Enfoque de seguridad en capas (es tan bueno como ...)
Un enfoque de seguridad en capas para detectar ataques cibernéticos de malware es la forma actual de "ir a" para defender los perímetros de la red y los puntos finales individuales. Pero la seguridad en capas no logra mucho a menos que desencadene una respuesta apropiada y efectiva.
Por lo general, para las capas independientes, las contramedidas locales independientes de cada capa no son suficientes a menos que sean coherentes con las respuestas preplanificadas específicas de la red empresarial defendida. La anticipación activa de posibles ataques cibernéticos y cómo responder es clave. Como dijo una vez Edmund Burke: "Es mejor ser despreciado por temores demasiado ansiosos, que arruinado por una seguridad demasiado confiada".
La defensa contra la escala creciente y la complejidad de los ataques cibernéticos actuales (por ejemplo, DDOS, día cero, lista de contraseñas, APT y ataques dirigidos) depende en gran medida de los avances en el software y los dispositivos de seguridad automatizados disponibles comercialmente. En conjunto, las empresas gastan miles de millones de dólares en estos productos y servicios que agregan capa sobre capa de seguridad, desde dispositivos de firewall avanzados hasta aplicaciones de prevención de pérdida de datos (DLP).
Durante la última década, la seguridad y la defensa en capas se han convertido en una estrategia de seguridad empresarial distinta y ampliamente adoptada. El concepto es simple: cualquier capa de seguridad puede no atrapar todo, pero múltiples capas, cada una con sus propias fortalezas y debilidades, compensan las deficiencias de otras capas. Los cortafuegos, antimalware, antispam, detección de intrusos, DLP, cifrado, sandboxing se superponen para proporcionar múltiples oportunidades para evitar ataques cibernéticos.
Desafortunadamente, los ciberataques sondean y aprenden fácilmente cómo funciona cada una de estas capas defensivas. Luego pueden adaptar sus técnicas maliciosas de amenaza persistente avanzada para derrotar nuevas capas individuales y, lo que es peor, descubrir formas de sortear toda la estructura de la defensa en capas. En última instancia, el enfoque de seguridad en capas adolece de debilidades similares a las de las capas individuales que combina de manera tan efectiva: cada capa que se agrega conlleva sus propios costos, lo que agrega costos de mantenimiento y operaciones a la empresa, mientras que posiblemente afecte negativamente el rendimiento de la red y la experiencia del usuario.
En el mejor de los casos, un enfoque de seguridad en capas por sí solo es solo una manera para que los defensores intenten mantenerse al día con las adaptaciones de los atacantes. Siempre habrá al menos medio paso por detrás de las últimas innovaciones de los ciberataques [ TechTarget ].
La Planificación de respuesta a incidentes ofrece una manera de incorporar la seguridad automatizada por capas en una defensa general que logra frustrar a los atacantes incluso cuando penetran en todas las capas de seguridad.
El primer paso es hacer que la seguridad en capas forme parte de la visibilidad general de la red. En lugar de sistemas de defensa independientes, la información de detección de los firewalls y los antivirus se puede integrar en tiempo real y correlacionar con otras fuentes (como los datos de flujo de la red), que brindan alertas sobre la aparición de algo sospechoso. Estas alertas, a su vez, pueden centrar la atención y desencadenar una investigación en un contexto mucho más amplio que el que puede proporcionar una capa de seguridad independiente individual.
La respuesta a incidentes no es otra capa de defensa de seguridad. Un plan de respuesta a incidentes anticipa el comportamiento de la actividad maliciosa que puede ocurrir dentro de una empresa y establece una política por adelantado para detectar, responder y recuperarse de ciberataques reales y actividades maliciosas [ webcast: Malware Incident Response ]. El plan define qué eventos de la red desencadenarán incidentes de seguridad e investigaciones, así como los procedimientos y el calendario de las escaladas si los incidentes siguen sin resolverse. Construyendo un sistema de respuesta a incidentes de ciberseguridad.es una combinación de (i) políticas de seguridad y conocimiento de los empleados; (ii) sistemas de detección integrados y con correlación cruzada, (iii) personal de seguridad que investiga, comprende y resuelve incidentes provocados, (iv) procedimientos y plazos preplanificados que garantizan que los incidentes no resueltos reciban atención escalada oportuna a los ejecutivos responsables de la gestión de riesgos en curso y, si es necesario, la contratación de recursos de seguridad externos para garantizar la resolución.
La respuesta a incidentes no es otra capa de seguridad. Es un sistema dinámico integrado de políticas, personas y herramientas de automatización que garantizan la detección, comprensión y respuesta efectiva y oportuna a todos los incidentes de seguridad en cualquier lugar y en cualquier lugar en la red de la empresa. Un buen sistema de respuesta a incidentes integra todas las capas de seguridad con una comprensión contextual de toda la actividad de la red para proporcionar una garantía de información oportuna y efectiva.
Un enfoque por capas de la ciberseguridad: personas, procesos y tecnología.
La ciberdelincuencia es una amenaza constante que enfrentan las organizaciones de todos los tamaños. Para protegerse contra una violación exitosa de los datos, los equipos de TI deben mantenerse un paso por delante de los cibercriminales defendiéndose contra una avalancha de ataques cada vez más sofisticados a grandes volúmenes. Solo en el tercer trimestre de 2018 , FortiGuard Labs detectó 1,114 explotaciones por empresa, cada una de las cuales representa una oportunidad para que un ciberdelincuente se infiltre en una red y realice un filtrado de datos o comprometa datos valiosos.
Lo que complica aún más este desafío es que las estrategias y los vectores de ataque de los que dependen los ciberdelincuentes evolucionan constantemente. Es el problema clásico de los equipos de seguridad que tienen que cubrir todas las contingencias, mientras que los delincuentes cibernéticos solo necesitan pasar las defensas una vez. Debido a esto, los equipos de TI deben actualizar continuamente sus defensas en función de las tendencias actuales de amenazas. Hoy en día, IoT, malware para dispositivos móviles, cryptojacking y botnets son los principales focos para los ciberdelincuentes, pero es posible que se hayan movido hacia nuevas amenazas en el cuarto trimestre.
Con esto en mente, los equipos de seguridad de TI tienen mucho terreno que cubrir. Desafortunadamente, no hay una solución mágica para garantizar una postura de seguridad efectiva, ni un solo mecanismo de defensa que pueda garantizar la seguridad en las redes distribuidas modernas. Para defenderse de las amenazas actuales, los equipos de TI deben adoptar un enfoque por capas para su ciberseguridad.
Un enfoque en capas a la ciberseguridad
Muchos piensan en un enfoque por capas de la ciberseguridad en términos de tecnología y herramientas. Esto significa tener varios controles de seguridad para proteger entradas separadas. Por ejemplo, implementar un firewall de aplicaciones web , protecciones de punto final y puertas de enlace de correo electrónico seguras, en lugar de confiar solo en las defensas perimetrales tradicionales. Si bien estas soluciones forman parte de un enfoque de seguridad en capas, en realidad va más allá de la implementación de capas de diferentes herramientas de seguridad. Para que la ciberseguridad sea efectiva, las organizaciones también deben considerar cómo aprovechan a las personas y los procesos.
Cuando se combinan en un marco único e integrado, una estrategia superpuesta basada en herramientas de seguridad, personas y procesos producirá las defensas más efectivas.
Tácticas de seguridad para personas, procesos y tecnología
A medida que los equipos de TI buscan crear un entorno de seguridad en capas, hay varias tácticas que deben considerar:
Gente
Los empleados pueden crear algunos de los mayores riesgos para la ciberseguridad. Sin embargo, cuando están bien informados, también pueden ser un activo y una primera línea de defensa. A menudo, los ciberdelincuentes se dirigirán específicamente a los empleados como un vector de ataque basado en su falta de conocimiento de las mejores prácticas de seguridad. Por ejemplo, los delincuentes cibernéticos pueden dirigirse a los empleados con correos electrónicos de suplantación de identidad diseñados para que hagan clic en un enlace malicioso o divulguen credenciales. Teniendo esto en cuenta, es imperativo que las organizaciones realicen sesiones de capacitación periódicas durante todo el año para mantener a los empleados al tanto de posibles estafas y las formas en que pueden hacer que su organización sea vulnerable.
Los programas de capacitación como estos crearán una sólida cultura de ciberseguridad que puede contribuir en gran medida a minimizar las amenazas. Algunos de los equipos de TI de los puntos de higiene cibernética que querrán informar a los empleados incluyen:
- Crea contraseñas seguras que son únicas para cada cuenta y no se reutilizan, lo que garantiza que las contraseñas personales y de trabajo estén separadas.
- No abrir o hacer clic en enlaces en correos electrónicos sospechosos o de remitentes desconocidos.
- Asegurar que las aplicaciones y los sistemas operativos se actualicen periódicamente tan pronto como se publiquen los parches y no se instale ningún software externo desconocido, ya que pueden abrir vulnerabilidades de seguridad en la red.
- Inmediatamente reportar cualquier comportamiento inusual o algo extraño que suceda en sus computadoras.
Otra forma en que los equipos de TI pueden mejorar la ciberseguridad a nivel de los empleados es mediante políticas de administración de acceso, como el principio de privilegio mínimo, que proporciona a una persona acceso a datos solo si es necesario hacer su trabajo, reduciendo así la exposición y las consecuencias de un incumplimiento.
Procesos
Esta capa de ciberseguridad garantiza que los equipos de TI tengan estrategias para prevenir y responder de manera proactiva de forma rápida y eficaz en caso de un incidente de ciberseguridad.
Primero, los equipos de seguridad de TI deben tener un plan de respuesta ante incidentes cibernéticos. Un buen plan de respuesta a incidentes proporcionará a la organización procedimientos repetibles y un enfoque operativo para abordar los incidentes de ciberseguridad para recuperar los procesos de negocios de la manera más rápida y eficiente posible. Además, garantizar que las copias de seguridad adecuadas estén en su lugar y probarlas regularmente es imprescindible para minimizar el tiempo de inactividad y aumentar las posibilidades de recuperación de datos de un evento cibernético.
Lo siguiente es la recopilación y análisis de la investigación de amenazas. Cada estrategia y herramienta de seguridad debe estar informada por la inteligencia de amenazas actual para detectar y responder a las amenazas de manera efectiva. Por ejemplo, la investigación de amenazas podría revelar que los delincuentes cibernéticos han estado realizando ataques a través de una vulnerabilidad específica, o que se han dirigido a puntos finales con un malware específico. Armados con esta información, los equipos de TI pueden tomar medidas proactivas haciendo las actualizaciones necesarias del sistema y aumentando el monitoreo para detectar comportamientos indicativos de uno de estos ataques. También es importante que los equipos de TI consulten los datos de amenazas locales y globales para una comprensión más completa del panorama de amenazas.
Otro proceso importante en el camino hacia la ciberseguridad efectiva es la priorización de los activos. Si bien los equipos de TI continúan tensos debido a la brecha en las habilidades de ciberseguridad, las redes se han vuelto cada vez más sofisticadas, lo que hace imposible monitorear manualmente cada área de la red en todo momento. Por lo tanto, los equipos de TI deben saber dónde se encuentran todos sus activos y priorizar estos activos en función de cuáles son los más críticos para el negocio y tendrían el mayor impacto en el negocio si se rompen. Desde allí, los equipos de seguridad pueden desarrollar políticas e implementar estrategias para mantener esta información más segura y minimizar las consecuencias. Esto podría significar utilizar la segmentación de la red para agregar un nivel adicional de seguridad o crear políticas de control de acceso en función de quién necesita acceder a estos conjuntos de datos específicos.
Tecnología
Como se mencionó anteriormente, hay una gran cantidad de tecnologías que los equipos de seguridad pueden implementar para colocar sus defensas en capas. Dicho esto, es importante que los equipos de TI no implementen soluciones de puntos aislados cuando superpongan sus defensas, sino que seleccionen esas herramientas en función de su capacidad de integración y automatización para crear un tejido de seguridad que pueda facilitar la rápida detección y mitigación de amenazas
Otra táctica que los equipos de TI deberían aprovechar es la tecnología del engaño. La complejidad de la red es un talón de Aquiles para los adversarios. Las tecnologías de engaño nivelan el campo de juego al automatizar la creación de señuelos dinámicos que se encuentran dispersos en todo el entorno de TI, lo que dificulta que el adversario determine qué activos son falsos y cuáles son reales. Cuando un adversario no puede hacer esta distinción, los ciberdelincuentes se ven obligados a perder tiempo en activos falsos y a ser cautelosos cuando buscan intrusos en estos entornos falsos. Esto puede requerir que modifiquen sus tácticas, lo que aumenta sus posibilidades de ser detectado por los equipos de seguridad.
Finalmente, los equipos de TI deben aprovechar la segmentación. Los adversarios se dirigen a las redes para obtener acceso y explotar los datos críticos para el negocio de las organizaciones, ya sea información del cliente y del personal, propiedad intelectual, registros financieros, etc. La segmentación de las redes corporativas permite a los equipos de TI separar sus aplicaciones y datos confidenciales en diferentes segmentos de Subredes con diversos grados de seguridad. Esto permite un mayor control de acceso en los sistemas críticos, lo que limita la exposición si hay una infracción.
Pensamientos finales
La seguridad moderna de la red requiere un enfoque de defensa en capas que tenga en cuenta a las personas, los procesos y la tecnología. Juntas, tales tácticas, que incluyen la creación de una sólida cultura de seguridad, la investigación de amenazas, la priorización de activos y la implementación de controles de red modernos, mejorarán la visibilidad y acortarán los tiempos de respuesta de las amenazas, lo que reducirá al mínimo el impacto de los ataques cibernéticos.
Para hacer frente a la brecha cyberskills aprender más acerca de Fortinet programa de Red de Expertos de seguridad , programa de la Academia de seguridad de red o programa de FortiVets .
Obtenga información sobre el tejido de seguridad Fortinet o la tercera generación de seguridad de red .
Explore The CISO Collective : un centro de contenido en línea y una aplicación móvil que proporciona a los CISO una sola parada para encontrar las noticias e información más relevantes que les permitan ser más efectivos en sus roles
Las personas que trabajan en seguridad cibernética en la actualidad enfrentan numerosos desafíos de manera regular. A partir de tener que lidiar con amenazas avanzadas , a través de la administración de riesgos de terceros, se termina asegurando el cumplimiento de las regulaciones, que se está convirtiendo en un desafío cada vez más difícil, a la luz de las crecientes regulaciones y mandatos introducidos por los gobiernos de todo el mundo. Con tantos aspectos a considerar, los profesionales de la seguridad cibernética a veces tienen problemas para centrarse en la respuesta y recuperación de incidentes cibernéticos. Es por eso que las organizaciones deben considerar mejorar sus esfuerzos de seguridad cibernética a través de un enfoque por capas , ya que les permitiría detectar incidentes, gestionar riesgos y responder rápidamente a diferentes tipos de eventos de seguridad cibernética.
Participación de gerentes de nivel C, administradores de sistemas y equipos de ciberseguridad
Para ser efectivo, el enfoque de seguridad cibernética en capas debe incluir la administración de nivel C de una organización, los administradores de sistemas y los equipos de seguridad cibernética. Para empezar, los usuarios de las redes y sistemas de su computadora deben alertar a los administradores de sistemas de su compañía de cualquier problema técnico y comportamiento sospechoso dentro de su sistema tan pronto como los detecten. Con ese fin, todos los miembros de sus organizaciones que usan sus sistemas de información deben pasar por algún tipo de entrenamiento de concienciación sobre seguridad cibernética , para que puedan reconocer cuándo algo está mal y notificar a su equipo de respuesta a incidentes de seguridad cibernética de manera oportuna.
La siguiente capa de defensa se centra en los deberes y actividades del equipo de respuesta a incidentes de seguridad cibernética de una organización. Deben poder recuperarse de cualquier evento de seguridad cibernética y realizar inteligencia de amenazas para prevenir futuros incidentes.
Además de eso, los equipos de seguridad cibernética deben tomar medidas para garantizar el cumplimiento de las normativas , y eso los pone bajo una presión adicional y puede alejar su enfoque de la respuesta y recuperación de incidentes.
Combinando recursos humanos y automatización para una defensa más profunda
Teniendo en cuenta que los equipos de seguridad cibernética tienen mucho en sus platos, ya que se les asignan muchas tareas, podrían utilizar una plataforma automatizada de respuesta a incidentes cibernéticos para hacerles la vida más fácil. Más específicamente, necesitan una plataforma que combine recursos humanos y automatización para poder implementar el enfoque de seguridad en capas con éxito. Estos tipos de plataformas permiten a las organizaciones utilizar tanto la experiencia de los profesionales de seguridad cibernética como la precisión y eficiencia de un software de respuesta a incidentes.
Al utilizar una plataforma con capacidades de automatización y orquestación, los equipos de seguridad cibernética tendrán la inteligencia que los ayudará a resolver un incidente y tomarán las medidas necesarias para prevenir futuros incidentes . Dichas plataformas ayudan a reducir el tiempo de reacción de los CSIRT, al realizar la investigación forense y rastrear la evidencia digital durante un incidente, proporcionando información esencial, junto con flujos de trabajo predefinidos, para ayudar a las organizaciones a descubrir cómo resolver un incidente de la manera más rápida y eficaz posible. proteger sus activos más valiosos.
No hay comentarios:
Publicar un comentario