Preparándose para un ataque: 5 consejos para organizaciones

Por: Carlos Bolivar, Regional Director, Sourcefire LATAM.

Para las organizaciones actuales el problema ya no es si recibirán ataques, sino cuándo.  No hay que decirnos mentiras: la mayoría aún no ha podido evitar que su estrategia global de defensa se vea comprometida así hubiera establecido controles para mantener aislados todos los tipos de amenazas imaginables. Y es que la capacidad de utilizar los controles para cerrar la brecha que cada atacante pueda encontrar y reducir la superficie de ataque a cero es fundamentalmente defectuosa.

La cadena muestra cómo los atacantes están logrando sobrepasar sistemáticamente capas actualizadas de los productos de seguridad de red, alcanzando el punto final para ejecutar sus misiones. Ahora más que nunca, la preparación para un ataque debe contener los daños y restaurar los sistemas a los estados de confianza con la mayor rapidez.

Con vista en esto, los siguientes cinco consejos ayudarán a las organizaciones a prepararse mejor en caso de un ataque.

  1. Adoptar un enfoque centrado en la amenaza a la seguridad. Los atacantes no discriminan y se aprovecharán de cualquier brecha en la protección para llegar a su objetivo final. En lugar de confiar en las tecnologías de ‘bala de plata’ dispares que no pueden trabajar juntas, las organizaciones necesitan soluciones que aborden las redes de manera amplia, es decir, la protección de puntos finales, los entornos móviles y los entornos virtuales. Deben compartir la inteligencia de un modo continuo y deberán abarcar el riesgo de manera integral -antes,  durante y después de un ataque-. En esta medida hay que buscar tecnologías que vayan más allá de la detección de punto y sean capaces de realizar bloqueos en el tiempo, siempre observando y mitigando cualquier daño tan pronto entra el atacante.
  2. Automatizar la seguridad tanto como sea posible. Los procesos manuales no son suficientes para defenderse de los ataques incesantes que a menudo emplean técnicas automatizadas para acelerar y ampliar los ataques. Es necesario reducir las tareas intensivas en mano de obra y agilizar los procesos de seguridad. Herramientas que pueden identificar de manera inteligente y alertar automáticamente pueden salvar a los equipos de  seguridad y ahorrar horas de investigación y trabajo seleccionando los ataques reales de los que no lo son. Además, brindan la posibilidad de aplicar y ajustar automáticamente las políticas y normas de seguridad, manteniendo actualizado el siempre cambiante panorama de amenazas y minimizando las amenazas y vulnerabilidades.
  3. Apalancamiento de Seguridad Retrospectiva. Las amenazas modernas son capaces de disfrazarse como seguras, pasar desapercibidas a través de las defensas sin ser detectadas y posteriormente mostrar un comportamiento malicioso. Es conveniente buscar tecnologías que aborden esta situación mediante la supervisión continua de archivos considerados originalmente “seguros” o “desconocidos” permitiéndole aplicar la seguridad retrospectiva –aquella que tiene la capacidad de identificar rápidamente el alcance, hacer seguimiento, investigar y remediar si estos archivos pueden llegar a ser maliciosos de nuevo.
  4. Perfeccionar los procesos de respuesta incidental. En el informe de fuga de datos de Verizon 2013 se encontró que el 22 por ciento de los incidentes investigados tomaron meses para contener la infracción. Los eventos de seguridad suceden y muchas organizaciones no tienen un plan de respuesta inmediato en su lugar. Cada organización debe tener un equipo designado de respuestas a incidentes aunque no de tiempo completo, pero que esté capacitado para comunicar y responder a los eventos de seguridad. El equipo tiene que estar respaldado por políticas y procesos documentados. Por ejemplo, una política de INFOSEC se debe poner en marcha para asegurarse de que está protegiendo los datos correctos. Un Runbook de Respuesta a Incidentes con instrucciones claras paso a paso  para el equipo a seguir en caso de un ataque, incluida la notificación de incidentes y una colaboración de llamadas, conduce a una mejor, rápida y más precisa contención y remediación. Por último, la revisión de programas sistemáticos de forma trimestral puede asegurar que las políticas, configuraciones y reglas de funcionamiento estén realmente protegiendo su organización en la medida en que sea necesario.
  5. Enseñar a los usuarios y al personal de seguridad de TI sobre las amenazas más recientes. El mismo informe de Verizon encontró que “las técnicas dirigidas a los usuarios –como malware, phishing y el uso indebido de las credenciales– son las principales vulnerabilidades”. Instruir a los usuarios para que conozcan estas técnicas y poner en marcha las políticas en lugar de restringir el comportamiento del usuario, puede tomar un largo tiempo hacia la prevención de los ataques maliciosos que a menudo se basan en métodos relativamente simples. Las organizaciones también deben comprometerse a mantener a su personal altamente capacitado en el panorama actual de amenazas. El desarrollo profesional continuo con un enfoque específico en la capacidad de identificar un incidente, clasificarlo, contenerlo y eliminarlo, ayudará a mantener los equipos de seguridad al tanto de las últimas técnicas utilizadas por los atacantes para ocultar las amenazas, filtrar datos y establecer cabezas de playa para futuros ataques.

 

Cada organización debe enfrentar el hecho de que las infracciones pueden ocurrir y ocurren. Si bien es importante seguir reforzando las defensas, tenemos que aumentar nuestra capacidad de recuperación frente a los ataques implacables. Las mejores preparaciones requieren un enfoque integral que incluye las tecnologías, procesos y la gente detrás de ellos para que las organizaciones puedan tomar la acción correcta rápidamente cuando un ataque ocurre.

 

  Share: