Seguridad Sincronizada

Anuncio
Seguridad Sincronizada:
una revolución en la
protección
Seguridad Sincronizada: una revolución en la protección
Sección 1: viviendo en la zona de peligro, el
mundo actual del ciberriesgo
"En camino hacia la zona de peligro. Te llevaré justo a la zona de peligro"
– Kenny Loggins, Zona de peligro
Aumento de la superficie de ataque, la complejidad y la
sofisticación de los ataques
Las empresas de hoy en día, tanto pequeñas como grandes, deben convivir y aprender a
prosperar en un mundo en el que el ciberriesgo está más presente que nunca. El nivel de riesgo
cada vez es mayor por múltiples razones, entre ellas el crecimiento de la superficie expuesta a
ataques y el aumento continuado de la complejidad y la sofisticación de los ataques.
En primer lugar, el gran número de dispositivos móviles y servicios en la nube usados por
los empleados, junto al despliegue de infraestructuras virtuales y en la nube por parte de
organizaciones de todos los tamaños, ha hecho crecer de forma dramática lo que se denomina la
"superficie expuesta a ataques". Basta ver los datos siguientes:
• El usuario medio del Reino Unido tiene conectados 3,1 dispositivos (fuente: statista.com).
• Las empresas con 250-999 empleados utilizan 16 aplicaciones aprobadas en la nube, las
empresas con 1000-4000 usan 14, mientras que la empresa más grande solo usa 11. (Fuente:
Okta Business@work, 2015)
• Las estimaciones de la industria calculan que la facturación por IaaS (Infraestructura como
Servicio) en el 2015 superará los 16 mil millones de dólares (fuente Gartner, http://www.
gartner.com/newsroom/id/3055225)
• A finales del 2015, 4900 millones de "cosas" estarán conectadas a Internet. En el 2020, esa
cifra alcanzará los 25 mil millones. (Fuente: http://www.gartner.com/newsroom/id/2905717,
2014)
Con este aumento de la superficie expuesta a ataques, el mundo ha podido ver cómo ha crecido
el número de ataques y brechas que han tenido éxito con el consiguiente aumento de filtraciones
de datos.
En segundo lugar, la complejidad y la sofisticación de los ataques no han dejado de crecer.
Incluso los atacantes menos expertos tienen acceso a sofisticados toolkits con apoyo comercial
en los mercados gris y negro. Estos "kits" están probados a fondo e incluso tienen apoyo
comercial y no siempre son fáciles de detectar o derrotar. Por ejemplo, el UnRecom o RAT,
denunciado por primera vez por Threatgeek.com en mayor del 2014, ha pasado por varias
iteraciones incluyendo AlienSpy y más recientemente JSOCKET, y ha estado implicado en
incidentes de todo tipo, desde fugas de datos hasta desempeñar una función en un asesinato
político (fuente: Threatgeek.com).
Monográficos de Sophos. Noviembre de 2015.
Panorama de amenazas
Malvertising
IoT darkweb
Angler Troyano
RAT Cryptowall
Phishing DDoS
TOR inyección
Fiesta
JSOCKET
Wassenaar PlugX
AlienSpy SSL
2
Seguridad Sincronizada: una revolución en la protección
Desafortunadamente, las pequeñas y medianas empresas parecen ser de forma
desproporcionada las víctimas del creciente número de casos de filtraciones de datos
confirmados. Según el informe de las investigaciones sobre la filtración de datos de Verizon en el
2015:
• En el 2014 se produjeron 79 790 incidentes de seguridad, de los cuales 2122 fueron casos de
filtraciones de datos confirmados.
• Esto representa respectivamente un aumento del 26 % en los incidentes de seguridad y un
aumento astronómico del 55 % en las filtraciones de datos en comparación con el 2013.
• Las empresas del segmento medio representaron más del 53 % de los casos de filtraciones
de datos confirmados, a pesar de representar tan solo el 1,4 % de los incidentes.
• Los incidentes y fugas de datos en empresas pequeñas afectan a varios sectores,
principalmente servicios financieros, alojamiento, comercio minorista y salud.
La combinación de una mayor superficie expuesta a ataques y la complejidad de los ataques con
el aumento asociado de filtraciones deberían hacer sonar la alarma y obligar a preguntar qué se
debería hacer de forma distinta.
Equipos pequeños, recursos bajo presión, mercado laboral limitado
PERSONAL DEDICADO A SEGURIDAD TI
A medida que los ataques y las brechas aumentan, la reacción lógica debería ser dedicar más
efectivos al problema. Sin embargo, las pequeñas y medianas empresas cuentan solo con
equipos de seguridad informática pequeños, y ampliar o redistribuir los recursos, incluso si se
tratase de una estrategia efectiva, no es una opción realista para las organizaciones pequeñas.
Como se puede ver en la figura siguiente, los equipos de seguridad informática dedicados en las
empresas pequeñas y medianas están muy limitados en lo que se refiere al tamaño y su
capacidad:
100 – 500
EMPLEADOS
500 – 1.000
EMPLEADOS
1000 – 5000
EMPLEADOS
5000 – 20 000
EMPLEADOS
MÁS DE 20 000
EMPLEADOS
Figura 1: Pocos efectivos y recursos limitados en la seguridad informática de empresas pequeñas y medianas (fuente:
Departamento de Seguridad Nacional de los EE. UU., 2014)
Monográficos de Sophos. Noviembre de 2015.
3
Seguridad Sincronizada: una revolución en la protección
Y en los casos en los que la dirección desea ampliar su equipo de seguridad, esta tiene que lidiar
con un mercado laboral extremadamente competitivo. Según el informe sobre la situación del
mercado laboral en el sector de la ciberseguridad de BurningGlass del 2015, las vacantes en
ciberseguridad han crecido en un 91 % entre el 2010 y el 2014, un 325 % más rápido que el
resto de empleos en el sector informático, y "en los EE. UU., las empresas han publicado 49 493
empleos requiriendo profesionales con la certificación CISSP en un mercado que a nivel nacional
tan solo cuenta con 65 362 profesionales con esta certificación".
Resumiendo, la combinación de una mayor exposición de la superficie de ataque, un mayor
volumen, la sofisticación y el éxito de los ataques y los pocos efectivos y los recursos limitados
de los equipos de seguridad informática han colocado a las empresas en una situación de riesgo
inaceptable.
Sección 2: un momento, ¿y todo lo que hemos
invertido?
"Ni todos los caballos ni todos los hombres del Rey pudieron a Humpty
recomponer" – Mamá Ganso.
Fragmentada y poco integrada. Compleja y miope Desconectada del contexto. Decisiones
aisladas. Todas estas descripciones se podrían aplicar a sus inversiones actuales en seguridad.
Desde los antivirus, IPS y puertas de enlace de red, web y correo del pasado a las suites,
UTM, espacios seguros y soluciones de detección y respuesta de estaciones de hoy en día,
seguimos inmersos en un mundo de productos independientes y complejos. Mientras tanto
nuestros atacantes se sirven de ataques coordinados contra el conjunto de nuestro ecosistema
informático. Por lo que no nos debe sorprender que no seamos capaces de mantenerlos a raya.
Un ataque puede comenzar en una estación, pero se propagará por nuestra red para finalmente
robar nuestra información sirviéndose de nuestra conexión de salida a Internet.
En respuesta a esta realidad, los profesionales de seguridad informática y los fabricantes han
intentado "unir los puntos" entre las fuentes de datos empleando motores de correlación,
centros de big data, sistemas de gestión de información y eventos de seguridad (SIEM),
estándares emergentes para compartir información como STIX y OpenIOC y montones de
analistas humanos. Sin embargo, incluso con las herramientas más avanzadas, comprender los
datos de una variedad de productos independientes para detectar y remediar rápidamente el
riesgo y detener la fuga de datos está resultando tan difícil como recomponer a Humpty Dumpty.
La correlación de eventos y registros sigue dependiendo de la creación y el mantenimiento de
reglas de correlación complejas, la asignación infinita de campos y la definición de filtros, así
como horas de esfuerzo de analistas altamente capacitados difíciles de encontrar. SIEM requiere
unas inversiones considerables en capital y gastos operativos permanentes. En lo que se refiere
a compartir información, aunque ciertamente sea clave para el futuro de la seguridad, todavía no
ha madurado lo suficiente como para que se pueda adoptar ya de forma generalizada y sencilla.
Monográficos de Sophos. Noviembre de 2015.
4
Seguridad Sincronizada: una revolución en la protección
Los resultados, o su ausencia, hablan por sí mismos. Como hemos visto, las filtraciones de datos
y el riesgo siguen creciendo sin ningún indicio de que vayan a reducirse. Las plantillas están
saturadas. Según un informe reciente de Ponemon Institute, el 74 % de las brechas no se
descubren hasta 6 meses más tarde. Y lo que es peor, parece que las empresas del segmento
medio están encontrando más dificultades para mitigar el riesgo que las empresas más grandes
con mejores recursos. Claramente, la respuesta no es otro producto independiente
insuficientemente integrado ni más consolas, más personal o SIEM poco manejables. En su
conjunto, estos enfoques no están dando resultados. Debemos encontrar un enfoque mejor y
más efectivo.
Seguridad Sincronizada
La alternativa
Gestión
SIEM
Usuario
Red
Gestión
estación
Gestión
red
Usuario
Red
Sección 3: Seguridad Sincronizada, un nuevo
enfoque
Una idea revolucionaria
"Dices que quieres una revolución, bien, sabes que todos queremos cambiar el mundo" - The Beatles, Revolución
Durante décadas, la industria de la seguridad ha tratado la seguridad de las redes y la seguridad
de las estaciones como entidades completamente distintas. Es como poner un guardia de
seguridad en el interior de un edificio y otro en el exterior, pero sin dejar que hablen entre ellos.
La Seguridad Sincronizada aunque revolucionaria es muy sencilla: hemos entregado walkiestalkies a los guardias de seguridad para que si uno detecta algún problema el otro pueda saberlo
al instante.
¿Y si comenzásemos desde cero con un enfoque completamente nuevo y radical y un punto
de partida completamente distinto para que los equipos de seguridad informática pudiesen
defenderse con éxito contra el ciberriesgo? Uno que proporcionase una protección mejor y
permitiese una comunicación automatizada y en tiempo real entre las soluciones de seguridad
para redes y estaciones. ¿Uno que estuviese sincronizado en toda la superficie expuesta a
ataques? Y uno que fuese altamente automatizado, de forma que pudiese hacer todo esto sin
aumentar la carga laboral del personal. Para ello necesitamos un sistema:
Monográficos de Sophos. Noviembre de 2015.
5
Seguridad Sincronizada: una revolución en la protección
Centrado en el ecosistema: debemos prevenir, encontrar y detener brechas en todo el
ecosistema informático operando para ello totalmente conscientes de los objetos y eventos
próximos.
Exhaustivo: la solución debe ser exhaustiva y comprender todo el "sistema" informático,
múltiples plataformas y dispositivos para poder proporcionar protección contra los atacantes
que ataquen el conjunto del sistema y no solo una parte.
Eficiente: la solución debe reducir la carga de trabajo sobre la plantilla a la vez que mejorar la
protección. No puede añadir otra capa de tecnología ni una carga de trabajo adicional.
Efectiva: la solución debe prevenir, detectar, investigar y remediar de forma efectiva todas las
amenazas de hoy en día en la superficie completa expuesta a amenazas.
Sencilla: sencilla de comprar, sencilla de comprender, sencilla de desplegar y sencilla de usar
Una lista que ciertamente parece exigente. Los productos de seguridad informática de hoy en día
son justamente lo opuesto: centrados en la amenaza, complejos, poco exhaustivos, acaparadores
de recursos y en su conjunto mucho menos coordinados que los ataques de los que deben
defendernos. Está claro que para obtener resultados es necesario innovar. Este reto se resume
en la figura 2.
Soluciones de seguridad por capas
actuales
Solución deseada
Centradas en la amenaza, operan sin tener en
cuenta objetos ni eventos próximos
Centradas en el ecosistema, operan
plenamente conscientes de los objetos y
eventos próximos
Productos independientes especializados y
específicos
Productos coordinados
Efectividad implica más personal
Efectividad con automatización e innovación;
no más personal
Complejas
Sencilla
Figura 2: Las soluciones actuales deben cambiar dramáticamente
Proporcionar esta sencillez de forma efectiva en la actualidad requiere una innovación
tecnológica importante, una que denominamos Sophos Security Heartbeat.
Monográficos de Sophos. Noviembre de 2015.
6
Seguridad Sincronizada: una revolución en la protección
Sophos Security Heartbeat
"Como el ritmo, el compás, el ritmo de tom tom "
– Cole Porter, Día y noche
La Seguridad Sincronizada permite a las soluciones de seguridad de última generación
para estaciones y redes compartir de forma permanente información significativa sobre
comportamientos sospechosos y maliciosos confirmados en todo el ecosistema informático
de una empresa. Mediante una conexión directa segura denominada Sophos Security
Heartbeat, la protección de estaciones y redes actúa como un solo sistema integrado
permitiendo a las organizaciones prevenir, detectar, investigar y remediar amenazas
prácticamente en tiempo real sin requerir personal adicional.
Sophos Cloud
SECURITY
HEARTBEAT ™
SophosLabs
P. ej., si un cortafuegos de última generación de Sophos detecta una amenaza avanzada o
un intento de fuga de datos confidenciales, puede entonces utilizar automáticamente Sophos
Security Heartbeat para tomar una serie de acciones en la red y la estación para mitigar el riesgo
y detener la fuga de datos instantáneamente. De forma similar, si se detecta que una estación
protegida está infectada, la Seguridad Sincronizada permite el aislamiento automatizado y
prácticamente instantáneo de la estación evitando la fuga de información confidencial o el
envío de datos a un servidor de comando y control. Este tipo de descubrimiento y respuesta a
incidentes, que podría tardar semanas o meses, se ha reducido a segundos con la Seguridad
Sincronizada.
Monográficos de Sophos. Noviembre de 2015.
7
Seguridad Sincronizada: una revolución en la protección
Resumen
"Un principio de conexión, vinculado a lo invisible, casi imperceptible. Si
actúas como piensas, el eslabón perdido, Sincronicidad." - The Police,
Sincronicidad.
El mundo del ciberriesgo actual, con una superficie de ataque más expuesta y la complejidad
y el volumen de los ataques, unido a equipos de seguridad informática pequeños y un mercado
laboral limitado, supone un mundo muy desafiante para los equipos de seguridad informática en
las pequeñas y medianas empresas. Los enfoques por capas actuales no están dando resultado
y los esfuerzos por solventar sus carencias mediante el análisis y el empleo de más analistas
también se están quedando cortos.
Soluciones complejas, centradas en la amenaza, miopes y que dependen del número de
empleados no satisfarán las necesidades de los equipos de seguridad informática con recursos
limitados. Para invertir la curva creciente de incidentes y brechas debemos aplicar un enfoque
muy distinto al utilizado hasta ahora. Para hacerlo debemos implantar soluciones nuevas
que sean sencillas a la vez que efectivas, automatizadas y coordinadas, en corto, soluciones
sincronizadas mediante la innovación tecnológica como Sophos Security Heartbeat. La buena
noticia es que está capacidad ya la ofrece Sophos hoy y que, además, se puede probar de forma
sencilla. Para saber más y ver cómo la Seguridad Sincronizada de Sophos puede conducirle a la
victoria en el peligroso mundo de hoy en día, visite Sophos.com/heartbeat.
Seguridad Sincronizada
Más información en esp.sophos.com/
heartbeat
Ventas en el Reino Unido e internacionales
Teléfono: +44 (0) 8447 671131
Correo electrónico: sales@sophos.com
Ventas en España
Teléfono: (+34) 913 756 756
Correo electrónico: comercialES@sophos.com
Ventas en Norteamérica
Teléfono: +1 866 866 2802
Correo electrónico: nasales@sophos.com
Oxford (Reino Unido) | Boston (EE. UU.)
© Copyright 2015. Sophos Ltd. Todos los derechos reservados.
Constituida en Inglaterra y Gales bajo el número de registro 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Reino Unido
Sophos es laWP-ES
marca(GH)
registrada de Sophos Ltd. Todos los demás productos y empresas mencionados son marcas comerciales o registradas de sus respectivos propietarios.
2015-10-13
Descargar