencia de los ciberataques es de niveles sin precedentes; 92% de los profesionales de la seguridad dijeron que el volumen de ataques que enfrentaron ha aumentado. Los atacantes emplean una amplia gama de tácticas y técnicas para extorsionar, perturbar e infiltrarse en las organizaciones. La investigación arroja que el 97% de las organizaciones de EE.UU ha sufrido una violación de datos como resultado de una ciberataque en los últimos 12 meses. Mientras a un 49% de las organizaciones le ha ocurrido entre 3 y más de 10 veces.
Según el Informe, el panorama de amenazas está evolucionando muy rápido. El 84% de los profesionales de la seguridad afirma que los ataques se han vuelto más sofisticados. Además de adoptar tácticas más avanzadas, la mercantilización del malware se ha vuelto más sofisticada y con técnicas de ataque disponibles para un sector más grande de ciberdelincuentes. Los ciberataques más ejecutados fueron el malware personalizado, seguido de ataques a la cadena de suministro.
Los expertos nos invitan a observar la realidad, aunque no sea agradable: la creciente importancia de las aplicaciones ha creado nuevos desafíos para los departamentos de TI y seguridad. Los métodos tradicionales para proteger el perímetro del centro de datos ya no son adecuados para proteger las aplicaciones y los datos que están en constante movimiento. La protección perimetral basada en firewalls dejó de ser efectiva.
En este contexto, el desafío que enfrentan los CISOs hoy es enorme: sus organizaciones están siendo atacadas como nunca, y necesitan proteger sus activos más críticos sabiendo que efectivamente, tarde o temprano, les llegará el turno de ser objeto de un ataque. En este contexto, serán críticas la capacidad de detección temprana, y las medidas de mitigación del impacto. Cuando la barrera perimetral sea penetrada, necesitarán salir rápidamente de la situación minimizando el impacto negativo sobre la marca y el negocio en sí mismo.
En la visión y experiencia de VMware, dos componentes claves de la seguridad intrínseca de la infraestructura (como contrapartida a una construcción agregada a la misma) han resultado ser efectivos: el Análisis de Comportamiento de las cargas de trabajo y el tráfico, y el Aislamiento de Cargas de Trabajo que evite la propagación de amenazas en el centro de datos.
Análisis de Comportamiento
Los endpoints solían operarse de forma segura en su mayoría detrás del perímetro de la red. Sin embargo, debido a la pandemia y a la explosión de crecimiento del acceso remoto a recursos corporativos, aplicaciones basadas en la nube y redes sociales desde los escritorios, laptops, teléfonos y tablets, estos endpoints se convirtieron en el nuevo perímetro. Hoy son, entonces, los endpoints el principal foco de ataques incluyendo phishing basado en correo electrónico, ransomware, malware y descargas ocultas en la navegación web. Hoy más que nunca, la protección robusta de los endpoints es un elemento crítico en cualquier infraestructura de seguridad corporativa.
Soluciones como VMware Carbon Black adoptan este enfoque que se centra en el análisis en tiempo real de los ataques y amenazas sobre los endpoints y cargas de trabajo en general a través del análisis de su comportamiento, y provee diferentes opciones para resolver los incidentes sobre los elementos comprometidos y aplicar el hardending correspondiente sobre el resto. Esto lo logra mediante la visibilidad continua de lo que está sucediendo en estas cargas de trabajo, ofreciendo alertas tempranas de comportamientos anómalos de procesos que simulan ser inofensivos, soportadas por un motor analítico que procesa más de 540TB de datos a través de 1,3 billones de transacciones por día y que es capaz de detectar amenazas mucho antes de que éstas sean conocidas por las herramientas tradicionales.
Aislamiento de Cargas de Trabajo
¿Qué hubiera sido de WannaCry si luego de controlar un equipo, no hubiese podido trasladarse a otros? Habilitar un modelo de “zero-trust” (confianza cero), incorporando la seguridad directamente en la red del centro de datos, genera perímetros lo más pequeños posibles (micro-segmentación), pudiendo llegar incluso al perímetro de un pod de contenedores o una máquina virtual. El concepto central de zero-trust es permitir solo la comunicación necesaria entre sistemas, asumiendo que todo el tráfico de red, apriori, no es de confianza.
El firewall distribuido de capa 7 de VMware NSX proporciona este nivel intrínseco de seguridad para compartimentar eficazmente el datacenter y contener la propagación lateral de los ataques de ransomware, como en su momento lo hizo con WannaCry. En su última versión, NSX incorporó un motor distribuido de IDS/IPS, inspección avanzada para analizar el tráfico interno este-oeste y detectar esos movimientos laterales de los atacantes incluso en flujos permitidos, lo cual resulta en una aún mayor reducción de la superficie de ataque.
Pero, ¿Cómo podemos saber con exactitud qué dejar o no pasar, sin afectar nosotros mismos accidentalmente el funcionamiento de las aplicaciones? NSX Intelligence y vRealize Network Insight, facilitan la implementación de políticas de zero trust en el día 1, y permiten entender y mapear las aplicaciones, para poder implementar zero-trust visualizando mediante alertas tempranas flujos no securizados o anómalos, de manera de poder bloquearlos rápidamente a través de un click.
NSX permite restringir muy rápidamente el acceso al servicio de RDP o cualquier puerto/servicio/protocolo hasta capa mas alta de OSI, mediante una regla en el firewall distribuido que aplique a cualquier carga de trabajo con, por ejemplo, Sistema Operativo Microsoft Windows, independientemente de la conectividad que tenga.
La combinación de la seguridad de los endpoints y cargas de trabajo en general basada en el análisis de comportamiento y la aplicación de políticas de zero-trust a nivel de red conforman una herramienta muy poderosa para mitigar los riesgos y el impacto de un ataque de este tipo de ransomware.
La paradoja actual es que mientras el aislamiento social apunta a controlar la dispersión de la infección que afecta al planeta, se produce un efecto contrario en las infraestructuras tecnológicas. Si comprendemos el problema, podremos dar las soluciones adecuadas.
Asesoró Octavio Duré. Solution Engineering Director, South of Latam, VMware