Seguridad Sincronizada: una revolución en la protección Seguridad Sincronizada: una revolución en la protección Sección 1: viviendo en la zona de peligro, el mundo actual del ciberriesgo "En camino hacia la zona de peligro. Te llevaré justo a la zona de peligro" – Kenny Loggins, Zona de peligro Aumento de la superficie de ataque, la complejidad y la sofisticación de los ataques Las empresas de hoy en día, tanto pequeñas como grandes, deben convivir y aprender a prosperar en un mundo en el que el ciberriesgo está más presente que nunca. El nivel de riesgo cada vez es mayor por múltiples razones, entre ellas el crecimiento de la superficie expuesta a ataques y el aumento continuado de la complejidad y la sofisticación de los ataques. En primer lugar, el gran número de dispositivos móviles y servicios en la nube usados por los empleados, junto al despliegue de infraestructuras virtuales y en la nube por parte de organizaciones de todos los tamaños, ha hecho crecer de forma dramática lo que se denomina la "superficie expuesta a ataques". Basta ver los datos siguientes: • El usuario medio del Reino Unido tiene conectados 3,1 dispositivos (fuente: statista.com). • Las empresas con 250-999 empleados utilizan 16 aplicaciones aprobadas en la nube, las empresas con 1000-4000 usan 14, mientras que la empresa más grande solo usa 11. (Fuente: Okta Business@work, 2015) • Las estimaciones de la industria calculan que la facturación por IaaS (Infraestructura como Servicio) en el 2015 superará los 16 mil millones de dólares (fuente Gartner, http://www. gartner.com/newsroom/id/3055225) • A finales del 2015, 4900 millones de "cosas" estarán conectadas a Internet. En el 2020, esa cifra alcanzará los 25 mil millones. (Fuente: http://www.gartner.com/newsroom/id/2905717, 2014) Con este aumento de la superficie expuesta a ataques, el mundo ha podido ver cómo ha crecido el número de ataques y brechas que han tenido éxito con el consiguiente aumento de filtraciones de datos. En segundo lugar, la complejidad y la sofisticación de los ataques no han dejado de crecer. Incluso los atacantes menos expertos tienen acceso a sofisticados toolkits con apoyo comercial en los mercados gris y negro. Estos "kits" están probados a fondo e incluso tienen apoyo comercial y no siempre son fáciles de detectar o derrotar. Por ejemplo, el UnRecom o RAT, denunciado por primera vez por Threatgeek.com en mayor del 2014, ha pasado por varias iteraciones incluyendo AlienSpy y más recientemente JSOCKET, y ha estado implicado en incidentes de todo tipo, desde fugas de datos hasta desempeñar una función en un asesinato político (fuente: Threatgeek.com). Monográficos de Sophos. Noviembre de 2015. Panorama de amenazas Malvertising IoT darkweb Angler Troyano RAT Cryptowall Phishing DDoS TOR inyección Fiesta JSOCKET Wassenaar PlugX AlienSpy SSL 2 Seguridad Sincronizada: una revolución en la protección Desafortunadamente, las pequeñas y medianas empresas parecen ser de forma desproporcionada las víctimas del creciente número de casos de filtraciones de datos confirmados. Según el informe de las investigaciones sobre la filtración de datos de Verizon en el 2015: • En el 2014 se produjeron 79 790 incidentes de seguridad, de los cuales 2122 fueron casos de filtraciones de datos confirmados. • Esto representa respectivamente un aumento del 26 % en los incidentes de seguridad y un aumento astronómico del 55 % en las filtraciones de datos en comparación con el 2013. • Las empresas del segmento medio representaron más del 53 % de los casos de filtraciones de datos confirmados, a pesar de representar tan solo el 1,4 % de los incidentes. • Los incidentes y fugas de datos en empresas pequeñas afectan a varios sectores, principalmente servicios financieros, alojamiento, comercio minorista y salud. La combinación de una mayor superficie expuesta a ataques y la complejidad de los ataques con el aumento asociado de filtraciones deberían hacer sonar la alarma y obligar a preguntar qué se debería hacer de forma distinta. Equipos pequeños, recursos bajo presión, mercado laboral limitado PERSONAL DEDICADO A SEGURIDAD TI A medida que los ataques y las brechas aumentan, la reacción lógica debería ser dedicar más efectivos al problema. Sin embargo, las pequeñas y medianas empresas cuentan solo con equipos de seguridad informática pequeños, y ampliar o redistribuir los recursos, incluso si se tratase de una estrategia efectiva, no es una opción realista para las organizaciones pequeñas. Como se puede ver en la figura siguiente, los equipos de seguridad informática dedicados en las empresas pequeñas y medianas están muy limitados en lo que se refiere al tamaño y su capacidad: 100 – 500 EMPLEADOS 500 – 1.000 EMPLEADOS 1000 – 5000 EMPLEADOS 5000 – 20 000 EMPLEADOS MÁS DE 20 000 EMPLEADOS Figura 1: Pocos efectivos y recursos limitados en la seguridad informática de empresas pequeñas y medianas (fuente: Departamento de Seguridad Nacional de los EE. UU., 2014) Monográficos de Sophos. Noviembre de 2015. 3 Seguridad Sincronizada: una revolución en la protección Y en los casos en los que la dirección desea ampliar su equipo de seguridad, esta tiene que lidiar con un mercado laboral extremadamente competitivo. Según el informe sobre la situación del mercado laboral en el sector de la ciberseguridad de BurningGlass del 2015, las vacantes en ciberseguridad han crecido en un 91 % entre el 2010 y el 2014, un 325 % más rápido que el resto de empleos en el sector informático, y "en los EE. UU., las empresas han publicado 49 493 empleos requiriendo profesionales con la certificación CISSP en un mercado que a nivel nacional tan solo cuenta con 65 362 profesionales con esta certificación". Resumiendo, la combinación de una mayor exposición de la superficie de ataque, un mayor volumen, la sofisticación y el éxito de los ataques y los pocos efectivos y los recursos limitados de los equipos de seguridad informática han colocado a las empresas en una situación de riesgo inaceptable. Sección 2: un momento, ¿y todo lo que hemos invertido? "Ni todos los caballos ni todos los hombres del Rey pudieron a Humpty recomponer" – Mamá Ganso. Fragmentada y poco integrada. Compleja y miope Desconectada del contexto. Decisiones aisladas. Todas estas descripciones se podrían aplicar a sus inversiones actuales en seguridad. Desde los antivirus, IPS y puertas de enlace de red, web y correo del pasado a las suites, UTM, espacios seguros y soluciones de detección y respuesta de estaciones de hoy en día, seguimos inmersos en un mundo de productos independientes y complejos. Mientras tanto nuestros atacantes se sirven de ataques coordinados contra el conjunto de nuestro ecosistema informático. Por lo que no nos debe sorprender que no seamos capaces de mantenerlos a raya. Un ataque puede comenzar en una estación, pero se propagará por nuestra red para finalmente robar nuestra información sirviéndose de nuestra conexión de salida a Internet. En respuesta a esta realidad, los profesionales de seguridad informática y los fabricantes han intentado "unir los puntos" entre las fuentes de datos empleando motores de correlación, centros de big data, sistemas de gestión de información y eventos de seguridad (SIEM), estándares emergentes para compartir información como STIX y OpenIOC y montones de analistas humanos. Sin embargo, incluso con las herramientas más avanzadas, comprender los datos de una variedad de productos independientes para detectar y remediar rápidamente el riesgo y detener la fuga de datos está resultando tan difícil como recomponer a Humpty Dumpty. La correlación de eventos y registros sigue dependiendo de la creación y el mantenimiento de reglas de correlación complejas, la asignación infinita de campos y la definición de filtros, así como horas de esfuerzo de analistas altamente capacitados difíciles de encontrar. SIEM requiere unas inversiones considerables en capital y gastos operativos permanentes. En lo que se refiere a compartir información, aunque ciertamente sea clave para el futuro de la seguridad, todavía no ha madurado lo suficiente como para que se pueda adoptar ya de forma generalizada y sencilla. Monográficos de Sophos. Noviembre de 2015. 4 Seguridad Sincronizada: una revolución en la protección Los resultados, o su ausencia, hablan por sí mismos. Como hemos visto, las filtraciones de datos y el riesgo siguen creciendo sin ningún indicio de que vayan a reducirse. Las plantillas están saturadas. Según un informe reciente de Ponemon Institute, el 74 % de las brechas no se descubren hasta 6 meses más tarde. Y lo que es peor, parece que las empresas del segmento medio están encontrando más dificultades para mitigar el riesgo que las empresas más grandes con mejores recursos. Claramente, la respuesta no es otro producto independiente insuficientemente integrado ni más consolas, más personal o SIEM poco manejables. En su conjunto, estos enfoques no están dando resultados. Debemos encontrar un enfoque mejor y más efectivo. Seguridad Sincronizada La alternativa Gestión SIEM Usuario Red Gestión estación Gestión red Usuario Red Sección 3: Seguridad Sincronizada, un nuevo enfoque Una idea revolucionaria "Dices que quieres una revolución, bien, sabes que todos queremos cambiar el mundo" - The Beatles, Revolución Durante décadas, la industria de la seguridad ha tratado la seguridad de las redes y la seguridad de las estaciones como entidades completamente distintas. Es como poner un guardia de seguridad en el interior de un edificio y otro en el exterior, pero sin dejar que hablen entre ellos. La Seguridad Sincronizada aunque revolucionaria es muy sencilla: hemos entregado walkiestalkies a los guardias de seguridad para que si uno detecta algún problema el otro pueda saberlo al instante. ¿Y si comenzásemos desde cero con un enfoque completamente nuevo y radical y un punto de partida completamente distinto para que los equipos de seguridad informática pudiesen defenderse con éxito contra el ciberriesgo? Uno que proporcionase una protección mejor y permitiese una comunicación automatizada y en tiempo real entre las soluciones de seguridad para redes y estaciones. ¿Uno que estuviese sincronizado en toda la superficie expuesta a ataques? Y uno que fuese altamente automatizado, de forma que pudiese hacer todo esto sin aumentar la carga laboral del personal. Para ello necesitamos un sistema: Monográficos de Sophos. Noviembre de 2015. 5 Seguridad Sincronizada: una revolución en la protección Centrado en el ecosistema: debemos prevenir, encontrar y detener brechas en todo el ecosistema informático operando para ello totalmente conscientes de los objetos y eventos próximos. Exhaustivo: la solución debe ser exhaustiva y comprender todo el "sistema" informático, múltiples plataformas y dispositivos para poder proporcionar protección contra los atacantes que ataquen el conjunto del sistema y no solo una parte. Eficiente: la solución debe reducir la carga de trabajo sobre la plantilla a la vez que mejorar la protección. No puede añadir otra capa de tecnología ni una carga de trabajo adicional. Efectiva: la solución debe prevenir, detectar, investigar y remediar de forma efectiva todas las amenazas de hoy en día en la superficie completa expuesta a amenazas. Sencilla: sencilla de comprar, sencilla de comprender, sencilla de desplegar y sencilla de usar Una lista que ciertamente parece exigente. Los productos de seguridad informática de hoy en día son justamente lo opuesto: centrados en la amenaza, complejos, poco exhaustivos, acaparadores de recursos y en su conjunto mucho menos coordinados que los ataques de los que deben defendernos. Está claro que para obtener resultados es necesario innovar. Este reto se resume en la figura 2. Soluciones de seguridad por capas actuales Solución deseada Centradas en la amenaza, operan sin tener en cuenta objetos ni eventos próximos Centradas en el ecosistema, operan plenamente conscientes de los objetos y eventos próximos Productos independientes especializados y específicos Productos coordinados Efectividad implica más personal Efectividad con automatización e innovación; no más personal Complejas Sencilla Figura 2: Las soluciones actuales deben cambiar dramáticamente Proporcionar esta sencillez de forma efectiva en la actualidad requiere una innovación tecnológica importante, una que denominamos Sophos Security Heartbeat. Monográficos de Sophos. Noviembre de 2015. 6 Seguridad Sincronizada: una revolución en la protección Sophos Security Heartbeat "Como el ritmo, el compás, el ritmo de tom tom " – Cole Porter, Día y noche La Seguridad Sincronizada permite a las soluciones de seguridad de última generación para estaciones y redes compartir de forma permanente información significativa sobre comportamientos sospechosos y maliciosos confirmados en todo el ecosistema informático de una empresa. Mediante una conexión directa segura denominada Sophos Security Heartbeat, la protección de estaciones y redes actúa como un solo sistema integrado permitiendo a las organizaciones prevenir, detectar, investigar y remediar amenazas prácticamente en tiempo real sin requerir personal adicional. Sophos Cloud SECURITY HEARTBEAT ™ SophosLabs P. ej., si un cortafuegos de última generación de Sophos detecta una amenaza avanzada o un intento de fuga de datos confidenciales, puede entonces utilizar automáticamente Sophos Security Heartbeat para tomar una serie de acciones en la red y la estación para mitigar el riesgo y detener la fuga de datos instantáneamente. De forma similar, si se detecta que una estación protegida está infectada, la Seguridad Sincronizada permite el aislamiento automatizado y prácticamente instantáneo de la estación evitando la fuga de información confidencial o el envío de datos a un servidor de comando y control. Este tipo de descubrimiento y respuesta a incidentes, que podría tardar semanas o meses, se ha reducido a segundos con la Seguridad Sincronizada. Monográficos de Sophos. Noviembre de 2015. 7 Seguridad Sincronizada: una revolución en la protección Resumen "Un principio de conexión, vinculado a lo invisible, casi imperceptible. Si actúas como piensas, el eslabón perdido, Sincronicidad." - The Police, Sincronicidad. El mundo del ciberriesgo actual, con una superficie de ataque más expuesta y la complejidad y el volumen de los ataques, unido a equipos de seguridad informática pequeños y un mercado laboral limitado, supone un mundo muy desafiante para los equipos de seguridad informática en las pequeñas y medianas empresas. Los enfoques por capas actuales no están dando resultado y los esfuerzos por solventar sus carencias mediante el análisis y el empleo de más analistas también se están quedando cortos. Soluciones complejas, centradas en la amenaza, miopes y que dependen del número de empleados no satisfarán las necesidades de los equipos de seguridad informática con recursos limitados. Para invertir la curva creciente de incidentes y brechas debemos aplicar un enfoque muy distinto al utilizado hasta ahora. Para hacerlo debemos implantar soluciones nuevas que sean sencillas a la vez que efectivas, automatizadas y coordinadas, en corto, soluciones sincronizadas mediante la innovación tecnológica como Sophos Security Heartbeat. La buena noticia es que está capacidad ya la ofrece Sophos hoy y que, además, se puede probar de forma sencilla. Para saber más y ver cómo la Seguridad Sincronizada de Sophos puede conducirle a la victoria en el peligroso mundo de hoy en día, visite Sophos.com/heartbeat. Seguridad Sincronizada Más información en esp.sophos.com/ heartbeat Ventas en el Reino Unido e internacionales Teléfono: +44 (0) 8447 671131 Correo electrónico: sales@sophos.com Ventas en España Teléfono: (+34) 913 756 756 Correo electrónico: comercialES@sophos.com Ventas en Norteamérica Teléfono: +1 866 866 2802 Correo electrónico: nasales@sophos.com Oxford (Reino Unido) | Boston (EE. UU.) © Copyright 2015. Sophos Ltd. Todos los derechos reservados. Constituida en Inglaterra y Gales bajo el número de registro 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Reino Unido Sophos es laWP-ES marca(GH) registrada de Sophos Ltd. Todos los demás productos y empresas mencionados son marcas comerciales o registradas de sus respectivos propietarios. 2015-10-13