seguridad sincronizada: una revolución en la protección ... · para el futuro de la seguridad,...

Monográfi cos de Sophos Febrero de 2017

Seguridad sincronizada: una revolución en la protección contra amenazas

Web Wireless Email EndpointSophosCentral

Encryption Mobile ServerFirewall


2Monográficos de Sophos Febrero de 2017

Sección 1: El mundo de ciberriesgos de hoyAumento del número, la complejidad y la sofisticación de los ataquesTodas las empresas, desde las más grandes hasta las más pequeñas, deben vivir y

aprender a prosperar en un mundo en que el ciberriesgo está más presente que nunca.

El nivel de riesgo cada vez es mayor por múltiples razones, entre ellas el crecimiento de

la superficie expuesta a ataques y el aumento de la complejidad y la sofisticación de los

mismos.

Por un lado, los dispositivos móviles y los servicios en la nube son utilizados cada vez

más por los empleados y, por el otro, las organizaciones de todos los tamaños despliegan

infraestructuras virtuales y en la nube. Esto ha hecho crecer de forma espectacular lo que

se denomina la "superficie expuesta a ataques".

Basta ver los datos siguientes:

Ì Dispositivos: el consumidor digital medio posee

actualmente tres dispositivos conectados.¹

Ì Apps: los empleados utilizan, de promedio, 16 apps en la nube en el trabajo,

entre las que Box, SalesForce y Microsoft Office 365 son las más populares.²

Ì Internet de las cosas: Gartner prevé que, en 2020, habrá casi

21.000 millones de "cosas" conectadas a Internet.³

Debido a este aumento de los vectores de ataque, los ataques son cada vez más

numerosos, con más filtraciones conseguidas y más datos perdidos.

Con los kits de herramientas de malware, disponibles comercialmente en el mercado

negro, ahora es posible llevar a cabo ataques cada vez más sofisticados con menos

conocimientos que nunca antes.

Y los ciberdelincuentes están copiando los modelos de negocio basados en la nube

que utilizan organizaciones legítimas para ofrecer malware como servicio (por ejemplo,

ransomware as a service), incluso con garantías de devolución del dinero. Con esto se

reducen aún más las habilidades técnicas necesarias para perpetrar un ciberataque, al

tiempo que las herramientas utilizadas se actualizan constantemente.

El lamentable resultado de todo este desarrollo es que, actualmente, los ciberdelincuentes

actúan con tal rapidez que la mayoría de organizaciones no pueden seguirles el ritmo.

Según el informe de las investigaciones sobre la filtración de datos de Verizon en el 2016:

Ì El hacking y el malware son las dos principales causas de las filtraciones de datos.

Ì Los atacantes se están volviendo aún más rápidos a la hora de comprometer a

sus víctimas; en la mayoría de los casos, tardan días, minutos o incluso menos.

Ì El déficit de detección (es decir, el tiempo entre el compromiso y la detección)

está empeorando y se está tardando más en identificar los ataques.

Asimismo, el informe de Verizon determina que las ganancias económicas son el principal

motivo de más del 80% de estos ataques. Para las pymes, el coste puede ser catastrófico.

Estamos experimentando un aumento de los ataques, cada vez más complejos, y un

incremento de las pérdidas. Tenemos que plantearnos: ¿Qué tenemos que hacer de forma

distinta?

Panorama de amenazas

MiraiRansomware

KovterBotnets

Cerber DDoS

Adfraud

Puerta trasera

LockyIoT

Banca

Programas espía

Keyloggers

TroyanosDescargador



Equipos pequeños, recursos escasos, mercado laboral limitadoPodría pensarse que la reacción lógica ante el aumento de ataques debería ser dedicar más

efectivos al problema: contratar personal y mejorar la seguridad. Sin embargo, puesto que

muchas empresas cuentan con equipos de seguridad TI pequeños, ampliar o redistribuir los

recursos no es una opción realista para las organizaciones pequeñas o medianas.

Como puede verse en la Figura 1, antes de llegar al entorno de las grandes empresas, los

equipos especializados en seguridad TI son muy limitados en lo que se refiere al tamaño y

los recursos.

Figura 1: Poco personal y recursos limitados en la seguridad informática de pymes (Fuente: Departamento de Seguridad Nacional de los EE. UU., 2014)

Aunque la dirección desee ampliar su equipo de seguridad, esta tiene que lidiar con

otro obstáculo: la grave escasez de recursos en seguridad TI. Según investigaciones de

Enterprise Strategy Group, el 46% de las organizaciones, un porcentaje enorme, creen que

sufren una escasez preocupante en términos de habilidades en ciberseguridad.⁴ Esto, a su

vez, ejerce aún más presión sobre los equipos informáticos existentes, que deben hacer

más con menos.

A pesar de que nos enfrentamos a un número mucho mayor de ataques más sofisticados

(y eficaces) que nunca, no hay suficiente personal cualificado. Las organizaciones que

dependen de los recursos que tienen disponibles están asumiendo un nivel de riesgo

inaceptable.

PE

RS

ON

AL

DE

DIC

AD

O A

SE

GU

RID

AD

TI

100-500 EMPLEADOS

500-1.000 EMPLEADOS

1.000-5.000 EMPLEADOS

5.000-20.000 EMPLEADOS

+20.000 EMPLEADOS



Sección 2: Enfoques existentes a la seguridadFragmentadas y mal integradas. Complejas y miopes. Desconectadas del contexto

inmediato. Decisiones aisladas. Todas estas descripciones pueden aplicarse a los enfoques

a la seguridad actuales.

Si consideramos la forma en que se ha desarrollado el sector de la seguridad TI, es fácil

entender por qué. Las empresas de seguridad se han centrado en desarrollar productos

individuales que cubren aspectos específicos de la cadena de ataque, en lugar de idear

una solución integral contra los ciberataques a los que todos nos enfrentamos. En

consecuencia, el desafío de integrar productos independientes dispares ha recaído en

los equipos informáticos, ya muy sobrecargados. Es como si los fabricantes de coches

produjeran piezas individuales y luego pidieran a los clientes que las juntaran y crearan el

vehículo.

Los profesionales de seguridad TI han intentado "unir los puntos" entre las fuentes de

datos empleando motores de correlación, centros de macrodatos, sistemas de gestión de

información y eventos de seguridad (SIEM), planes emergentes para compartir información

como STIX y OpenIOC y un gran número de analistas humanos. Sin embargo, incluso con

las herramientas más avanzadas, resulta muy difícil comprender los datos de una variedad

de productos independientes para detectar y remediar rápidamente el riesgo y detener la

fuga de datos.

La correlación entre los eventos y los registros sigue dependiendo de la creación y el

mantenimiento de reglas de correlación complejas, la asignación de campos y la definición

de filtros, así como horas de esfuerzo de analistas altamente capacitados difíciles de

encontrar. SIEM requiere unas inversiones considerables en capital y gastos operativos

permanentes. En lo que se refiere a compartir información, aunque ciertamente sea clave

para el futuro de la seguridad, todavía no ha madurado lo suficiente como para que se

pueda adoptar ya de forma generalizada y sencilla.

Los resultados, o más bien su ausencia, hablan por sí solos. Las pérdidas de datos y los

riesgos siguen aumentando, sin ningún indicio de que vayan a reducirse, y el personal está

sobrecargado. Según un informe reciente de Ponemon Institute, el 74 % de las filtraciones

no se descubren hasta seis meses más tarde.Y lo que es peor, parece que a las empresas

del mid-market les cuesta aún más mitigar los riesgos que a las empresas más grandes

con mejores recursos. Indudablemente, la respuesta no es otro producto independiente

no integrado ni más consolas, más personal o SIEM complejos. Estos enfoques no están

dando resultados. Debemos encontrar un enfoque mejor y más eficaz.

Los atacantes lanzan ataques coordinados contra todo un ecosistema informático, no contra productos específicos individuales.



Sección 3: Un nuevo enfoque a la seguridad de TIDurante décadas, la industria de la seguridad ha tratado la seguridad de las redes, la

seguridad endpoint y la seguridad de los datos como entidades completamente distintas.

Es como poner tres guardias de seguridad en el edificio – uno en la puerta de entrada, otro

en el interior y otro custodiando la caja fuerte –, pero sin dejar que hablen entre ellos.

Sin embargo, a medida que las amenazas se hacen más complejas y los recursos

informáticos siguen sobrecargándose, ya no es posible mantener este enfoque sin poner en

riesgo su protección.

La seguridad sincronizada constituye un sistema de seguridad excepcional en que

productos integrados comparten dinámicamente información sobre amenazas, estados

y seguridad. El resultado es una protección mejor y más rápida frente a amenazas

avanzadas. Es como dar a cada uno de esos guardias un smartphone para que puedan

comunicarse entre ellos y coordinar sus actividades a fin de evitar cualquier amenaza.

Es un concepto sencillo a la vez que revolucionario. Para conseguir la seguridad

sincronizada, se necesitan tres cosas:

1. Un sistema de seguridad central La base del enfoque sincronizado es una plataforma de seguridad central que cuenta

con el contexto sobre seguridad y amenazas de todos los dispositivos y datos. Debe

ser fácil de utilizar y permitirle gestionar todo su sistema de protección desde un único

lugar. Ya no tendrá que pasar constantemente de una consola a otra, con lo que podrá

ahorrar tiempo y esfuerzo todos los días.

2. Tecnología de última generación La sincronización no debe ser a expensas de la exhaustividad de la protección. Cada

uno de los componentes de seguridad debe contar con la tecnología de prevención de

amenazas más moderna para que pueda disfrutar de la protección más avanzada en

todo momento.

3. Protección inteligente

El sistema de seguridad debe permitir que las tecnologías de seguridad compartan

información y automaticen la respuesta, así como aislar en tiempo real cualquier

dispositivo infectado para impedir tanto la pérdida de datos como la propagación de la

infección en su empresa. El resultado es una protección inigualable frente a amenazas

complejas y avanzadas.

Soluciones de seguridad de varios niveles de hoy en día

Seguridad sincronizada

Centradas en la amenaza, operan sin tener en cuenta los objetos o los eventos próximos

Centradas en el ecosistema, operan plenamente conscientes de los objetos y los eventos próximos

Productos independientes especializados Productos coordinados

Necesitan más personal para ser eficacesSon eficaces gracias a la automatización y la innovación; no requieren más personal

Gestión de cifrado independienteProtección de cifrado integrada que responde ante las amenazas de forma automática

Complejas Sencillas

Figura 2: Las soluciones actuales deben cambiar drásticamente



Sección 4: El enfoque de SophosSophos ha sido el precursor del enfoque a la seguridad sincronizada. Según IDG, "ninguna

empresa está cerca de proporcionar este tipo de comunicación entre productos de

seguridad para endpoints y redes". ¿Cómo lo hacemos?

A través de Sophos Central, nuestra galardonada plataforma de seguridad, puede gestionar

todo su sistema de seguridad Sophos desde un único lugar: endpoints, dispositivos

móviles, servidores, Internet, correo electrónico, redes inalámbricas, cifrado y firewalls.

La diferencia entre la seguridad sincronizada y una consola de administración central es

abismal. Según explica Gartner, la seguridad sincronizada es integración a nivel de política,

mientras que una consola central es simplemente integración a nivel de interfaz.

Web Wireless Email EndpointSophosCentral

Encryption Mobile ServerFirewall

Figura 3: Seguridad sincronizada con Sophos

Nuestros productos incorporan tecnología de última generación, de modo que dispone

en todo momento de la protección antiransomware, antivulnerabilidades, antimalware y

ATP más moderna en todos sus dispositivos y datos. Estos son algunos de los premios del

sector y reconocimientos de analistas que hemos recibido recientemente:

Ì Único proveedor nombrado líder en los Cuadrantes mágicos de UTM

y plataformas de protección para endpoints de Gartner.

Ì Mejor firewall de 2016 de Computing

Ì Estrella revelación en Forrester Encryption Wave 2016

Ì Premio a la excelencia en cifrado y firewall de red de SC Magazine

Ì Mejor seguridad para Android 2016 de AV Test

La seguridad sincronizada es posible gracias a nuestra función patentada Security

Heartbeat™, un enlace de comunicación seguro entre los productos Sophos que

les permite compartir información sobre amenazas, estados y seguridad, así como

automatizar la respuesta a las amenazas. Docenas de tecnologías funcionan en armonía

con el fin de proporcionar la mejor protección del mundo contra ataques coordinados.

Sophos Security Heartbeat reduce la detección de amenazas, protección y respuesta a

incidentes, que normalmente tardarían horas, días o semanas, a literalmente segundos.



Sección 5: Seguridad sincronizada: Detener las amenazas actualesPara ilustrar mejor la efectividad de la seguridad sincronizada, veamos cómo funciona en el

mundo real con ejemplos de algunas de las amenazas más extendidas en la actualidad: las

botnetss y el ransomware.

BotnetsLas botnets, que permiten a los hackers controlar una red de dispositivos inocuos para

llevar a cabo ciberataques coordinados, son actualmente una de las cinco principales

amenazas de seguridad a escala internacional a las que nos enfrentamos. Se utilizan para

muchos ataques diferentes, entre ellos:

Ì La generación de criptomonedas, que rastrea nueva moneda online.

Ì Robos de datos a través de sistemas de venta, como ocurrió con Target.

Ì Ataques DDoS o DNS por amplificación, como la botnets Mirai,

que dejó fuera de juego varios sitios web globales.

Ì Ataques por fuerza bruta de interceptación de contraseñas y envío de spam.

La información sobre el estado y la amenaza de la botnets se envía, a través de Security

Heartbeat, a Sophos XG Firewall, que aísla automáticamente el dispositivo en peligro

retirándole el acceso a la red. Esto impide que el malware de la botnets se comunique con

su servidor de comando y control para recibir más instrucciones. También evita que se

produzcan más infecciones por medio de este dispositivo inicial.

Security Heartbeat también comparte esta información con Sophos Encryption, que revoca

las claves de cifrado del equipo afectado hasta que se resuelva el problema para impedir el

robo de datos.

Todo este proceso, desde la detección hasta el aislamiento y la eliminación de claves, se

produce de forma instantánea y reduce el tiempo de respuesta de horas a segundos.

Una vez que se han aislado todos los equipos afectados para que la botnets no pueda

usarlos, nuestra protección para endpoints elimina automáticamente el malware de la

misma.

Después de que los sistemas se hayan devuelto automáticamente a su estado limpio

inicial, el administrador de TI puede restaurar el estado del endpoint a VERDE. Esta

información se comparte instantáneamente con el resto del sistema de seguridad a través

de Security Heartbeat. XG Firewall restaura el acceso de red al dispositivo, se devuelven las

claves de cifrado y la red queda liberada de la botnets.



RansomwareEl ransomware es un gran negocio. Representa hasta el 35% de todas las amenazas

informáticas del mundo, y un buen atacante puede ganar hasta 400.000 dólares al mes.

El ransomware suele llegar por correo electrónico. Tan pronto como el usuario desprevenido

abre el correo electrónico y activa el ransomware, la tecnología antiransomware de Sophos

Intercept X detiene el ataque en ordenadores, portátiles y servidores, mientras que Sophos

Mobile protege los dispositivos móviles.

Gracias a la seguridad sincronizada, el estado de los dispositivos en riesgo cambia a ROJO en

Sophos Central. Este cambio de estado, así como la información sobre la amenaza asociada,

se envía a través de Security Heartbeat a Sophos XG Firewall, que aísla automáticamente

el dispositivo infectado retirándole el acceso a la red. Esto impide que el ransomware se

comunique con el servidor de comando y control y evita infecciones adicionales.

Simultáneamente, Security Heartbeat se pone en contacto con Sophos Encryption, que revoca

las claves de cifrado del equipo afectado hasta que se resuelva el problema. De forma similar al

proceso de las botnets, el tiempo total desde la detección hasta el aislamiento y la eliminación

de claves es instantáneo, lo que reduce el tiempo de respuesta de horas a segundos.

Una vez finalizada la limpieza, el administrador de TI puede volver a establecer el estado del

endpoint en VERDE, cambio que se comparte inmediatamente con el resto del sistema de

seguridad a través de Security Heartbeat. XG Firewall restaura el acceso de red al dispositivo,

se devuelven las claves de cifrado y el usuario vuelve a estar en marcha.

Todo esto sucede de forma automática e instantánea. No necesita hacer absolutamente nada.

Resumen El crecimiento de los ataques complejos y coordinados está dejando atrás la capacidad de

protegerse de la mayoría de organizaciones. Los departamentos de TI están sobrecargados y a

duras penas pueden responder con la rapidez necesaria a las amenazas que se infiltran en su

infraestructura informática en constante expansión.

Seguir gestionando productos de seguridad independientes incrementa el riesgo para las

empresas. A menos que se produzca un cambio claro en el enfoque a la seguridad TI, la

situación no hará más que empeorar.

La seguridad sincronizada posibilita un sistema de seguridad excepcional en que productos

integrados comparten dinámicamente información sobre amenazas, estados y seguridad, a fin

de proporcionar una protección mejor y más rápida contra amenazas avanzadas. Ofrece una

protección y una facilidad de uso inigualables, que simplifican la vida a los profesionales de la

seguridad TI de hoy.

Para obtener más información y probar la seguridad sincronizada, visite

es.sophos.com/heartbeat.


Seguridad sincronizadaMás información en es.sophos.com/heartbeat

¹ Global Web Index, 18 de febrero de 2016

² UK Business Insider, agosto de 2015

³ CNBC, febrero de 2016

⁴ ESG Brief, Cybersecurity Skills Shortage: A State of Emergency, febrero de 2016

Ventas en EspañaTeléfono: (+34) 913 756 756Correo electrónico: [email protected]

© Copyright 2016-17. Sophos Ltd. Todos los derechos reservados.Constituida en Inglaterra y Gales bajo el número de registro 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Reino UnidoSophos es la marca registrada de Sophos Ltd. Todos los demás productos y empresas mencionados son marcas comerciales o registradas de sus respectivos propietarios.

17-02-15 WPES (DD-2560)

Ventas en América LatinaCorreo electrónico: [email protected]

seguridad sincronizada: una revolución en la protección ... · para el futuro de la seguridad,...

Documents