Cómo usar la visibilidad basada en el riesgo para la protección contra ransomware, el cumplimiento de normas y más

Solo hay una certeza cuando se trata de ransomware: puede llegar a cualquier organización, grande o pequeña, con conocimientos de seguridad o no. Los ataques de alto perfil están en elevarse, impulsados por software llave en mano para lanzarlos, criptopagos anonimizados, una infraestructura cada vez más digitalizada y aumentar en entornos de trabajo remotos e híbridos.

Afortunadamente, existe una poderosa estrategia para mantener el ransomware y otros malware de la difusión a través de una red: segmentación. Con Segmentación de confianza cero, las cosas malas pueden entrar, pero no pueden propagarse, no pueden hacer daño, y no pueden poner a las organizaciones bajo ataque en las noticias.

Al igual que con cualquier estrategia de seguridad efectiva, la segmentación comienza con la visibilidad. En concreto, visibilidad basada en una evaluación del riesgo.

Así es como visibilidad basada en el riesgo trabaja para ayudar a los administradores de sistemas a mapear las comunicaciones entre aplicaciones, evaluar vulnerabilidades y determinar cómo esas vulnerabilidades podrían conducir a la exposición en todo el entorno.

El problema con los entornos abiertos

Si bien la seguridad es una prioridad máxima para los data centers, muchos no prestan suficiente atención a los muros dentro de las subredes, las VLAN y las zonas de red. En otras palabras, a pesar de que las salvaguardas protegen contra las infracciones, a menudo no hay mucha segmentación para contener las incursiones que ocurren. Esto se debe en parte al diseño; los entornos ayudan a muchos sistemas del negocio a conectarse fácilmente entre sí para intercambiar datos y ejecutar operaciones diarias, hasta que no lo hacen.

El problema con estos grandes entornos abiertos es que si el malware infecta una máquina o zona, puede propagarse mucho más rápidamente a todo el entorno en cuestión de segundos.

Un vector de ataque común es a través de un usuario autorizado desprevenido. En este caso, un empleado en una computadora portátil en casa hace clic en un enlace sospechoso. El enlace lanza malware silenciosamente en segundo plano que cualquier herramienta de detección en su lugar puede no detectar. A partir de ahí, trata de difundirse a otros activos.

Pero si no hay movimiento lateral posible a través de la red, el malware simplemente no puede propagarse. Y esto compra un tiempo valioso para que la detección u otro software funcione. El usuario o un profesional de seguridad también tiene más tiempo para notar algo malo con la máquina infectada y tomar medidas antes de cualquier posibilidad de daño a otros activos o datos.

En resumen, si compra ese período de tiempo crítico, puede marcar la diferencia para contener ransomware y otros ataques de malware. Puede aislar los ataques a una máquina que se va a limpiar en lugar de tratar más tarde de administrar docenas, cientos o incluso miles de máquinas comprometidas y el impacto en las operaciones o la reputación. Todo comienza con la visibilidad basada en el riesgo.

Los componentes de la visibilidad basada en el riesgo

La visibilidad basada en el riesgo significa identificar qué sistemas y aplicaciones son vulnerables debido a una comunicación excesiva e innecesaria o incluso a flujos de datos que no cumplen con las normas.

Es por eso que la protección contra ransomware de Illumio comienza por crear dependencia de aplicaciones mapas. Estos mapas permiten a los administradores de sistemas ver no solo una serie de direcciones IP, sino una vista de nivel superior de la topología de las aplicaciones. Eso significa que todo aparece perfectamente organizado para facilitar la visibilidad, junto con relaciones claramente identificadas que muestran cómo las aplicaciones se comunican con otras aplicaciones y a través de redes.

Desde una vista detallada hasta una vista de alto nivel, los mapas de dependencia de aplicaciones permiten a los administradores examinar un entorno completo de arriba a abajo. Esto incluye cómo funcionan los protocolos individuales en todo el entorno de producción o cómo un determinado conjunto de flujos de datos opera entre entornos de desarrollo y producción.

Illumio aumenta esta visibilidad con datos de vulnerabilidad. Al integrar los datos de fuentes de amenazas y vulnerabilidades con los flujos de tráfico en tiempo real, obtiene puntuación de riesgo cuantitativo para una aplicación o cada carga de trabajo de aplicaciones. La puntuación facilita la comprensión de qué aplicaciones se conectan a puertos vulnerables y cuánto riesgo general generan las vulnerabilidades. Este contexto es invaluable para reducir el riesgo en su entorno. Parche en función de la criticidad o implemente políticas de segmentación como control compensatorio.

Obtener las opiniones correctas para las personas adecuadas también es fundamental. Esto se debe a que la visibilidad efectiva basada en el riesgo depende de que el personal obtenga la información que necesita para responder a las preguntas de seguridad y cumplimiento de normas relevantes para ellos. Eso es posible gracias a una única fuente de verdad: el mapa.

El acceso en tiempo real a las visualizaciones correctas reduce el riesgo operacional porque todos pueden ponerse de acuerdo sobre lo que es verdad. ¿Alguien del equipo de aplicaciones necesita ver el panorama general de la topología de las aplicaciones y los flujos de datos? Ahora pueden. ¿El seguridad de red ¿el equipo necesita datos de cumplimiento de normas? Pueden ver sus propias vistas de los mismos datos. Las operaciones de red y los miembros del equipo de DevOps también pueden ver la información que necesitan en la misma imagen. Y todos estarán de acuerdo en que lo que ven es efectivamente cómo funciona cualquier aplicación dada.

Una fuente única de verdad de este tipo mejora la colaboración. Y le ahorrará a las personas el tiempo y el tedio inherentes a los proyectos de investigación sobre software que pueden haber sido instalados hace media década para que puedan enfocarse en otras prioridades de mayor valor.

Todo lo cual contribuye en gran parte a mejorar la seguridad, sentando las bases para contener ransomware y otro malware a través de segmentación.

Visibilidad para el Cumplimiento de Normas

Los beneficios de la visibilidad basada en el riesgo no se limitan a contener malware. También puede ayudar a validar los límites de cumplimiento de normas al permitir que los equipos identifiquen cualquier flujo de datos que no cumpla con las normas.

Por ejemplo, la visibilidad integral puede revelar una aplicación que recopila datos de otras aplicaciones en contradicción con los marcos regulatorios como el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard)PCI-DSS), el Marco de Controles de Seguridad del Cliente de SWIFT o la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA, por sus siglas en inglés). Eso es crítico para cualquier organización que opere en industrias reguladas, donde importa mucho lo que está dentro y lo que está fuera del alcance para la recopilación y el procesamiento de datos.

Más allá del cumplimiento de normas, la mayoría de las organizaciones tienen políticas en torno al acceso remoto. Por ejemplo, dado que la mayoría de los empleados de una organización no necesitan todo el acceso administrativo a los data centers, obtienen acceso restringido. Y en los casos en que necesitan acceso completo, a menudo se les requiere usar un host de salto para controlar la comunicación entre los servidores remotos y de data center. Pero los hosts de salto pueden ralentizar a los usuarios impacientes, presentando un incentivo para evitarlos.

Con la visualización, puede responder preguntas críticas sobre los servidores salto, tales como: ¿La gente realmente los usa? ¿O tiene administradores que creen que son lo suficientemente mayores como para simplemente omitir ese host de salto un poco más lento y conectarse a las aplicaciones directamente?

Si puede ver esa actividad, sabe qué hacer para endurecer esos riesgos de seguridad.

Obtener este tipo de visibilidad crítica a menudo ha requerido recurrir a un examen minucioso de las voluminosas tablas de flujo de datos para tratar de determinar si están dentro o fuera de ciertos límites o rangos de red. Esta tarea desafiante y que requiere mucho tiempo ha puesto la visibilidad completa, y mucho menos en tiempo real, fuera del alcance de muchas organizaciones. En contraste, las visualizaciones que muestran claramente los bordes alrededor de las áreas de cumplimiento de normas le brindan una imagen clara de los flujos de datos que van y salen de los endpoints, data centers y servidores.

Dichas visualizaciones proporcionan un ahorro de tiempo significativo para las partes interesadas internas y externas y establecen el escenario para conversaciones sencillas entre gerentes y auditores sobre límites y controles de cumplimiento de normas.

Visibilidad, el primer paso hacia la seguridad

La visibilidad es el primer paso para controlar el acceso a los activos del centro de datos y la nube, lo que le brinda la información que necesita para ajustar los controles entre los usuarios, las aplicaciones y los servidores dondequiera que residan.

La realidad es que el ransomware es un problema para todos. Pero con la ayuda de la visibilidad basada en el riesgo, puede comenzar a implementar estrategias preventivas y receptivas para contenerlo donde pueda causar un daño mínimo.

Para obtener más información:

• Lea el libro electrónico, Cómo detener los ataques de ransomware.
• Vea la visibilidad basada en el riesgo en acción en el seminario web, El ransomware ocurre. Detenemos que se extienda: cómo obtener visibilidad basada en el riesgo.