Inicio Tecnología Distanciamiento Social en el Centro de Datos

Distanciamiento Social en el Centro de Datos

Distanciamiento Social en el Centro de Datos

Mientras el aislamiento social apunta a controlar la dispersión de la infección que afecta al planeta, paradójicamente, se está produciendo un efecto contrario en las infraestructuras tecnológicas. La unidad de negocios de seguridad de VMware publicó un reciente informe señalando que en marzo de 2020, los ataques de ransomware aumentaron 148% por sobre los niveles de referencia desde febrero de 2020. Según un estudio de la consultora Ipsos, previo al aislamiento, el 29% de las empresas en la Argentina reconoció haber sido víctima de ciberataques. Y el 49% afirmó que no cuenta con políticas efectivas de prevención, de acuerdo con una investigación de la compañía Kaspersky y la consultora Corpa.

El aislamiento, entonces, viene a crear un ambiente propicio para que estas carencias sean explotadas. En tanto el teletrabajo obligó a las empresas a reforzar las medidas de ciberseguridad, el acceso remoto a aplicaciones y documentos corporativos se hace principalmente desde redes hogareñas, que no cuentan con las mismas medidas de seguridad. Diversos estudios muestran que se prevén más ciberataques ahora que la vulnerabilidad es mayor. Lamentablemente, muchas veces la premura está por sobre la seguridad, ya que tradicionalmente contar con niveles de seguridad altos (o incluso adecuados), era sinónimo de proyectos largos y complejos.

En tanto en 2019 los responsables de la operación de RaaS (Ransomware-as-a-Service) GandCrab –que en un momento llegaron a ser responsables del 40% de las infecciones por ransomware en el mundo– anunciaban su cierre alardeando sobre haber generado más de dos mil millones de dólares en rescates; esta semana nos tocó ver cómo un malware (Sodinokibi, también conocido como Sodin o REvil) que parece estar relacionado con aquel grupo, atacó a varias compañías en la región solicitando rescates millonarios. Y es que el cibercrimen parece mantenerse como un negocio rentable, y al igual que otras actividades delictivas organizadas, no se espera que disminuya; por el contrario, las organizaciones criminales utilizan tecnologías cada vez más avanzadas y efectivas.

En este contexto, el desafío de los CISOs hoy es enorme: sus organizaciones están siendo atacadas como nunca, y el desafío está en proteger sus activos más críticos sabiendo que efectivamente, tarde o temprano, les llegará el turno de ser objeto de un ataque. En este contexto, serán críticas no solo la capacidad de detección temprana, sino también las medidas de mitigación del impacto, ya que cuando la barrera perimetral sea penetrada, serán las claves para salir airosos de la situación y para que un ataque o filtración no afecte drásticamente la marca, imagen del negocio, o incluso, el negocio mismo.

En la visión y experiencia de VMware, dos componentes claves de la seguridad intrínseca de la infraestructura (como contrapartida a una construcción agregada a la misma) han resultado ser efectivos: el Análisis de Comportamiento de las cargas de trabajo, y el Aislamiento que evite la propagación de amenazas en el centro de datos.

Análisis de comportamiento

Los endpoints (terminales) solían operarse de forma segura en su mayoría detrás del perímetro de la red. Sin embargo, debido a la pandemia y a la explosión de crecimiento del acceso remoto a recursos corporativos, aplicaciones basadas en la nube y redes sociales desde los escritorios, laptops, teléfonos y tablets, estos endpoints se convirtieron en el nuevo perímetro. Hoy son, entonces, los endpoints el principal foco de ataques que incluyen phishing basado en correo electrónico, ransomware, malware y descargas ocultas en la navegación web. Hoy más que nunca, la protección robusta de los endpoints es un elemento crítico en cualquier infraestructura de seguridad corporativa.

La protección contra virus y malware conocidos es importante, pero las herramientas tradicionales basadas en firmas por sí solas ya no ofrecen una protección efectiva. A medida que aumenta la cantidad de virus y malware conocidos, existe el desafío logístico de mantener todos los endpoints y cargas de trabajo en general actualizados con las firmas más recientes.

Supongamos que detecto un proceso 123abc.exe en un dispositivo con Windows 10, que no aparece en ningún otro dispositivo con Windows 10 de mi empresa. Y supongamos que ese proceso de repente establece una conexión con alto payload a un DNS en el sudeste asiático. Y digamos que finalmente, se conecta a una base de datos en mi datacenter. ¡No necesito más! Parece suficiente evidencia de comportamiento sospechoso como para tomar medidas. Aún sin firmas ni identificación de una amenaza conocida.

Soluciones como VMware Carbon Black adoptan este enfoque que se centra en el análisis en tiempo real de los ataques y amenazas sobre los endpoints y cargas de trabajo en general a través del análisis de su comportamiento, y provee diferentes opciones para resolver los incidentes sobre los elementos comprometidos y aplicar el hardending correspondiente sobre el resto. Esto lo logra mediante la visibilidad continua de lo que está sucediendo en estas cargas de trabajo, ofreciendo así alertas tempranas de comportamientos anómalos de procesos que simulan ser inofensivos, soportadas por un motor analítico que procesa más de 540TB de datos a través de 1.300 millones de transacciones por día y es capaz de detectar amenazas mucho antes de que éstas sean conocidas por las herramientas tradicionales.

En el centro de datos, la integración de esta tecnología en vSphere, en una modalidad agent-less asegurará que este tipo de controles se encuentren en el hipervisor, fuera del sistema operativo y de la superficie de ataque. La integración con la tecnología de NSX, combinará capacidades de EDR y NDR (Network Detection and Response) para reaccionar de igual manera ante tráfico o comportamiento sospechoso de la red. De esta manera VMware se asegura una posición única en su capacidad de ejecutar lo que Gartner denominó XDR.

Aislamiento en el centro de datos

En mayo de 2017, comenzaron a aparecer informes de ataque del malware WannaCry en todo el mundo, uno de los mayores incidentes cibernéticos de ransomware hasta la fecha. Fueron registrados más de 200.000 ataques en 180 países, las víctimas incluyen organizaciones de todas las verticales e industrias.

WannaCry apuntaba a equipos con Microsoft Windows, y los controlaba a través de una vulnerabilidad crítica en Windows SMB aunque también utilizaba RDP como un vector de ataque para la propagación. Cifraba los sistemas incautados para luego exigir de un rescate a cambio de descifrar el sistema y devolver el control. La velocidad para propagarse lateralmente hacia otros sistemas en la red fue una de las características clave de WannaCry, y lo es en la mayoría de los ransomware actuales.

¿Qué hubiera sido de WannaCry si luego de controlar un equipo, no hubiese podido comunicarse con otros? Habilitar un modelo de zero-trust (confianza cero), incorporando la seguridad directamente en la red del centro de datos, genera perímetros lo más pequeños posibles (microsegmentación), pudiendo llegar incluso al perímetro de un pod de contenedores o una máquina virtual. El concepto central de zero-trust es permitir solo la comunicación necesaria entre sistemas, asumiendo que todo el tráfico de red, a priori, no es de confianza.

El firewall distribuido de capa 7 de VMware NSX proporciona este nivel intrínseco de seguridad para compartimentar eficazmente el centro de datos y contener la propagación lateral de los ataques de ransomware, como en su momento lo hizo con WannaCry. En su última versión, NSX incorporó un motor distribuido de IDS/IPS, inspección avanzada para analizar el tráfico interno este-oeste y detectar esos movimientos laterales de los atacantes incluso en flujos permitidos, lo cual resulta en una aún mayor reducción de la superficie de ataque.

Pero, ¿cómo podemos saber con exactitud qué dejar o no pasar, sin afectar nosotros mismos accidentalmente el funcionamiento de las aplicaciones? NSX Intelligence y vRealize Network Insight, facilitan la implementación de políticas de zero-trust en el día 1, y permiten entender y mapear las aplicaciones, para poder implementar zero-trust visualizando mediante alertas tempranas flujos no securizados o anómalos, de manera de poder bloquearlos rápidamente a través de un clic.

Al igual que en 2017 con WannaCry, a más de tres años de ese sorpresivo día en el mes de mayo, los incidentes de seguridad reportados durante las últimas semanas explotan nuevamente vulnerabilidades en servicios y protocolos de acceso remoto. Con NSX nuestros clientes pudieron eficazmente limitar el impacto (https://blogs.vmware.com/networkvirtualization/2017/05/use-zero-trust-protects-against-wannacry.html/)

NSX permite restringir muy rápidamente el acceso al servicio de RDP o cualquier puerto/servicio/protocolo hasta capa más alta de OSI, mediante una regla en el firewall distribuido que aplique a cualquier carga de trabajo con, por ejemplo, Sistema Operativo Microsoft Windows, independientemente de la conectividad que tenga.

La combinación de la seguridad de los endpoints y las cargas de trabajo en general basada en el análisis de comportamiento y la aplicación de políticas de zero-trust a nivel de red conforman una herramienta muy poderosa para mitigar los riesgos y el impacto de un ataque de este tipo de ransomware.

Autores:

Santiago Ramos, Network and Security Sales Specialist
Pablo Boscariol, Network and Security Solution Engineer
Octavio Duré, Director Solution Engineering