Hoy la cuestión no es “si va a suceder”, sino “cuándo va a suceder. Incluso las empresas con las mejores estrategias de seguridad saben que podrían ser blanco de los ciberataques.
Como asegura Josué Hernández, Security Architect de Sourcefire México, un gran número de empresas aún no cuentan con los mecanismos de protección en su estrategia global de defensa. Incluso, añade, es ineficiente su capacidad de utilizar los controles para cerrar la brecha que cada atacante pueda encontrar, y reducir la superficie de ataque a cero.
“La serie de ataques muestra cómo los atacantes están pasando por alto sistemáticamente las capas actualizadas de los productos de seguridad de red y el punto final para ejecutar sus misiones. Ahora más que nunca, la preparación para un ataque debe incluir contener los daños y restaurar los sistemas con mayor rapidez a los estados de confianza”, añade.
De ahí que ofrece cinco consejos para ayudar a las organizaciones a estar mejor preparadas en caso de un ataque.
1. Adoptar un enfoque centrado en la amenaza a la seguridad. Los atacantes no discriminan y se aprovecharán de cualquier brecha en la protección para llegar a su objetivo final. En lugar de confiar en las tecnologías dispares tipo “bala de plata” que no pueden trabajar juntas, usted necesita soluciones que aborden la red completa – la protección de puntos finales, los entornos móviles y virtuales. Deben compartir la inteligencia de un modo continuo y deberán abarcar el ataque completo continuo -antes, durante y después de un ataque. Busque tecnologías que vayan más allá de la detección de punto en el tiempo y del bloqueo para incluir una capacidad continua de mitigar el daño una vez que un atacante entra.
2. Automatizar la seguridad tanto como sea posible. Los procesos manuales no son suficientes para defender contra los ataques incesantes que a menudo emplean técnicas automatizadas para acelerarlos y ampliarlos. Es necesario reducir las tareas manuales y agilizar los procesos de seguridad. Las herramientas que pueden identificar de manera inteligente y alertar automáticamente los eventos de seguridad pueden ahorrarle los equipos de seguridad horas investigando los eventos que no son amenazas reales. Además, la posibilidad de aplicar y ajustar automáticamente las políticas y normas de seguridad para ir a la par del cambiante panorama de amenazas y la evolución del entorno de TI minimiza el riesgo de exposición a las amenazas y vulnerabilidades.
3. Apalancamiento de la seguridad retrospectiva. Las amenazas modernas son capaces de disfrazarse como seguras, pasar desapercibidas a través de las defensas y posteriormente mostrar un comportamiento malicioso. Se puede buscar tecnologías que aborden esta situación mediante la supervisión continua de archivos considerados originalmente “seguros” o “desconocidos” y permitiéndole aplicar la seguridad retrospectiva – la capacidad de identificar rápidamente el alcance, seguimiento, investigar y remediar si estos archivos se determinaron posteriormente como maliciosos.
4. Perfeccionar los procesos de respuesta a incidentes. En el informe de fuga de datos de Verizon 2013, se encontró que 22 por ciento de los incidentes investigados tardaron meses para contener la infracción. Los eventos de seguridad suceden y muchas organizaciones no cuentan con un plan de respuesta. Cada organización debe tener un equipo de Respuestas a Incidentes designado; si bien no de tiempo completo, sí que esté capacitado para comunicar y responder a los eventos de seguridad. El equipo tiene que estar respaldado por políticas y procesos documentados. Por ejemplo, una política de INFOSEC se debe poner en marcha para asegurarse de que está protegiendo los datos correctos. Un Runbook de Respuesta a Incidentes con instrucciones claras paso a paso para el equipo en caso de un ataque, incluida la notificación de incidentes y una colaboración de llamadas, conduce a una mejor, rápida y más precisa contención y remediación. Por último, la revisión de programas sistemáticos de forma trimestral puede asegurar que sus políticas, configuraciones y reglas de funcionamiento están protegiendo su organización, según sea necesario.
5. Educar a los usuarios y al personal de seguridad de TI sobre las amenazas más recientes. El mismo informe de Verizon encontró que “las técnicas dirigidas a los usuarios – como malware, phishing y el uso indebido de las credenciales – son las principales vulnerabilidades”. Instruir a los usuarios para que conozcan estas técnicas y poner en marcha las políticas para restringir el comportamiento del usuario, puede ayudar mucho hacia la prevención de los ataques maliciosos que a menudo se basan en métodos relativamente simples. Las organizaciones también deben comprometerse a mantener a su personal altamente capacitado en el panorama actual de las amenazas. El desarrollo profesional continuo con un enfoque específico en la capacidad de identificar un incidente, clasificarlo, contenerlo y eliminarlo, ayudará a mantener los equipos de seguridad al tanto de las últimas técnicas utilizadas por los atacantes para ocultar las amenazas, filtrar datos y establecer cabezas de playa para futuros ataques.
