En el blog corporativo de McAfee se publicó este artículo sobre la velocidad con la que las amenazas informáticas actúan y la respuesta de las organizaciones cuando el daño ya ha sido hecho. Los invito a leerlo y a dejarme sus comentarios.
Una de las preguntas más frecuentes de los administradores de sistemas de seguridad es ¿cuándo estará lista la firma para poder enfrentar esta nueva amenaza que vulneró mi red? El hecho es que una vez que ocurrió un ataque, la solución puede tardar desde varios días hasta semanas.
El informe “Cuando los minutos cuentan” en el que se evalúan las capacidades de las organizaciones para detectar y bloquear ataques dirigidos, señala que la mayoría de las empresas no confían en su capacidad para identificar a tiempo los ataques dirigidos. Incluso las compañías mejor preparadas para lidiar con ataques dirigidos invierten tiempo en la investigación de grandes volúmenes de eventos, lo que contribuye a establecer una urgencia y un enfoque organizativo en estrategias creativas para una detección más temprana y una mitigación más eficaz.
Algunos de los descubrimientos clave son:
- El 74 % de las personas encuestadas informó que los ataques dirigidos son una de las principales preocupaciones en sus organizaciones.
- El 58 % de las organizaciones investigó 10 o más ataques el último año.
- El 78 % de las organizaciones que pueden detectar ataques en minutos contaban con un sistema de información de seguridad y gestión de eventos (SIEM, Security Information and Event Management) proactivo y en tiempo real.
- Solo el 24 % de las compañías confían en su capacidad de detectar un ataque en minutos y un poco menos de la mitad informó que tardarían días, semanas o incluso meses antes de observar un comportamiento sospechoso.
¿Pero sólo es posible actuar reactivamente y esperar a que exista una solución para remediar estos problemas?
Actualmente ya no debería ser necesario aguardar mucho tiempo para enfrentar una amenaza, pues un sistema de seguridad de avanzada debería permitir actuar en segundos: imaginemos un sistema de defensa unificado contra ataques en el que los endpoints, los controladores y los sensores de seguridad sean capaces de compartir información rápidamente por medio de una capa de datos abiertos sin importar que algunos de los componentes sean de diversas empresas de seguridad, todo ello en el propósito de mejorar la protección de su red.
Dicho sistema de defensa unificado debería permitir a los responsables de la seguridad de la red de la empresa contar con una perspectiva amplia más integral que descanse en la evidencia de ataques a su información digital, al hallazgo anticipado de ataques probables, a la disminución del tiempo de respuesta a las amenazas, además de mejores plazos para fijar o remediar los problemas originados por un ataque.
Todo debe comenzar por el conocimiento del entorno, un sistema de seguridad adaptable protege y reacciona contra la amenazas, además de adaptarse a ellas de manera semejante a un cerebro vigilante; después debe comunicarse con otros productos de seguridad diferentes por medio de una infraestructura de comunicación que los conecte y permita actuar como si fueran un solo sistema.
Imaginemos cómo funcionaría un sistema de seguridad avanzado: un usuario de una red corporativa descarga un archivo de un sitio web que no está incluido en ninguna lista de direcciones IP blancas o negras e intenta abrirlo inmediatamente, sin embargo el componente del sistema de seguridad más cercano no puede determinar si es seguro o no, por lo que lo envía a un dispositivo sandbox donde, en un entorno controlado, lo examina, todo esto en segundos.
Mientras tanto al usuario que descargó el archivo se le permite operar, sin embargo su unidad ya está en cuarentena, sus comunicaciones han sido bloqueadas. Si el sistema de seguridad determina que el programa es seguro y puede ejecutarse lo clasifica como confiable y restablece las comunicaciones y permite a todos los usuarios ejecutarlo, si por el contrario lo clasificara como inseguro o no confiable pide a todas las puertas de acceso (gateways), servidores de seguridad —sin importar quién sea el fabricante— y puntos finales (endpoints) que bloque en la ejecución del archivo para eliminar la amenaza y todo esto en cuestión de segundos.
En resumen, un sistema de seguridad de avanzada debería:
- Reaccionar en segundos, no en minutos u horas, ante posibles amenazas.
- Aislar automáticamente la ejecución de cualquier archivo sospechoso.
- Ejecutarlo en un ambiente controlado (sandbox).
- Trabajar de manera coordinada con diversas soluciones de seguridad sin importar el fabricante de las mismas.
- Determinar en segundos si el ejecutable es confiable o no y después informar a todos los componentes del sistema de los resultados del análisis.
Este artículo fue publicado también en: