.png)
Cómo emplear la visibilidad basada en el riesgo para la protección contra el ransomware, el cumplimiento y mucho más
Solo hay una certeza cuando se trata de ransomware: puede afectar a cualquier organización, grande o pequeña, conocedora de la seguridad o no. Los ataques de alto perfil están en aumento, impulsados por software llave en mano para lanzarlos, pagos criptográficos anónimos, una infraestructura cada vez más digitalizada y el aumento de entornos de trabajo remotos e híbridos.
Afortunadamente, existe una estrategia poderosa para evitar que el ransomware y otro malware se propaguen a través de una red: la segmentación. Con la segmentación de Zero Trust, pueden entrar cosas malas, pero no pueden propagar, no pueden hacer daño y no pueden poner a las organizaciones bajo ataque en las noticias.
Al igual que con cualquier estrategia de seguridad efectiva, la segmentación comienza con la visibilidad. En concreto, visibilidad basada en una evaluación del riesgo.
Así es como funciona la visibilidad basada en el riesgo para ayudar a los administradores de sistemas a mapear las comunicaciones entre aplicaciones, evaluar vulnerabilidades y determinar cómo esas vulnerabilidades podrían conducir a la exposición en todo el entorno.
El problema de los entornos abiertos
Si bien la seguridad es una prioridad para los centros de datos, muchos no prestan suficiente atención a las paredes dentro de las subredes, VLAN y zonas de red. En otras palabras, aunque las medidas de seguridad protegen contra las infracciones, a menudo no hay mucha segmentación para contener las incursiones que ocurren. Eso es en parte por diseño; Los entornos ayudan a muchos sistemas empresariales a conectarse fácilmente entre sí para intercambiar datos y ejecutar las operaciones diarias, hasta que dejan de hacerlo.
El problema con estos entornos grandes y abiertos es que si el malware infecta una máquina o zona, puede propagar mucho más rápidamente a todo el entorno en cuestión de segundos.
Un vector de ataque común es a través de un usuario autorizado desprevenido. En este caso, un empleado en una computadora portátil en casa hace clic en un enlace sospechoso. El enlace lanza malware silenciosamente en segundo plano que las herramientas de detección existentes pueden no detectar. A partir de ahí, intenta extender a otros activos.
Pero si no hay movimiento lateral posible a través de la red, el malware simplemente no puede propagar. Y esto compra un tiempo valioso para que funcione la detección u otro software. El usuario o un profesional de seguridad también tiene más tiempo para notar algo mal con la máquina infectada y tomar medidas antes de cualquier posibilidad de daño a cualquier otro activo o dato.
En resumen, si se compra esa ventana de tiempo crítica, puede marcar la diferencia para contener los ataques de ransomware y otros ataques de malware. Puede aislar los ataques a una máquina para limpiarla en lugar de intentar gestionar más tarde docenas, cientos o incluso miles de máquinas comprometidas y el impacto en las operaciones o la reputación. Todo comienza con la visibilidad basada en el riesgo.
Los componentes de la visibilidad basada en el riesgo
La visibilidad basada en el riesgo significa identificar qué sistemas y aplicaciones son vulnerables debido a una comunicación excesiva e innecesaria o incluso a flujos de datos no conformes.
Es por eso que la protección contra ransomware de Illumio comienza creando mapas de dependencia de aplicaciones. Estos mapas permiten a los administradores del sistema ver no solo un revoltijo de direcciones IP, sino una vista de nivel superior de la topología de la aplicación. Eso significa que todo aparece perfectamente organizado para facilitar la visibilidad, junto con relaciones claramente identificadas que muestran cómo las aplicaciones se comunican con otras aplicaciones y a través de las redes.
Desde una vista detallada hasta una vista de alto nivel, los mapas de dependencias de aplicaciones permiten a los administradores examinar un entorno completo de arriba a abajo. Eso incluye cómo funcionan los protocolos individuales en el entorno de producción o cómo funciona un conjunto determinado de flujos de datos entre los entornos de desarrollo y producción.
Illumio aumenta esta visibilidad con datos de vulnerabilidad. Al integrar los datos de la fuente de vulnerabilidades y amenazas con los flujos de tráfico en tiempo real, obtiene una puntaje de riesgo cuantitativa para una aplicación o cada carga de trabajo de la aplicación. El puntaje facilita la comprensión de qué aplicaciones se conectan a puertos vulnerables y cuánto riesgo general generan las vulnerabilidades. Este contexto es invaluable para reducir el riesgo en su entorno. Parchear en función de la criticidad o implementar políticas de segmentación como control compensatorio.
Hacer llegar las opiniones correctas a las personas adecuadas también es fundamental. Esto se debe a que la visibilidad efectiva basada en el riesgo depende de que el personal obtenga la información que necesita para responder las preguntas de seguridad y cumplimiento relevantes para ellos. Eso es posible gracias a una única fuente de verdad: el mapa.
El acceso en tiempo real a las visualizaciones correctas reduce el riesgo operativo porque todos pueden estar de acuerdo en lo que es cierto. ¿Alguien del equipo de aplicaciones necesita ver el panorama general de la topología de la aplicación y los flujos de datos? Ahora pueden. ¿El equipo de seguridad de red necesita datos de cumplimiento? Pueden ver sus propios puntos de vista de los mismos datos. Los miembros del equipo de operaciones de red y DevOps también pueden ver la información que necesitan en la misma imagen. Y todos estarán de acuerdo en que lo que ven es realmente cómo funciona cualquier aplicación.
Una única fuente de verdad mejora la colaboración. Y ahorra a las personas el tiempo y el tedio inherentes a los proyectos de investigación sobre software que pueden haber instalado hace media década para que puedan concentrar en otras prioridades de mayor valor.
Todo lo cual contribuye en gran medida a mejorar la seguridad, sentando las bases para contener el ransomware y otro malware a través de la segmentación.
Visibilidad para el cumplimiento
Los beneficios de la visibilidad basada en el riesgo no se limitan a contener malware. También puede ayudar a validar los límites de cumplimiento al permitir que los equipos identifiquen cualquier flujo de datos no conforme.
Por ejemplo, una visibilidad integral puede revelar una aplicación que recopila datos de otras aplicaciones en contradicción con marcos regulatorios como el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS), el Marco de controles de seguridad del cliente SWIFT o la Ley de portabilidad y responsabilidad de seguros de salud (HIPAA). Eso es fundamental para cualquier organización que opere en industrias reguladas, donde importa mucho lo que está dentro y lo que está fuera del alcance de la recopilación y el procesamiento de datos.
Más allá del cumplimiento normativo, la mayoría de las organizaciones tienen políticas sobre el acceso remoto. Por ejemplo, dado que la mayoría de los empleados de una organización no necesitan todo el acceso administrativo a los centros de datos, obtienen acceso restringido. Y en los casos en que necesitan acceso completo, a menudo se les exige que usen un host de salto para controlar la comunicación entre los servidores remotos y del centro de datos. Pero los anfitriones de salto pueden ralentizar a los usuarios impacientes, presentando un incentivo para evitarlos.
Con la visualización, puede responder preguntas críticas sobre los servidores de salto, como: ¿La gente realmente los usa? ¿O tiene administradores que creen que son lo suficientemente mayores como para simplemente pasar por alto ese host de salto un poco más lento y conectarse directamente a las aplicaciones?
Si puede ver esa actividad, sabe qué hacer para reforzar esos riesgos de seguridad.
Obtener este tipo de visibilidad crítica a menudo requirió recurrir a un examen minucioso de voluminosas tablas de flujo de datos para tratar de determinar si están dentro o fuera de ciertos límites o rangos de red. Esta tarea desafiante y que requiere mucho tiempo puso una visibilidad integral, y mucho menos en tiempo real, fuera del alcance de muchas organizaciones. Por el contrario, las visualizaciones que muestran claramente los límites alrededor de las áreas de cumplimiento le brindan una imagen clara de los flujos de datos que entran y salen de los puntos finales, los centros de datos y los servidores.
Tales visualizaciones proporcionan un ahorro de tiempo significativo para las partes interesadas internas y externas y preparan el escenario para conversaciones simples entre gerentes y contralor sobre los límites y controles de cumplimiento.
La visibilidad, el primer paso hacia la seguridad
La visibilidad es el primer paso para controlar el acceso al centro de datos y a los activos en la nube, ya que le proporciona la información que necesita para reforzar los controles entre usuarios, aplicaciones y servidores dondequiera que residan.
La realidad es que el ransomware es un problema para todos. Pero con la ayuda de la visibilidad basada en el riesgo, puede comenzar a implementar estrategias preventivas y receptivas para contenerlo donde puede causar un daño mínimo.
Para obtener más información:
- Lea el libro electrónico, Cómo detener los ataques de ransomware.
- Vea la visibilidad basada en el riesgo en acción en el seminario sitio web, Ransomware Happens. Evitamos que se propague: cómo obtener visibilidad basada en el riesgo.
