Según un reciente estudio de PwC, los incidentes de seguridad se incrementaron en un 64% en 2014, y las organizaciones de tamaño medio se enfrentan a los mismos retos que las grandes empresas cuando se trata de proteger su red y sus datos, sin embargo, siguen operando en plataformas antiguas y obsoletas proporcionando una protección antes, durante y después de un ataque.
Ante este nuevo fenómeno de seguridad, las empresas entienden que el malware es algo real y que sus empresas son vulnerables. Organizaciones de todos los tamaños se enfrentan a un volumen creciente de ataques cibernéticos que ponen en situación de riesgo datos sensibles, propiedad intelectual y demás activos de la empresa. Además, los atacantes están encontrando sitios distribuidos y lugares industrializados que son blancos atractivos porque representan puntos de entrada más fácil para acceder a información confidencial, ya sea remotamente o en la red corporativa.
El grupo Talos, de Cisco, ha generado algunos datos que nos permiten acercarnos al valor de la economía del mercado de hackers en el mundo. Haciendo una predicción se calcula que anualmente dicho mercado tiene un valor de más de 450,000 millones de dólares.
Las recientes noticias difundidas por la prensa sobre los ataques que ha sufrido Sony Pictures entre otros, han contribuido a la sensibilización de los clientes en esta materia para que definan estrategias de seguridad para hacer frente de manera eficiente a dichas amenazas.
¿Qué haría si supiera que el día de hoy su red está siendo atacada?
En entrevista para Mundo Contact, Rafael Chávez Monroy, Sales Manager – Global Security Sales Organization en Cisco, nos comentó: Los especialistas de Cisco y sus socios de negocio han observado que al colocar seguridad a los clientes a manera de prueba, prácticamente el 100% de los casos se ha encontrado algún tipo de ataque, algún tipo de familia de malware. Para el 100% de las casos en que las empresas están infectadas, se ha observado un alto tráfico en servidores, resultado de un ataque de malware así como tráfico malicioso que está generando un impacto en el rendimiento de la red y en el consumo de ancho de banda.
Lo que siempre se dice es: ¿Qué haría si supiera el día de hoy, que su red está siendo atacada? ¿Qué impacto tendría en su negocio, en sus empleados, en sus proveedores y en sus clientes?
Pongamos el ejemplo de una organización que es proveedora de ocho empresas y que éstas se enteraran de que su red está siendo atacada. ¿Cómo cree que reaccionarían sus clientes? Seguramente le pedirían que no les envíe comunicados electrónicos y que les asegure que la información relativa a las transacciones y operaciones que realiza con su empresa de manera confidencial, están seguras. El impacto para su empresa no sólo será un tema de tráfico en su red por los ataques generados contra su infraestructura, sino que la imagen de su empresa frente a sus clientes y proveedores ser verá comprometida, generando un alto costo para su marca.
BYOD e Internet de las cosas
La adopción de la movilidad en las empresas con el BYOD (Bring Your On Divice) y el Internet de las cosas, que agrega no sólo computadoras, servidores y dispositivos móviles, sino otros aparatos como: dispositivos médicos que están midiendo constantemente la presión arterial de los pacientes de manera remota; bandas deportivas; electrodomésticos; televisores, etc., dan lugar a un volumen creciente de tráfico y de puntos de acceso a la red. Ante todo esto y más, seguramente habrá algún hacker que se le ocurra cómo aprovechar esta puerta de entrada a su red.
Hoy los negocios demandan movilidad, actualización y acceso a la nube a través de dispositivos móviles, por lo que se hace imperativo asimilar sus beneficios siempre y cuando se agregue el componente de seguridad para no estar en condiciones de vulnerabilidad.
Seguridad estática vs. seguridad dinámica
La seguridad estática es un concepto relativamente sencillo. Es la seguridad en la cual se definen ciertas reglas que son fijas, que no cambian, es decir, se coloca un firewall que bloquea ciertas aplicaciones y ciertos puertos, o bien un antivirus que escanea el disco duro y busca virus que puedan ser peligrosos, para evitar que se activen y provoquen un daño.
Es una solución que se coloca de una manera fija y prácticamente bloquea los puertos que se le indica, o bien detiene los ataques que tiene que enfrentar. La seguridad estática es una práctica que se realizó durante mucho tiempo y que permitió bloquear los principales riesgos que existían envsu momento, sin embargo, este esquema de seguridad no consideraba los nuevos ataques dinámicos que evolucionan y mutan permanentemente.
Hoy en día los ataques entran a través de archivos, por ejemplo un PDF, que al cabo de dos o tres meses puede convertirse en un malware que se propague dentro de toda la organización. La seguridad estática no detecta ese tipo de ataques persistentes y ocultos que llegan a través de dispositivos móviles, archivos anexos, etc.
La seguridad dinámica por el contrario, analiza de una manera continua e inteligente las correlaciones de lo que está ocurriendo en la infraestructura: qué archivos tienen los usuarios; cuáles aplicaciones están corriendo y con qué versiones de sistemas operativos operan las máquinas; cuáles son los archivos que entran y salen; qué usuarios pueden tener acceso a redes sociales y de qué privilegios gozan; qué pueden hacer dentro de las aplicaciones en la nube. La seguridad dinámica ofrece una mayor variedad de posibilidades para que los usuarios tengan acceso a las aplicaciones y servicios que los negocios requieren, pero al mismo tiempo desarrolla inteligencia necesaria para identificar qué comportamientos no son normales, cuáles representan un riesgo, qué archivos fueron identificados como inseguros en otras partes del mundo, etc.
La seguridad dinámica está reemplazando a la estática, o más bien, la seguridad estática está migrando hacia soluciones más dinámicas inteligentes que se enfocan en un proceso de seguridad continuo: antes, durante y después.
Antes de un ataque, la seguridad dinámica entiende qué aplicaciones, servicios y sistemas operativos utilizan los usuarios; cuáles switches, servidores y routers, es decir, qué es lo que tenemos en la red para saber contra qué tenemos que protegernos y qué políticas se deberán definir para minimizar el riesgo de ser atacado, asumiendo que la red recibirá ataques y que en algún momento uno de éstos será exitoso. Por ello, debemos definir las condiciones para identificarlo de manera inmediata, detenerlo y evitar lo más posible que se propague. Después del ataque, podemos hacer un análisis retrospectivo para saber por dónde entró, qué servicios atacó, cómo fue que se manifestó dentro de la organización y así generar políticas para evitar un nuevo ataque.