Los analistas de Gartner identificaron las principales tecnologías en materia de seguridad de la información, y sus implicaciones para las organizaciones de seguridad a lo largo del año. Estas conclusiones fueron presentadas recientemente en el “Gartner Security & Risk Management Summit”. Las plataformas de protección de cargas de trabajo que corren en nubes híbridas, las soluciones de detección y respuesta para terminales, el análisis del tráfico de la red, el perímetro definido por software y la seguridad de los contenedores son algunos de estos tópicos.
“En 2017, el nivel de amenazas hacia la TI empresarial sigue estando alto, con registros diarios en los medios de grandes brechas y ataques. En la medida en que los atacantes mejoran sus capacidades, las empresas también deben mejorar sus habilidades para proteger accesos y protegerse de los ataques —resumió Neil MacDonald, vicepresidente, analistas distinguido y Gartner Fellow Emeritus—. Los líderes de riesgo y seguridad deben evaluar y comprometerse con las tecnologías más recientes para protegerse contra los ataques avanzados, habilitar mejor la transformación digital de los negocios y abrazar nuevos estilos de cómputo como nube, movilidad y DevOps”.
PRINCIPALES TECNOLOGÍAS PARA LA SEGURIDAD DE INFORMACIÓN
Plataforma de protección de cargas de trabajo de nube (CWPP)
Los centros de datos modernos soportan cargas de trabajo que corren en máquinas físicas, virtuales (VMs), contenedores, infraestructura de nube privada y casi siempre incluye algunas cargas que corren en uno o más proveedores de infraestructura de nube pública como servicio (IaaS). Las plataformas de protección de cargas de trabajo de nube (CWPP) híbrida proveen a los líderes de seguridad de la información una forma integrada para proteger esas cargas usando una única consola de gestión, y también una única manera de expresar la política de seguridad, independientemente de dónde corran esas cargas de trabajo.
Navegador remoto
Caso todos los ataques exitosos se originan en la Internet pública, con preminencia de aquéllos basados en browser como la fuente más importante de ataque a los usuarios. Según Gartner, los arquitectos de la seguridad de la información no pueden detener los ataques, pero pueden contener el daño al aislar las sesiones de navegación en Internet de los usuarios finales respecto de los terminales y las redes empresariales. Al aislar la función de navegación, el malware se mantiene fuera del sistema del usuario final y la empresa ha reducido significativamente la superficie de ataque cambiando el riesgo de ataque a las sesiones del servidor, que pueden ser restablecidas al anterior estado seguro conocido en cada nueva sesión de navegación, tabulador abierto o URL accedida.
Tecnologías de decepción/engaño
Las tecnologías de engaño se definen mediante el uso de engaños, señuelos y/o trucos diseñados para frustrar o desechar procesos cognitivos de un atacante, interrumpir las herramientas de automatización del atacante, retrasar sus actividades o detectar un ataque. Mediante el uso de estas tecnologías de engaño detrás del firewall empresarial, las empresas pueden detectar mejor a los atacantes que han penetrado sus defensas con un alto nivel de confianza en los eventos detectados. Las implementaciones de tecnología de engaño ahora abarcan varias capas dentro del stack, incluyendo el terminal, la red, la aplicación y los datos.
Detección y respuesta en los terminales (EDR)
Las soluciones de EDR aumentan los controles preventivos tradicionales como los que podría aportar el antivirus, al monitorear los terminales en relación a indicaciones de comportamiento inusual y otras actividades que apunten a intentos maliciosos. Gartner predice que hacia 2020, el 80% de las grandes empresas, el 25% de las organizaciones medianas, y el 10% de las pequeñas habrán invertido en estas capacidades.
Análisis de tráfico de red (NTA)
Gartner explica que estas soluciones monitorean los objetos, conexiones, flujos y tráficos de la red en busca de comportamientos que indiquen intentos maliciosos. Las empresas que busquen un abordaje sustentado en la red para identificar los ataques avanzados que superaron la seguridad perimetral deberían considerar NTA como una forma de ayudar en la identificación, gestión y triage de estos eventos.
Detección y respuesta administrada (MDR)
Los proveedores de MDR brindan servicios para aquellos compradores que quieran mejorar la detección de amenazas, la respuesta a los incidentes y las capacidades de monitoreo continuo, pero no tienen experiencia o recursos para hacerlo por ellos mismos. Las demandas de esta clase de servicios de parte de las PyMEs son particularmente fuertes.
Microsegmentación
Una vez que los atacantes han ganado un punto de apoyo en los sistemas empresariales, normalmente pueden moverse sin impedimentos laterales (“este/oeste”) a otros sistemas. La microsegmentación permite aislar y segmentar con fines de seguridad dentro del centro de datos virtual. Al igual que los mamparos en un submarino, la microsegmentación ayuda a limitar el daño de una brecha cuando se produce. La microsegmentación se ha utilizado para describir principalmente la comunicación este-oeste o lateral entre servidores en el mismo nivel o zona, pero ha evolucionado para ser utilizado ahora para la mayoría de las comunicaciones en los centros de datos virtuales.
Software-Defined Perimeters (SDP)
Un perímetro definido por software establece un conjunto lógico de participantes dispares conectados a la red dentro de un enclave seguro de cómputo. Los recursos están típicamente escondidos del descubrimiento público, y los accesos son restringidos a través de un broker de confiabilidad (trust broker) hacia los participantes específicos del enclave, removiendo el activo de la visibilidad pública y reduciendo así el área para ataques. Gartner prevé que, hacia fines de 2017, al menos el 10% de las organizaciones empresariales impulsarán tecnología de SDP para airlar entornos sensibles.
Brokers de seguridad de acceso a la nube (CASBs)
Los Cloud Access Security Brokers cierran la brecha de seguridad que resulta del incremento significativo en los servicios de nube y actividad móvil. Los CASBs provee a los profesionales de seguridad de la información un punto único de control sobre múltiples servicios de nube concurrentemente, para cualquier usuario o dispositivo. La importancia crecientemente mayor del SaaS, combinado con las preocupaciones crecientes acerca de la seguridad, privacidad y cumplimentariedad, sigue incrementando la urgencia para control y visibilidad de los servicios de nube.
Escaneo de Seguridad de OSS y Análisis de la Composición de la Seguridad para DevSecOps
Los arquitectos de la seguridad de la información deben ser capaces de incorporar automáticamente controles de seguridad sin configuración manual a lo largo de un ciclo DevSecOps de una manera que sea lo más transparente posible para que no impedir la agilidad de los equipos de DevOps, pero a la vez cumpliendo con los requisitos legales y normativos. Los controles de seguridad deben ser capaces de automatizarse dentro de las cadenas de herramientas de DevOps para satisfacer este objetivo. Las herramientas de análisis de composición de software (SCA) analizan específicamente el código fuente, los módulos, los marcos y las bibliotecas que un desarrollador está utilizando para identificar e inventariar componentes OSS e identificar cualquier vulnerabilidad de seguridad o problemas de licencias conocidos antes de que la aplicación sea lanzada a producción.
Seguridad de contenedores
Los contenedores (containers) usan un modelo de sistema operativo (OS) compartido. Un ataque sobre una vulnerabilidad en el OS host puede llevar a comprometer todos los contenedores. Los containers no son intrínsecamente inseguros, pero están siendo desplegados de una manera insegura por parte de los desarrolladores, con poco o ningún involucramiento de los equipos de seguridad y poca guía de parte de los arquitectos de seguridad. Las soluciones tradicionales de seguridad de red y basada en host están ciegos a los contenedores. Las soluciones de seguridad de contenedores protegen todo el ciclo de vida de esos contenedores desde la creación a la entrada en producción, y la mayoría de estas soluciones de seguridad proveen escaneo de pre producción combinado con monitoreo y protección en tiempos de ejecución.
Compartir nota:
