Firewall

WannaCry y Petya: el circo ha llegado a la ciudad

El riesgo clave para el negocio (y como expertos en seguridad, lo hemos visto y demostrado en distintas ocasiones) sigue siendo el ransomware y el malware basado en correo electrónico.

ens

 

A estas alturas, todos hemos oído hablar de la propagación desenfrenada de ransomware en los medios de comunicación, en blogs, e incluso hemos tenido que escuchar afirmaciones escandalosas de algunos vendedores de seguridad. Una vez pasado ese momento de shock, cabe reflexionar y hacerse algunas preguntas sobre lo ocurrido: ¿Cómo se produjeron estos ataques? ¿Están las empresas adoptando soluciones válidas para enfrentarse a estas amenazas? ¿Tenemos presente las llamadas tecnologías disruptivas? Seamos prácticos y planteémonos, "¿cuál es nuestra mejor estrategia?"

Desde que el `circo´ del NGFW (Next Generation Firewall) llegó a la ciudad, el entretenimiento parece estar centrado en atracciones secundarias, no en la carpa principal donde se desarrolla el verdadero espectáculo. Ver cómo un cortafuegos es capaz de gestionar detalles sobre los hábitos de uso de un usuario es un show interesante. Muchas compañías de seguridad tratan de ganar clientes demostrando que su firewall es capaz de bloquear un juego de Facebook, aunque permita que otros pasen a través de él. Como consecuencia de este `circo´, las capacidades de los firewalls comenzaron a medirse y juzgarse en función del número de firmas de aplicaciones que contenían, concluyendo que a más firmas mejor firewall.

Si bien esta y otras tendencias similares han estado dominando la conversación en torno al firewall empresarial, las recientes epidemias de Wannacry y Petya deberían llevarnos a proveedores y sus clientes a una profunda reflexión: ¿estamos realmente centrándonos en el problema que hay que resolver? ¿O seguimos ensimismados en la caseta de tiro al blanco? En mi opinión, el enfoque no está siendo el adecuado. El riesgo clave para el negocio (y como expertos en seguridad, lo hemos visto y demostrado en distintas ocasiones) sigue siendo el ransomware y el malware basado en correo electrónico.

Echemos un vistazo a un ataque de ransomware típico y cómo afecta a una empresa.

Empecemos con nuestro viejo amigo, el correo electrónico. Ya estamos acostumbrados a recibir mensajes de spam, incluso los más estúpidos siguen circulando: el premio millonario que nos ha tocado en la lotería, o la persona descendiente de ese monarca extranjero que no puede esperar a compartir su riqueza con nosotros. Mayor astucia tienen aquellos que se disfrazan como un mensaje de nuestro banco para consultarnos si hay algún problema con nuestra cuenta, hacienda tratando de devolvernos dinero de nuestros impuestos, o información sobre un paquete importante que esperamos. Y, por supuesto, hay intentos más impactantes, como un mensaje urgente de nuestro jefe exigiendo, a corto plazo, alguna información, o mejor aún, algún pago para el último proyecto súper secreto en el que está trabajando para la compañía.

A estos últimos intentos los llamamos phishing (estamos en una industria que no tiene problema en inventar nuevos términos). A los profesionales de TI les gusta pensar que pueden detectar fácilmente los errores de estos correos electrónicos por fallos ortográficos y gramaticales o porque llevan el logotipo del año pasado, y reírse del intento. Pero una empresa no está compuesta exclusivamente de profesionales de TI. De hecho, incluso una compañía de TI profesional requiere ayuda adicional para hacer viable su negocio. Siempre hay una persona, ya sea un proveedor o un interno del que nunca nos esperaríamos que cayera en este tipo de trucos (o, a veces, incluso nosotros mismos) que hace clic en ese vínculo infectado o archivo adjunto.

Una vez que se hace clic en el enlace, no hay vuelta atrás. Y entonces comienza la pesadilla.

El malware comienza a buscar activos valiosos y vulnerables. También se adentra en las profundidades oscuras del sistema de archivos en busca de dispositivos similares de la misma red que pueda infectar. Enseguida comienza el cifrado de datos y unidades, y posteriormente el chantaje. Para recuperar los datos, el departamento financiero de la empresa tendrá que adquirir bitcoins y pagar el rescate. Pero eso rara vez es el final. Se producirán otros giros y vueltas que complicarán la operativa de la empresa durante días, semanas o meses. Luego llegará el titular en el periódico, y todo el mundo sabe lo que sucede después porque leemos sobre ello todos los días.

Este proceso, o uno muy parecido, se produce cada día desde hace años, muy a pesar de miles de millones de dólares que se gastan las empresas en dispositivos NGFW. ¿Por qué?

Una razón podría ser porque los usuarios internos son responsables del 60% de todos los ataques. De éstos, tres cuartos son intencionadamente maliciosos, mientras que el resto son sin querer. El quid de la cuestión es que todos ellos se inician en el lado equivocado del firewall. Por eso los sistemas de defensa eficaces necesitan un enfoque basado en una arquitectura de la red que contemple los siguientes elementos:

  1. Un sistema efectivo de filtrado de malware de correo electrónico.  La solución debe ser eficaz en la detección de spam así como en cualquier anomalía como que usuarios externos traten de suplantar a usuarios internos (recordemos el caso del correo electrónico del jefe y su proyecto secreto).
  2. Programa de concienciación de los usuarios. Para ayudarles a detectar emails falsos y qué hacer con ellos.  
  3. Una red interna segmentada. Dos tercios de los ataques se producen dentro de la red, por lo que el CISO debe asumir que alguien en su red hará clic en un enlace malicioso y la empresa se verá comprometida y no confiar en que su solución de seguridad resolverá el problema. Una vez que se produce una brecha y créanme, sucederá, una correcta segmentación ayudará a contener los daños porque cuando el ransomware empiece a cifrar datos u otros recursos en un segmento de su red, podrá ser detectado y sellado para que otros segmentos no se vean afectados. Además, se facilita el proceso de restauración del sistema. Será mucho más fácil restaurar 1TB de archivos que 100TB.
  4. Un buen back up de datos. Poniéndonos en el peor escenario posible, la copia de seguridad de los datos y el almacenamiento fuera de la red puede ahorrar un montón de bitcoins. La clave es comprobar periódicamente el sistema de copia de seguridad para asegurarnos de que funciona, que no está infectado, y que todos sus archivos críticos están cubiertos. Ninguna estrategia de back up debe contemplar la opción de “cruce los dedos y espere que esté funcionando”.
  5. Saber lo que se comparte, con quién y por qué. Es clave saber lo que hay en la red, incluidos los usuarios, dispositivos, datos y aplicaciones, implementar buenas políticas de autenticación y autorización en las distintas partes del sistema de archivos, así como establecer mayor control en los puntos de acceso. Son datos importantes y como tal deben ser tratados.
  6. Entender el sistema host y sus vulnerabilidades. El CISO debe conocer qué dispositivos tiene en su red y qué sistema operativo y nivel de revisión se está ejecutando para que la próxima vez que se produzca un ataque, sepa qué host hay que actualizar y cómo reducir la superficie del ataque.
  7. Creación de un SOC coordinado. Ya sea a través de un SIEM, o de un sistema de análisis de registro dedicado tipo FortiAnalyzer, se necesita un SOC para cualquier empresa. Una de las razones es que, si una alarma se detecta en cualquier rincón de la red, el CISO/CIO necesita ser alertado en tiempo real, y luego entender lo que está pasando. Mostrarle solo una luz roja parpadeante no es suficiente. Él y su equipo necesitarán tener máxima visibilidad para poder tomar decisiones en tiempo real sobre lo que hay que hacer y cómo. Necesita ser capaz de valorar el riesgo y hacer un juicio sobre si se trata de un problema menor que se puede ignorar, o requiere bloquear toda la red. Por supuesto, decidir que se necesita bloquear la red no implica saber cómo hacerlo.
  8. Establecer un buen sistema de comando y control. Bloquear una red, ya sea total o parcialmente, no es trivial, y un sistema similar a la arquitectura de seguridad de Fortinet puede ser de gran ayuda. Si el CISO/CIO determina que se ha producido un grave incumplimiento o compromiso, la red debe proporcionarle los mecanismos necesarios para bloquear hosts/departamentos infectados (o incluso toda la compañía) en pocos segundos. Que este tiempo sea el mínimo posible puede marcar la diferencia entre perder algunos contratos clave o mantener su negocio intacto.

 

La seguridad requiere mucho más que un firewall que puede desactivar los juegos de Facebook. Se necesita un enfoque holístico e integrado de la seguridad que abarque toda la red. No me malinterpreten. Un dispositivo NGFW desempeña un papel importante en la estrategia de seguridad. Pero no es suficiente. Estamos convencidos de que hay que ir más allá de los dispositivos y plataformas NGFW. Y los que sabemos qué es un servicio completo de seguridad de clase empresarial, identificamos un circo en cuanto lo vemos.

 

El autor de este artículo es Michael Xie, fundador, presidente & CTO de Fortinet

 

 

 



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper