Por Octavio Duré. Solution Engineering Director, South of Latam, VMware
El cibercrimen ha probado ser, especialmente durante los últimos dos años, un buen negocio. Y es por esto, que va a continuar evolucionando; tanto en volumen y número de ataques, como en cuanto a la sofisticación de la tecnología que utiliza.
Sobre esto, la creciente importancia de las aplicaciones ha creado nuevos desafíos para los departamentos de TI y seguridad. Los métodos tradicionales para proteger el perímetro del centro de datos ya no son adecuados para proteger a las aplicaciones y los datos que están en constante movimiento y ejecutando en múltiples nubes, o a los ambientes de usuario final de empleados remotos, geográficamente distribuidos. La protección perimetral basada en firewalls dejó de ser efectiva.
En este contexto, el desafío que enfrentan los CISOs hoy es enorme: sus organizaciones están siendo atacadas como nunca, y necesitan proteger sus activos más críticos sabiendo que efectivamente, tarde o temprano, les llegará el turno de ser objeto de un ataque. Serán críticas la capacidad de detección temprana, y las medidas de mitigación del impacto y el basar la seguridad en arquitecturas de confianza zero. Cuando la barrera perimetral sea penetrada, necesitarán salir rápidamente de la situación minimizando el impacto negativo sobre la marca y el negocio en sí mismo.
En la visión y experiencia de VMware, dos componentes claves de la seguridad intrínseca de la infraestructura (como contrapartida a una construcción agregada a la misma) han resultado ser efectivos: el Análisis de Comportamiento de las cargas de trabajo y el tráfico, y el Aislamiento de Cargas de Trabajo que evite la propagación de amenazas en el centro de datos a través de esquemas de Zero Trust.
Análisis de Comportamiento
Los endpoints solían operarse de forma segura en su mayoría detrás del perímetro de la red. Sin embargo, debido a la explosión de crecimiento del acceso remoto a recursos corporativos, aplicaciones basadas en la nube y redes sociales desde los escritorios, laptops, teléfonos y tablets, estos endpoints se convirtieron en el nuevo perímetro. Hoy son, entonces, los endpoints el principal foco de ataques incluyendo phishing basado en correo electrónico, ransomware, malware y descargas ocultas en la navegación web. Hoy más que nunca, la protección robusta de los endpoints es un elemento crítico en cualquier infraestructura de seguridad corporativa.
Soluciones como VMware Carbon Black adoptan este enfoque que se centra en el análisis en tiempo real de los ataques y amenazas sobre los endpoints y cargas de trabajo en general a través del análisis de su comportamiento, y provee diferentes opciones para resolver los incidentes sobre los elementos comprometidos y aplicar el hardending correspondiente sobre el resto. Esto lo logra mediante la visibilidad continua de lo que está sucediendo en estas cargas de trabajo, ofreciendo alertas tempranas de comportamientos anómalos de procesos que simulan ser inofensivos, soportadas por un motor analítico que procesa más de 540TB de datos a través de 1,3 billones de transacciones por día y que es capaz de detectar amenazas mucho antes de que éstas sean conocidas por las herramientas tradicionales.
Aislamiento de Cargas de Trabajo
¿Qué puede logar un atacante si luego de controlar un equipo vulnerable, no puede trasladarse a otros hasta llegar a cargas críticas? Habilitar un modelo de “zero-trust” (confianza cero), incorporando la seguridad directamente en la red del centro de datos, genera perímetros lo más pequeños posibles (micro-segmentación), pudiendo llegar incluso al perímetro de un pod de contenedores o una máquina virtual. El concepto central de zero-trust es permitir solo la comunicación necesaria entre sistemas, asumiendo que todo el tráfico de red, apriori, no es de confianza.
El firewall distribuido de capa 7 de VMware NSX™ proporciona este nivel intrínseco de seguridad para compartimentar eficazmente el datacenter y contener la propagación lateral de los ataques de ransomware, como en su momento lo hizo con WannaCry. En su última versión, NSX incorporó un motor distribuido de IDS/IPS, inspección avanzada para analizar el tráfico interno este-oeste y detectar esos movimientos laterales de los atacantes incluso en flujos permitidos, lo cual resulta en una aún mayor reducción de la superficie de ataque.
Pero, ¿Cómo podemos saber con exactitud qué dejar o no pasar, sin afectar nosotros mismos accidentalmente el funcionamiento de las aplicaciones? NSX Intelligence y vRealize Network Insight, facilitan la implementación de políticas de zero trust en el día 1, y permiten entender y mapear las aplicaciones, para poder implementar zero-trust visualizando mediante alertas tempranas flujos no securizados o anómalos, de manera de poder bloquearlos rápidamente a través de un click.
NSX permite restringir muy rápidamente el acceso al servicio de RDP o cualquier puerto/servicio/protocolo hasta capa más alta de OSI, mediante una regla en el firewall distribuido que aplique a cualquier carga de trabajo con, por ejemplo, Sistema Operativo Microsoft Windows, independientemente de la conectividad que tenga.
La combinación de la seguridad de los endpoints y cargas de trabajo en general basada en el análisis de comportamiento y la aplicación de políticas de zero-trust a nivel de red conforman una herramienta muy poderosa para mitigar los riesgos y el impacto de un ataque de este tipo de ransomware.
VMware se encuentra en una posición única para implementar seguridad, cerca de las aplicaciones, para entenderlas, pero fuera del Sistema Operativo y de la superficie de ataque, en la red, en los endpoints. IDS/IPS en las cargas y en el tráfico de red, XDR (Network & Endpoint tread Detection and Response), NGA (Next Generation Antivirus con detección temprana basada en comportamientos).
Esta posición única ha sido reconocida durante la conferencia de RSA; la Cyber Defense magazine premió a VMware en su 9na Annual Global Infosec Awards en dos categorías: “La seguridad de Endpoint más Innovadora” por VMware Carbon Black Cloud y “Líder de Mercado en Firewalls” por VMware NSX Service-defined Firewall (Link). Asimismo SE Labs confiere en 2021 la primer certificación AAA para NSX en NDR (Link) y este año VMware obtiene el oro (GOLD) en los Excellence Awards Cybersecurity 2022 (Link)