Por Alejandro Alonso
La batalla contra el malware se está perdiendo. Así lo aseguró Sergio Pilla, de Intel Security, en una de las charlas de Segurinfo 2016. Los encargados de la operación de Seguridad dentro de las organizaciones invierten buena parte de su tiempo en responder incidentes y “tapar huecos”. Existe además una brecha creciente entre la oferta la demanda de talentos especializados en Seguridad Informática. Pero los ciberdelincuentes no se detienen. “El año pasado advertimos que cualquier tipo de organización podía ser target para un atacante”, aseguró Pilla. Acaso el emergente más notorio de esta ola de ataques es el ransomware (una forma de ataque que obstaculiza el acceso a los datos de la compañía y pide un “rescate” para reintegrarlo).
Para Pilla, la seguridad ya no se está gestionando de manera eficiente, de modo que las organizaciones siempre están por detrás de los ataques. “El día cero nos está ganando”, afirmó Pilla. Y no sólo eso: también aumenta la velocidad, la sofisticación y la complejidad. Por otra parte, el malware llega incluso a las organizaciones más pequeñas, con una característica preocupante: según una estadística de Verizon, del 70% al 90% de los incidentes vienen provocados por un malware que, en última instancia, está dirigido a una organización específica, no es conocido en otra parte del mundo. Este malware avanzado, construido “a medida” —salvo que las organizaciones afectadas lo identifiquen y difundan ese conocimiento—, es virtualmente indetectable. Por otra parte, el 28% del total de los ataques son dirigidos. Los atacantes buscan afectar los sistemas para obtener rédito de ellos.
Intel Security llegó a la conclusión que el abordaje tradicional a esta problemática está muy lejos de ser eficiente. En un mercado de Seguridad sumamente fragmentado, el despliegue de soluciones “best of breed”, que no se comunican entre sí, junto con otras barreras en la estrategia defensiva de las organizaciones (buena parte de las cuales están motorizadas por el uso de la nube, los dispositivos móviles, y otros emergentes de la llamada “transformación digital” dentro de las empresas), crea una suerte de “tormenta perfecta” para el éxito de las amenazas avanzadas. A esto se suma otro factor: el abordaje “best of breed” demanda inversiones cada vez mayores para mantener las soluciones, sin que sea posible extraer algún beneficio sinérgico que permita mantener a raya esos gastos. Se requiere un abordaje que contemple, entre otras medidas, una arquitectura abierta, que permita un amplio nivel de colaboración entre todas las soluciones de seguridad. Al mismo tiempo, según Pilla, es necesario que los roles que operan estos sistemas sean cada vez menos demandantes.
“A las organizaciones les cuesta dinero, cada vez que tiene un incidente de seguridad —dijo Pilla—. Y ahí es donde se hace cada vez más importante el tiempo”. En este contexto, existen distintos tipos de “tiempos”, el destinado a la detección, a la contención, y los de restablecimiento de la operación. “Mientras más cortos sean esos tiempos, más dinero le vamos a ahorrar a la organización.
Más valor le podremos mostrar desde las áreas de seguridad a la organización. Ésta es nuestra tesis”.
ABIERTO Y COLABORATIVO
Los obstáculos que tienen las organizaciones a la hora enfrentar de manera eficiente estas amenazas incluyen:
1) Soluciones aisladas y que no se hablan entre sí.
2) Falta de visibilidad. Demasiados datos sin la suficiente inteligencia como para crear insights accionables.
3) Los ataques, cada vez más, son dirigidos (muchos son “a medida”, no aparecen en otras partes del mundo).
Por otra parte, es necesario conocer las instancias en la línea de tiempo del incidente, cada una de las cuales tiene características y criticidades específicas. Por ejemplo, equipos de seguridad sobrecargados de trabajo que no pueden achicar el tiempo de “descubrimiento” de la amenaza o el ataque (no es raro que el malware funcione escondido por meses), o tiempos de “recuperación” muy extensos, que pueden ser catastróficos para una organización.
Intel Security propone algunas ideas para mejorar la estrategia operativa, de modo que las áreas de Seguridad puedan hacer algo más que protegerse de “lo malo conocido”, en palabras de Pilla. La propuesta incluye un ciclo de defensa continuo, que apunte a:
- Proteger: Detenga los vectores de ataque invasivo mientras también interrumpe técnicas y cargas útiles nunca antes vistas.
- Detectar: Ilumine maniobras de bajo límite a través de inteligencia y análisis avanzados.
- Corregir: Mejorar las prioridades y priorizar las respuestas como parte de una investigación fluida.
Parte de la estrategia permite establecer niveles de confianza de los archivos (sobre todo los ejecutables). Esta reputación, basada en la existencia de firmas o certificados y en la reputación global, sirve para detectar objetivos sospechosos. Así, el sistema puede decidir ejecutar archivos como el Microsoft Word, que tiene buena reputación, y no ejecutar o enviar a sandboxing aquellos archivos nunca antes ejecutados, sin reputación ni firma.
Otra parte de la estrategia es la tecnología McAfee Data Exchange Layer (DXL), que permite el intercambio de información y la actualización bidireccional entre soluciones de distintos proveedores (firewalls, IPSs, proxys, terminales, etc.). Se trata de una plataforma abierta que integra los productos de forma más estrecha. Intel Security Innovation Alliance facilita la interoperabilidad de la tecnología, así como la integración de los productos de seguridad. La alianza ya tiene 150 socios, que incluyen a Aruba, una filial de Hewlett Packard, Brocade, Check Point, Forcepoint, Identity Finder, MobileIron, Rapid 7, VMware Airwatch y Proofpoint.
[youtube_sc url=”https://youtu.be/XP395b3VnLs”]
DXL permitirá, en última instancia, mantener esa arquitectura “best of breed”, pero se le entrega una herramienta para que los componentes puedan comunicarse, aprendan y se adapten, aseguró Pilla.
Los beneficios de este abordaje son numerosos. De las cerca de siete consolas necesarias para gestionar la seguridad en una organización, el nuevo abordaje permitiría que sólo fueran dos (la de gestión y la de SIEM – Security Information and Event Management). También reduce los onerosos tiempos de respuesta, y permite escalar rápida y automáticamente la conciencia sobre una nueva amenaza (dentro y fuera de la organización).
Compartir nota:
