Los ciberataques están más coordinados, pero nosotros también
Hace unos días tuve una charla muy interesante con un cliente sobre la complejidad que conlleva detener las amenazas actuales y cómo los ciberatacantes se están volviendo cada vez más sofisticados. Le conté sobre las técnicas que están utilizando y sobre las tendencias en materias de ciberseguridad que nuestros especialistas de SophosLabs predicen para 2019: la continua amenaza de malware para dispositivos móviles y IoT, el uso de herramientas de administración de sistemas de Windows y más ataques de ransomware dirigidos manualmente.
Pero el punto crucial de la conversación llegó cuando le comenté sobre la importancia de que las soluciones estén integradas, de contar con una ‘seguridad sincronizada’, donde el cliente percibe una respuesta automática ante un incidente, simplificando la administración de TI y dando mayor profundidad en el análisis de las amenazas no conocidas. De esta manera, se acorta la superficie de ataques. Al no sorprenderse con esto, decidí enumerar algunos de los puntos que se destacan en una solución de seguridad realmente sincronizada, ya que no todos los modelos son iguales:
1. El endpoint y/o server avisan al firewall que se encuentran comprometidos para evitar que la amenaza se propague por la red. En este escenario el atacante se ve imposibilitado de hacer un movimiento lateral del ataque, ya que cuando se detecta la amenaza, el firewall automáticamente actúa modificando sus reglas para evitar la propagación.
2. Si un dispositivo móvil de una compañía no cumple con las normas de seguridad, el Access Point bloquea automáticamente el acceso a la red hasta que se restablezcan los niveles de seguridad adecuados.
3. Cuando los usuarios de una organización descargan malware, violan políticas de DLP/ Web o reciben constantemente spam o phishing quedan dentro de un marco de alto riesgo y son enrolados para recibir campañas de phishing ético donde se evalúa su nivel de concientización en cuestiones de seguridad. Al fin de cuentas, el eslabón más débil de la cadena es el usuario final.
4. La integración entre el endpoint y el cifrado permite ver la máquina que se encuentra comprometida y le revoca las llaves de cifrado, previniendo el robo de información sensible de la organización.
Luego, cuando la amenaza es eliminada, la solución sincronizada restaura las llaves de cifrado y el usuario puede acceder normalmente a la información.
Si bien las amenazas evolucionaron para aumentar la superficie de ataque, las soluciones de ciberseguridad también. Si contamos con una plataforma única de gestión para que todas las soluciones hablen entre sí, entonces le haremos la vida más difícil a los ciberdelincuentes.