Tendencias como la movilidad, el Cloud, BYOD, Big Data y el Internet of Everything han ampliado el campo de acción de los ciber-criminales, quienes ahora dirigen sus ataques hacia múltiples vectores como dispositivos móviles, navegadores y aplicaciones web, redes sociales, PCs, vehículos y todo tipo de objetos conectados.
A estos mayores frentes de ataque se unen la mayor sofisticación de las amenazas -los ataques son difíciles de detectar y permanecen en las redes durante largo tiempo- y la gran complejidad y falta de integración de las soluciones de defensa.
Según el último Informe Anual de Seguridad de Cisco, durante 2014 los ciber-criminales han mejorado aún más su capacidad para aprovechar los agujeros de seguridad, burlar las defensas corporativas y ocultar su actividad maliciosa.
El spam ha crecido un 250%, al igual que los ataques de malvertising (inserción de malware en publicidad), y los ciber-delincuentes han cambiado su foco: desde comprometer servidores y sistemas operativos a aprovechar las vulnerabilidades de los usuarios en entornos de navegador y de correo electrónico.
De esta forma, el 100 por cien de una muestra de más de 30 de las mayores redes corporativas del mundo generó tráfico hacia sitios web que albergan malware, de manera que cualquier compañía está expuesta a malware aunque no sufra ataques directos. Además, según un reciente estudio de Seguridad de Cisco, menos de la mitad de los trabajadores españoles creen que mantener a salvo los datos personales y corporativos es también su responsabilidad, mientras solamente el 40 por ciento de las empresas utilizan las últimas versiones de sus programas o actualizan sus navegadores para evitar brechas de seguridad.
Un cambio necesario. Abordar los desafíos de estas tendencias exige replantearse la política de seguridad, siendo necesario cambiar los controles basados en el perímetro y los antiguos modelos de acceso y contención para proteger el nuevo escenario empresarial más móvil, global y conectado.
Las tradicionales soluciones antivirus y anti-malware no son suficientes para detener estos sofisticados ataques, ya que constituyen soluciones que únicamente detectan la amenaza en el punto de entrada.
Y en gran medida se trata de malware avanzado, es decir, dirigido hacia objetivos concretos y capaz de adaptarse y ocultarse para incrementar su eficacia.
Es así como se debe adoptar un nuevo modelo de seguridad que:
– Proporcione mayor visibilidad de las amenazas y nuevos vectores de ataque.
– Se enfoque en el análisis continuo para proteger antes, durante y después de los ataques.
– Sea capaz de aplicar inteligencia global en tiempo real y respuestas automatizadas.
– Reduzca la complejidad generada por la adopción de múltiples soluciones puntuales.
Protección continua. Al implantar los sistemas de protección es muy importante pensar en cómo gestionamos la seguridad durante todo el ciclo de la amenaza:
– Antes, donde implantamos y gestionamos las medidas de control de acceso a la red (Firewalls, VPN, NAC…).
– Durante, donde inspeccionamos y analizamos todo el tráfico que dejamos pasar a la empresa para identificar amenazas y malware (filtrado de email, proxies de navegación, Sistemas de Prevención de Intrusiones…).
– Después, donde implantamos las medidas necesarias para responder con rapidez a los incidentes y evitar en lo posible el robo de datos corporativos, ya que el malware avanzado suele permanecer en las compañías entre tres y seis meses, mientras que el tiempo que necesitan los atacantes para robar la información deseada es de sólo unas horas.
Seguridad retrospectiva. De esta forma, se requiere una nueva aproximación que permita mitigar el ataque una vez que la amenaza ha traspasado el perímetro de seguridad y que combine inteligencia con capacidad de análisis para responder a preguntas como: ¿cuál ha sido el método y el punto de entrada?, ¿qué sistemas se han visto afectados? o ¿cómo evitamos que suceda de nuevo?
En lugar de apoyarse en firmas de malware -técnica que puede tardar semanas o meses en crearse para cada nueva amenaza-, las últimas tecnologías utilizan una combinación de reputación de archivo (analiza cargas de archivos según atraviesan la red), sandboxing o entorno seguro de ejecución acotado (analiza y entiende el verdadero comportamiento de archivos desconocidos) y análisis de archivo retrospectivo (solucionando el problema de archivos maliciosos que han atravesado las defensas perimetrales y que posteriormente son considerados una amenaza).
Estas tecnologías de nueva generación -que Cisco ya ha incorporado en su oferta AMP (Advanced Malware Protection)- permiten así identificar y detener las amenazas durante todas las etapas del ataque, proporcionando además la analítica necesaria para soportar este nuevo modelo de seguridad retrospectiva.
Tres pilares clave. En Cisco creemos que la mejor forma de protegerse frente al malware avanzado y los ataques de los ciber-criminales es mediante una protección continua e integrada que aplique inteligencia en tiempo real, análisis dinámico y seguridad retrospectiva, para lo que debe basarse tres pilares clave:
– Completa visibilidad: ayudando a las organizaciones a ver lo que realmente ocurre en su entorno.
– Enfocada en las amenazas: el malware avanzado y los ataques de día cero requieren un análisis continuo e inteligencia en tiempo real desde el Cloud.
– Con gestión centralizada, unificada y sencilla. Se requieren sistemas integrados, ampliables y con gestión sencilla y centralizada y políticas unificadas.
Esta aproximación se traduce en un modelo de seguridad integrada en la red con funciones de detección de amenazas y mitigación automáticas que sin duda mejorarán la fiabilidad y seguridad de red como un todo, reemplazando a las arquitecturas tradicionales enfocadas en blindar dispositivos individuales.
Eutimio Fernández
Director de Seguridad en Cisco España
