.png)
Evaluación de vulnerabilidades para detener el ransomware
En un post anterior, echamos un vistazo a la visibilidad basada en el riesgo como el primer paso para contener ransomware y otros programas maliciosos.
Esta publicación abordará cómo mapear esas vulnerabilidades contra los patrones de conectividad, es decir, cómo las aplicaciones y los procesos se comunican entre sí y a través de redes.
Es el último paso necesario antes de bloquear y prevenir activamente la propagación del ransomware.
Aumento de la visibilidad con datos enriquecidos sobre las comunicaciones
Dentro de un entorno de producción típico, prácticamente todo puede comunicarse con todo lo demás: aplicaciones y máquinas dentro de subredes, VLAN, zonas, lo que sea. Eso permite que los sistemas de negocios hagan su trabajo mientras comparten datos y se comunican con el mundo exterior. Pero también crea un problema. Si el malware infecta alguna parte de dicho entorno, puede propagarse muy rápidamente.
Para detener la propagación de malware a través de entornos de producción, debe bloquear los puertos que explota para pasar de una aplicación o máquina a otra. Pero también necesita saber qué puertos mantener abiertos para que sus sistemas puedan seguir haciendo lo que necesitan hacer.
Es por eso que detener la propagación del ransomware y otro malware depende de la visibilidad en tiempo real de las comunicaciones entre activos. Después de todo, no puede cerrar los puertos abiertos innecesariamente si no puede identificarlos.
Además, es necesario determinar qué puertos conllevan el mayor riesgo potencial. Sólo entonces, con esta inteligencia en la mano, podrá implementar controles proactivos y reactivos que no paralizan su negocio. De esa manera, puede limitar su exposición a una brecha solo al punto de entrada en su red sin afectar negativamente las operaciones.
Tal visibilidad basada en el riesgo también le permite priorizar el parcheo antes de que ocurra un incidente.
La priorización es esencial porque los departamentos de TI a cargo de grandes redes no pueden mantener todos los sistemas parcheados todo el tiempo. Algunos parches necesariamente se abordan antes que otros. Obviamente, se quiere priorizar la fijación de los sistemas que conllevan el mayor riesgo potencial. La pregunta es, ¿cuáles son esos?
Responder a esa pregunta depende en gran parte de la conectividad de red.
Tenga en cuenta que las vulnerabilidades en un servidor que opera en completo aislamiento representan una amenaza mucho menor que las de una máquina en medio de un centro de datos accesible para miles de personas. También considere que algunos puertos abiertos presentan un mayor peligro para los activos de la red que otros.
Lo que se necesita es una manera de cuantificar el riesgo que representa un determinado conjunto de puertos en el contexto de sistemas particulares y cómo esos sistemas se conectan entre sí y con la Internet en general.
Identificación de los puertos más riesgosos
El hecho es que algunos puertos conllevan más riesgo que otros. Los puertos más riesgoso incluyen puertos altamente conectados utilizados por Microsoft Active Directory y otros servicios principales. El mayor riesgo también viene con el sondeo de sistemas y el reporting sobre la infraestructura de TI.
Los puertos punto a punto representan un riesgo significativo, incluidos los utilizados por servicios como la administración remota de escritorios y las aplicaciones de uso compartido de archivos. Incluso muchas aplicaciones de redes sociales funcionan de esta manera. Están diseñados específicamente para el tipo de patrón de tráfico de cualquier a cualquier tipo que mantiene despiertos a los profesionales de seguridad por la noche. Los profesionales de seguridad se preocupan por ellos porque el malware a menudo se dirige a estos puertos porque son ubicuos, generalmente abiertos y “hablan” de manera arbitraria.
Por último, los protocolos de comunicaciones más antiguos como FTP y Telnet tienden a permanecer activados por defecto, incluso si nadie los usa según la política de la organización, y representan vulnerabilidades bien conocidas. Eso los convierte en objetivos especialmente atractivos.
Pero saber que algunos puertos conllevan mayor riesgo que otros es una cosa. Otra cosa es encontrarlos y cuantificarlos en las extensas redes empresariales. También necesitará saber cómo se conectan todos estos activos.
Ahí es donde entra en juego la visualización proporcionada por Illumio.
Cuantificación del riesgo de conectividad
Illumio superpone datos de escáneres de vulnerabilidades como Rapid7 y Qualys encima de los de Illumio mapas de sus aplicaciones y cómo se conectan — formando mapas de vulnerabilidad.
Funciona tomando datos de conexión de fuentes como routers que ejecutan NetFlow y JFlow, switches, sistemas en la nube, tablas de conexión de sistemas operativos y más. Luego combina esta información con datos de escáneres de vulnerabilidades.
A continuación, trae información de identidad de usuario y máquina de fuentes tales como Active Directory, bases de datos de administración de configuración, sistemas de administración de información de seguridad y sistemas de administración de direcciones IP.
Los mapas resultantes le ofrecen vistas en tiempo real y ajustadas al riesgo de todos sus sistemas. Toman sistemas operativos, laptops de usuario, aplicaciones en la nube y sus contenedores, mainframes, balanceadores de carga, dispositivos de red, firewalls, lo que sea. El resultado es una visibilidad de extremo a extremo que le brinda una comprensión clara del riesgo.
Por ejemplo, ¿un servidor de base de datos mantiene conexiones abiertas a 300 máquinas en una subred cuando solo necesita conectarse a 10? Los mapas de Illumio lo resaltarán como una preocupación para que puedas tomar medidas.
Además de cómo los activos intercambian datos dentro de redes y data centers, Illumio le permite saber cuánto y con qué frecuencia se comunican con el mundo exterior. Este conocimiento puede ayudarle a decidir qué controles poner en qué máquinas y qué parches priorizar.
Cómo los puntajes de exposición a vulnerabilidades mejoran la eficiencia operacional
Al facilitar aún más la evaluación del riesgo, Illumio combina información de políticas de vulnerabilidad, conexión y segmentación para resumirlo todo como un puntuación de exposición a vulnerabilidades. Este número único le brinda una comprensión rápida de la exposición relativa al riesgo en el contexto de la ejecución de aplicaciones.
Muchos clientes de Illumio encuentran que esta métrica por sí sola les da lo que necesitan para segmentar los sistemas como una forma de compensar su incapacidad de mantener todos sus parches actualizados todo el tiempo. La segmentación significa reducir los puertos más vulnerables al radio más pequeño posible, es decir, comunicarse con el menor número posible de otros activos.
Los puntajes de vulnerabilidad de Illumio le permiten afinarse rápidamente en esas áreas problemáticas para primero aislarlas mediante segmentación en la medida de lo posible sin interrumpir las operaciones y luego aplicar parches de acuerdo con los programas que pueda mantener de manera realista. En otras palabras, las puntuaciones de vulnerabilidad y la segmentación permiten una priorización efectiva para la remediación de vulnerabilidades.
Illumio le brinda una visión integral y basada en el riesgo de todo su entorno. Le permite ver flujos activos, superpone el análisis de riesgo basado en puertos abiertos utilizados por malware y cuantifica ese riesgo. Después de realizar cambios en su entorno, puede enjuagar y repetir para ver cómo cambian los puntajes de riesgo con el tiempo, lo que brinda a los equipos de TI y seguridad una poderosa herramienta para generar informes sobre riesgos y evaluar vulnerabilidades.
Generación de políticas para bloquear puertos riesgosos
Illumio también puede mitigar activamente el riesgo bloqueando los puertos entre cargas de trabajo antes de que pueda parchearlas o en los casos en que no pueda acceder a los sistemas afectados. Piense en ello como aplicar parches a los flujos de datos hasta que pueda parchear las cargas de trabajo.
Además, Illumio puede sugerir políticas para bloquear puertos como parte de un flujo de trabajo integrado llamado Generador de políticas.
Puede guardar una política sugerida y luego hacer que Illumio la aprovisionar en todas sus aplicaciones. Con esta herramienta, puede proteger su entorno con solo unos pocos clics en solo unos segundos en lugar de hacerlo en blanco durante los días o semanas necesarios para implementar parches.
Una poderosa herramienta para evaluar vulnerabilidades
En conjunto, Illumio brinda a los profesionales de TI y seguridad una visibilidad rica y basada en el riesgo de todas sus comunicaciones de aplicaciones y les permite bloquear las comunicaciones ajustadas al riesgo para detener la propagación del ransomware.
Además de implementar controles preventivos, Illumio puede mejorar su capacidad de respuesta ante incidentes con políticas de segmentación activas para detener el ransomware en su camino.
Para obtener más información:
- Lea el libro electrónico, Cómo detener los ataques de ransomware.
- Vea los mapas de vulnerabilidad en acción en el seminario web, Sucede ransomware. Detenemos que se propague: Evalúe sus vulnerabilidades.
.webp)
