Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

5 pasos para frenar el malware con segmentación de confianza cero

Illumio Editorial
Illumio Editorial
November 1, 2021
23 min. leer

Los ciberataques son cada vez más frecuentes y sofisticados, poniendo en riesgo la seguridad de las organizaciones. En el último año, más de un tercio de las compañías de todo el mundo se vieron afectadas por un ataque de ransomware o una violación de datos que bloqueó el acceso a los datos.

Según una encuesta de 500+ profesionales de seguridad realizada por la firma de investigación IDC, las compañías informaron que el malware avanzado fue el contribuyente más frecuente a las violaciones de seguridad.

Para proteger contra amenazas avanzadas, las organizaciones de TI deben realizar una variedad de inversiones en seguridad. Estos incluyen productos de seguridad tradicionales, como software antivirus para detectar malware. También deben invertir en capacitación en seguridad para los empleados.

Pero hay otro paso crítico: adoptar una estrategia de segmentación Zero Trust .

Para segmentar la red, implementa controles de políticas de "lista de permitidos" en los puntos de conexión, permitiendo solo tipos específicos de tráfico necesarios para operaciones comerciales legítimas. Este enfoque reconoce que los ataques son inevitables. En una gran organización con miles o incluso cientos de miles de puntos finales, el malware se filtrará, en algún lugar, de alguna manera.

La mejor defensa se convierte en bloquear el malware para que no viaje de un punto final a otro, una técnica que se conoce como "movimiento lateral".

Con la segmentación Zero Trust aplicada a los endpoints, el malware y el ransomware no podrán propagar y causar daños materiales. No barrerá la compañía, ni siquiera un solo departamento. En cambio, estará contenido en una sola computadora portátil.

Adoptar un enfoque de cinco pasos para hacer cumplir la confianza cero en los endpoints

En un reciente IDC Technology Spotlight, Michael Suby, jefe de investigación de seguridad de IDC, recomendó el siguiente proceso de cinco pasos para frenar la propagación de ataques de malware y ransomware adoptando un enfoque de confianza cero ("lista de permitidos").

Paso 1: Visualizar los flujos de tráfico

El objetivo de restringir el tráfico de endpoints es evitar que el malware se propague fácilmente por la red. Para gestionar el tráfico de puntos de conexión, esta estrategia aprovecha los firewalls integrados en los sistemas operativos host.

Al controlar estos firewalls con un agente ligero, los equipos de TI pueden restringir el acceso a los datos solo al acceso requerido para el negocio. En otras palabras, pueden permitir que los empleados y sus endpoints accedan a las aplicaciones y los datos que necesitan, y no accedan a nada más.

Para determinar qué acceso necesitan los empleados, IDC dice que las organizaciones de TI deben monitorear los flujos de tráfico, preferiblemente durante unos 30 días, para tener en cuenta las fluctuaciones normales en el uso de aplicaciones y datos. La supervisión debe ser exhaustiva y realizar un seguimiento de los flujos de datos en las instalaciones, en ubicaciones remotas y hacia y desde la nube.

Para obtener los mejores resultados, aproveche el software basado en host y los reportes de infraestructura de red, en lugar de intentar monitorear todo el tráfico en todas las ubicaciones para todos los dispositivos desde un solo servidor.

Paso 2: Puntos de conexión de grupo

La creación de políticas para permitir y no permitir el tráfico puede volver compleja rápidamente. Para agilizar este trabajo, agrupe los puntos de conexión por sus características comunes y desarrolle directivas de lista de permitidos en consecuencia. Las agrupaciones de puntos finales pueden incluir:

  • Ubicación (por ejemplo: oficina en Nueva York, remota, etc.)
  • Tipo de dispositivo (por ejemplo: computadora portátil)
  • Afiliaciones de empleados (por ejemplo: departamentos, roles, etc.)
  • Horas de funcionamiento (por ejemplo: horas de trabajo estándar u horas no laborables)

Al asignar puntos de conexión a estas agrupaciones, los administradores de TI pueden simplificar el trabajo de creación y ajuste de directivas en los pasos siguientes.

Paso 3: Definir y probar directivas de lista de permitidos

El siguiente paso es definir políticas que permitan el tráfico empleando puertos, direcciones y protocolos de red específicos a los necesarios para respaldar las operaciones comerciales diarias. Es una buena idea comenzar con las políticas más restrictivas y monitorear cómo afectarían el tráfico si se aplican. Como principio general, desea limitar el tráfico tanto como sea posible para dar al malware la menor cantidad posible de oportunidades para el movimiento.

Paso 4: Aplicar directivas de lista de permitidos

El siguiente paso es aplicar las directivas de la lista de permitidos, permitiendo solo el tráfico identificado específicamente por una directiva. Teóricamente, este paso podría requerir que los administradores de TI elaboren reglas de firewall complejas a mano e implementen cada conjunto de reglas en los grupos de puntos de conexión adecuados.

Pero con una solución como Illumio Edge e Illumio Core, no es necesario que los administradores escriban o gestionen reglas de firewall directamente. En su lugar, pueden definir las políticas de la lista de permitidos que deseen, e Illumio traduce automáticamente esas políticas en reglas de firewall detalladas que son fáciles de implementar en los puntos finales, así como en las cargas de trabajo del centro de datos y la nube.

Paso 5: Refinar las directivas de la lista de permitidos

El paso final en este proceso es continuar monitoreando y refinando las políticas de la lista de permitidos según sea necesario, restringiendo el acceso tanto como sea posible sin interferir con las operaciones comerciales.

Beneficios de frenar el malware con segmentación de confianza cero

Los beneficios de este enfoque empleando soluciones como Illumio Edge e Illumio Core son sustanciales:

  • Visibilidad mejorada del tráfico de endpoints y amenazas potenciales.
  • Reducción del daño causado por malware, ransomware y otros ciberataques.
  • Automatización que hace que la definición, implementación y refinamiento de políticas de listas de permitidos sea rápida y fácil.
  • Escalabilidad adecuada para las redes empresariales más grandes.
  • Integración con sistemas SIEM y otras herramientas de seguridad de TI, de modo que las políticas de lista de permitidos puedan funcionar como parte de un enfoque más amplio y de varias capas para la seguridad de TI.
     

Para obtener más información sobre estos pasos y la investigación de IDC, lea el artículo destacado de IDC Technology Spotlight, Curb Malware Spread with Comprehensive Visibility y Allow-List Policy Control.

Temas relacionados

No items found.

Artículos relacionados

S&P Global: Las 3 mejores formas de abordar la amenaza de ransomware de la infraestructura crítica
Ransomware Containment

S&P Global: Las 3 mejores formas de abordar la amenaza de ransomware de la infraestructura crítica

Trevor Dearing, director de marketing de soluciones de Illumio, y Eric Hanselman, analista jefe de Global Market Intelligence de S&P Global, abordan las preocupaciones sobre el ransomware.

Read more
Ransomware en 2025: costo, tendencias y cómo reducir su riesgo
Ransomware Containment

Ransomware en 2025: costo, tendencias y cómo reducir su riesgo

Descubra cómo los atacantes explotan las brechas de seguridad, por qué el ransomware es ahora un modelo de negocio y cómo la microsegmentación puede detener las amenazas en seco.

Read more
Desmitificación de las técnicas de ransomware mediante ensamblajes .Net: Ensamblados EXE vs. DLL
Ransomware Containment

Desmitificación de las técnicas de ransomware mediante ensamblajes .Net: Ensamblados EXE vs. DLL

Conozca las diferencias clave entre los ensamblados .Net (EXE vs. DLL) y cómo se ejecutan en un código inicial de alto nivel.

Read more
No items found.

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Learn more