Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Ciberresiliencia

Reenfoque en la resiliencia cibernética: 3 mejores prácticas para mejorar su resiliencia cibernética

Illumio Editorial
,
October 28, 2022
23 min. lectura

Al cerrar nuestra serie Mes de Concientización sobre Ciberseguridad, volvemos nuestra atención a la Ciberresiliencia y a lo que puedes hacer ante la lamentable situación de que se detecte una brecha activa en tu red.

Mejorando Ciberresiliencia implica:

  • Anticipar las acciones que tomaría un atacante.
  • Las capacidades de respuesta que más le gustaría tener una organización bajo esos ataques.
  • Asegurarse de que esas capacidades estén en su lugar, capacitadas y operativamente listas para un momento de necesidad.

El objetivo es pasar de reactivo a resiliente durante un ransomware ataque u otra violación. Pero antes de que eso pueda suceder, necesita saber cómo funcionan las brechas y las cualidades que las hacen exitosas.

Escuche a Nathanael Iversen, el principal evangelista de Illumio, sobre por qué es tan importante construir resiliencia cibernética para su organización:

 
Sigue leyendo a las 3 mejores prácticas para mejorar la resiliencia cibernética.

Cómo funcionan los ataques de ransomware

Casi todos los ataques exitosos siguen este patrón:

  • La detección falla. A pesar de todos los escáneres, heurísticas, algoritmos y soluciones basadas en IA, de encontrar la aguja en el pajar, los atacantes siguen teniendo éxito. Y cuando pueden romper el perímetro de la red o la computadora portátil de un usuario sin ser detectados, tienen la capacidad de ir despacio, tomarse su tiempo y aprender silenciosamente cómo expandir su huella. Instalar ransomware o malware no es el primer paso, sino el último.
  • La brecha se propaga. Una vez que el acceso confiable a una sola máquina es estable, los atacantes comienzan a explorar, acechar y aprender tan silenciosamente y pacientemente como necesitan para evitar la detección. Tristemente, las redes planas sin segmentación están indefensas frente a este movimiento.
  • Los activos críticos se ven comprometidos. Es raro que los atacantes comprometan inmediatamente los sistemas críticos. A menudo, comienzan en escritorios de usuario o sistemas de tecnología operacional (OT). Luego filtran gradualmente a través de 10 a 20 sistemas antes de encontrar su camino hacia bases de datos, aplicaciones o servicios críticos. Una vez allí, pueden exfiltrar datos, posiblemente violando los marcos regulatorios. Como último insulto, el malware bloquea los sistemas e incluso puede exigir un rescate.

A partir de esta descripción simplificada, pero precisa, aprendemos las cualidades clave que hacen que un ataque sea exitoso.

Los ataques de ransomware son oportunista y vivir de lo que ofrece la tierra.

Un ataque inicial proporciona el primer punto de acceso a la red: un exploit conocido, explotación de día cero, ingeniería social suplantación de identidad mensaje, o simplemente conectar una computadora portátil a un puerto Ethernet. El análisis enumera hosts, puertos abiertos y servicios en ejecución: los disponibles superficie de ataque.

El acceso se obtiene utilizando cualquier cosa que funcione, como exploits, credenciales robadas, confianza existente: el oportunista vectores de ataque.

La “carga útil” del ransomware se ejecuta mientras que lo anterior se repite para mantener el acceso y continuar la propagación: a ataque de movimiento lateral.

Podemos resumir esto simplemente: Las brechas deben moverse: Segmentación de confianza cero no los deja.

3 mejores prácticas para mejorar su resiliencia cibernética

¿Cómo puede mantenerse resistente frente a un atacante desconocido que probablemente esté utilizando una colección incognoscible de herramientas de explotación? Aquí hay 3 mejores prácticas para usar.

Implementar estrategias de contención de ransomware proactivas y reactivas

Si le dijeran que se sospechaba o se descubrió una brecha en un pequeño puñado de computadoras portátiles de usuario, inmediatamente querría hacer dos cosas: aislar los sistemas contaminados y colocar barreras adicionales para mantener seguros los sistemas críticos.

Esto debería informar las cosas que hace antes de una violación.

Antes de que ocurra una violación, tiene la oportunidad de:

  • Apriete la segmentación en torno al acceso administrativo.
  • Asegurar que visibilidad basada en el riesgo cubre todo el entorno para que usted pueda fácilmente
  • descubra y realice un seguimiento de cualquier puerto o protocolo en todo el entorno de cómputo.
  • Preposicionar políticas de segmentación estrictamente restrictivas y reactivas.

Es posible que no active estas políticas día a día, pero ¿qué entornos desearía cerrar en un instante si un ataque estuviera activo? Esas son las políticas reactivas que su equipo de seguridad debe crear y recibir capacitación para implementarlas de antemano.

proactive-reactive-ransomware-containment-strategies

Cerrar de forma proactiva puertos innecesarios, riesgosos y que normalmente se abusan de los que se abusa

Los puertos altamente conectados concentran el riesgo porque normalmente se comunican con la mayoría o la totalidad de un entorno determinado. Esto significa que todo el entorno los está escuchando y debe estar protegido del intento de un hacker de propagarse de un entorno a otro.

Los puertos punto a punto son riesgosos porque están escritos para trabajar desde cualquier máquina a cualquier máquina. El problema es que nadie quiere que funcionen universalmente: algunos de los vectores de ransomware más populares utilizan estos puertos. De hecho, 70 por ciento de todos los ataques de ransomware utilizan el protocolo de escritorio remoto (RDP) para violar una red.

Los puertos conocidos son problemáticos. Tienen una larga historia con muchas vulnerabilidades publicadas y bien conocidas en su contra. Y a menudo están encendida por defecto, incluso si no están pensadas para su uso. Cerrarlos de inmediato reduce la superficie de ataque.

La segmentación de confianza cero puede controlar puertos riesgosos en cuestión de horas, lo que reduce radicalmente el riesgo de propagación de una brecha.

Aislar aplicaciones de alto valor no afectadas y/o sistemas infectados

Los atacantes quieren llegar a activos de alto valor porque la mayoría de los sistemas de usuario no tienen suficientes datos para montar una demanda exitosa de ransomware.

Ya debería conocer los sistemas y datos más importantes de su entorno, entonces, ¿por qué no poner un apretón? valla de anillo alrededor de cada una de esas aplicaciones, haciendo casi imposible que un hacker se mueva lateralmente hacia ellas?

Este es un proyecto de bajo esfuerzo y alta recompensa que cualquier organización puede hacer en unas pocas semanas con la Segmentación de Confianza Cero.

isolate-high-value-applications

La segmentación de confianza cero crea resiliencia cibernética

La segmentación de confianza cero aplica el principio de acceso con privilegios de mínimo privilegio a la segmentación en la nube, dispositivos de usuario y activos del centro de datos. Al responder a un incidente, la capacidad más esencial es bloquear rápidamente la comunicación de red en cualquier puerto de una aplicación, entorno, ubicación o toda la red global.

Esta capacidad fundamental proporciona control para contener brechas, establecer zonas limpias y contaminadas, y permite que el equipo se mueva con confianza para restaurar los sistemas y colocarlos en la zona “limpia”. Sin él, el juego de “whack-a-mole” continúa durante meses.

Las brechas dependen de los puertos de red abiertos para moverse. Pero la Segmentación de Confianza Cero es la la solución más poderosa disponible para evitar que las brechas se propaguen.

Comience a construir una resiliencia cibernética más fuerte ahora

El puerto que no está abierto no puede llevar un intento de violación.

Esto significa que cada vez que endurezcan su política de segmentación, de manera efectiva:

  • Reducir el tamaño de la red operacional.
  • Eliminación de rutas para descubrimiento, movimiento lateral y propagación de malware.

Mejorar su control sobre la conectividad es una de las capacidades más importantes que necesita para construir una resiliencia cibernética más fuerte. Una implementación de Segmentación de Confianza Cero basada en el riesgo puede mejorar radicalmente la resiliencia cibernética en menos tiempo de lo que podría pensar.

El Mes de Concientización sobre Ciberseguridad de este año ha brindado la oportunidad de reflexionar, reenfocar y planificar formas de mejorar su postura de seguridad. Gracias por acompañarnos.

Temas relacionados

No se han encontrado artículos.

Artículos relacionados

Únete a Illumio para HIMSS 2023 en Chicago
Ciberresiliencia

Únete a Illumio para HIMSS 2023 en Chicago

Una invitación para unirse a Illumio en HIMSS 2023 en Chicago para establecer contactos, socializar y reunirse con expertos en seguridad de la salud durante la conferencia.

Leer más
Una guía para navegar por la sobrecarga de políticas en los sistemas distribuidos de hoy
Ciberresiliencia

Una guía para navegar por la sobrecarga de políticas en los sistemas distribuidos de hoy

Explore los ocho tipos de políticas de sistemas distribuidos y descubra una hoja de ruta clara para comprender su infraestructura, seguridad y automatización

Leer más
Cargas útiles y balizas de malware: técnicas para la corrección del impacto
Ciberresiliencia

Cargas útiles y balizas de malware: técnicas para la corrección del impacto

En la parte final de esta serie, nos enfocamos en algunas de las técnicas de ofuscación utilizadas para disfrazar las cargas útiles de malware y examinar las técnicas de mitigación que las organizaciones pueden emplear.

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información