Support Login

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.

 

Las prioridades del CISO: La Visibilidad de la red

 

Las prioridades del CISO: La Visibilidad de la red

Escrito Por: Juan Vazquez, Gerente de Ventas Regionales – Uno de los problemas que añejamente han enfrentado las organizaciones respecto al tema de ciberseguridad, es la falta de visibilidad sobre la red interna y de manera muy particular la detección de ciber amenazas que se ignoran durante el “movimiento lateral” como parte del ciclo de vida de estas.

Bajo el contexto de incidentes de seguridad, violaciones o brechas de datos o el ciclo de vida de los ciber ataques, el entendimiento del concepto del “movimiento lateral” se vuelve un tema fundamental. Varios ataques dirigidos de alto perfil han utilizado el movimiento lateral y robo de credenciales como una forma de penetrar organizaciones, mantener su persistencia y buscar los datos sensibles, causando daños financieros y de imagen a estas.

Hoy en día los CISOs y hasta el “board”, deben de responderse dos preguntas críticas:

  • Qué tan rápido pueden detectar ciber amenazas cuando estas ya están dentro de sus redes y
  • Qué tan rápido se puede responder a ellas para contenerlas o remediarlas,

y es que el último reporte de tendencias de Mandiant1pone de manifiesto que 101 días de exposición globalmente ante un ataque y sin ser detectado (dwell time) es inaceptable para los tomadores de decisión.

El Deception o “uso del engaño” es uno de los enfoques tecnológicos en adopción por las organizaciones, precisamente para ganar esa visibilidad de manera rápida, con baja fricción de implementación respecto de otros mecanismos, bajo en falsos positivos y cantidad de eventos generados. El analista Gartner, por ejemplo; lo lista (junto a tecnologías UEBA y EDR) como una de las estrategias tecnológicas de la detección y respuestade amenazas, dentro de los 10 proyectos prioritarios de este año que casi termina y que contribuyen a reducir el riesgo y tener un gran impacto en el negocio. No perdamos de vista, que durante el 2016 y 2017 el mismo enfoque fue listado como una de las tecnologías top hacia las organizaciones.

El enfoque es simple, consiste en extender la superficie hacia el atacante mediante dos conceptos conocidos: trampas y señuelos; que permitirán identificar de manera temprana a los atacantes durante una brecha en progreso o desde los primeros síntomas de reconocimiento de estos. Esta red de “activos falsos” se vuelve en un campo minado hacia el atacante y que a la vez permite entender sus tácticas, técnicas y procedimientos durante la intrusión, para que se puedan adaptar los controles preventivos existentes para una futura brecha. Un beneficio sustancial del Deception es que es eficaz ante adversarios externos, internos y proveedores; esto último toma gran valor si a usted le preocupan como organización los ataques a la cadena de suministro.

Acorde a Gartner, para el 2019 las debilidades continuas en la prevención llevarán al menos, a que el 10% de las grandes empresas adopten herramientas y tácticas habilitadas para el engaño, mejorando la detección y respuesta e inclinando en algo la carga económica hacia los atacantes2

Los tomadores decisión ahora se están dando cuenta de que las percepciones anteriores y los malentendidos sobre el uso del engaño no son un buen reflejo de la realidad y, como tal; ya no son barreras reales para la adopción en sus organizaciones de manera escalable y ágil de este tipo de tecnologías.

La efectividad del uso e implementación de una plataforma de engaño como Attivo Networks, radica en la autenticidad, dinamismo y realismo de las trampas y señuelos desplegados en la red. El emplear trampas de alta interacción de manera masiva como una evolución desde las honeypots y honeynets, es decir sistemas operativos reales; es lo que hace que las grandes organizaciones seleccionen nuestra tecnología para fortalecer sus defensas existentes.

Sin importar cual sea el método de ataque durante el movimiento lateral, nuestra plataforma ThreatDefendTMofrece una poderosa visualización de las actividades de reconocimiento de la red, extracción de credenciales, ataques de Man-In-The-Middle y reconocimiento de Directorio Activo, lo cual permite identificar y confrontar a los atacantes en la red sin que estos sepan distinguir que están “frente” ante un activo falso. Un argumento fundamental es que la confrontación + la credibilidad, es lo que garantiza la efectividad de estas tecnologías ante los adversarios más avanzados.

Las tecnologías de engaño además proveen otros casos de uso como detección y contención de ransomware, detección del esparcimiento lateral de malware genérico, adaptación a superficies de ataque como servidores, la nube, redes de usuarios, cobertura a ambientes especializados como SCADA, IOT y POS, Requerimientos en Cumplimiento regulatorio, M&A e investigación de brechas/respuesta a incidentes.

Las iniciativas de “Detección y Respuesta” son para organizaciones que entienden que el compromiso es inevitable y que están buscando enfoques disruptivos basados en usuarios, redes o puntos finales para mejorar las capacidades avanzadas de detección, investigación y respuesta de amenazas. Estas tecnologías aunadas a los adecuados procesos y al talento de la gente, es lo que determina que los nuevos CISOs enfoquen sus esfuerzos en iniciativas reales ante una lista interminable de proyectos de seguridad que tienen en frente.

“Es hora de que los CISOs tomen el control de las acciones con una estrategia de defensa activa que haga uso del engaño. Los defensores siempre están bajo ataque y terminan recibiendo muchas palizas a diario (a veces sin darse cuenta). Es hora de hacer un cambio. No más quedarse parado mientras te golpean repetidamente la cara y sin saber de dónde llega el golpe”.

Referencias:

10:52 05 December in Español
0 Comments
Tags:
No Comments

Post A Comment

7 − 4 =