seguridad sincronizada: una revolución en la protección ... · para el futuro de la seguridad,...
TRANSCRIPT
Monográfi cos de Sophos Febrero de 2017
Seguridad sincronizada: una revolución en la protección contra amenazas
Web Wireless Email EndpointSophosCentral
Encryption Mobile ServerFirewall
Seguridad sincronizada: una revolución en la protección contra amenazas
2Monográficos de Sophos Febrero de 2017
Sección 1: El mundo de ciberriesgos de hoyAumento del número, la complejidad y la sofisticación de los ataquesTodas las empresas, desde las más grandes hasta las más pequeñas, deben vivir y
aprender a prosperar en un mundo en que el ciberriesgo está más presente que nunca.
El nivel de riesgo cada vez es mayor por múltiples razones, entre ellas el crecimiento de
la superficie expuesta a ataques y el aumento de la complejidad y la sofisticación de los
mismos.
Por un lado, los dispositivos móviles y los servicios en la nube son utilizados cada vez
más por los empleados y, por el otro, las organizaciones de todos los tamaños despliegan
infraestructuras virtuales y en la nube. Esto ha hecho crecer de forma espectacular lo que
se denomina la "superficie expuesta a ataques".
Basta ver los datos siguientes:
Ì Dispositivos: el consumidor digital medio posee
actualmente tres dispositivos conectados.¹
Ì Apps: los empleados utilizan, de promedio, 16 apps en la nube en el trabajo,
entre las que Box, SalesForce y Microsoft Office 365 son las más populares.²
Ì Internet de las cosas: Gartner prevé que, en 2020, habrá casi
21.000 millones de "cosas" conectadas a Internet.³
Debido a este aumento de los vectores de ataque, los ataques son cada vez más
numerosos, con más filtraciones conseguidas y más datos perdidos.
Con los kits de herramientas de malware, disponibles comercialmente en el mercado
negro, ahora es posible llevar a cabo ataques cada vez más sofisticados con menos
conocimientos que nunca antes.
Y los ciberdelincuentes están copiando los modelos de negocio basados en la nube
que utilizan organizaciones legítimas para ofrecer malware como servicio (por ejemplo,
ransomware as a service), incluso con garantías de devolución del dinero. Con esto se
reducen aún más las habilidades técnicas necesarias para perpetrar un ciberataque, al
tiempo que las herramientas utilizadas se actualizan constantemente.
El lamentable resultado de todo este desarrollo es que, actualmente, los ciberdelincuentes
actúan con tal rapidez que la mayoría de organizaciones no pueden seguirles el ritmo.
Según el informe de las investigaciones sobre la filtración de datos de Verizon en el 2016:
Ì El hacking y el malware son las dos principales causas de las filtraciones de datos.
Ì Los atacantes se están volviendo aún más rápidos a la hora de comprometer a
sus víctimas; en la mayoría de los casos, tardan días, minutos o incluso menos.
Ì El déficit de detección (es decir, el tiempo entre el compromiso y la detección)
está empeorando y se está tardando más en identificar los ataques.
Asimismo, el informe de Verizon determina que las ganancias económicas son el principal
motivo de más del 80% de estos ataques. Para las pymes, el coste puede ser catastrófico.
Estamos experimentando un aumento de los ataques, cada vez más complejos, y un
incremento de las pérdidas. Tenemos que plantearnos: ¿Qué tenemos que hacer de forma
distinta?
Panorama de amenazas
MiraiRansomware
KovterBotnets
Cerber DDoS
Adfraud
Puerta trasera
LockyIoT
Banca
Programas espía
Keyloggers
TroyanosDescargador
Seguridad sincronizada: una revolución en la protección contra amenazas
3Monográficos de Sophos Febrero de 2017
Equipos pequeños, recursos escasos, mercado laboral limitadoPodría pensarse que la reacción lógica ante el aumento de ataques debería ser dedicar más
efectivos al problema: contratar personal y mejorar la seguridad. Sin embargo, puesto que
muchas empresas cuentan con equipos de seguridad TI pequeños, ampliar o redistribuir los
recursos no es una opción realista para las organizaciones pequeñas o medianas.
Como puede verse en la Figura 1, antes de llegar al entorno de las grandes empresas, los
equipos especializados en seguridad TI son muy limitados en lo que se refiere al tamaño y
los recursos.
Figura 1: Poco personal y recursos limitados en la seguridad informática de pymes (Fuente: Departamento de Seguridad Nacional de los EE. UU., 2014)
Aunque la dirección desee ampliar su equipo de seguridad, esta tiene que lidiar con
otro obstáculo: la grave escasez de recursos en seguridad TI. Según investigaciones de
Enterprise Strategy Group, el 46% de las organizaciones, un porcentaje enorme, creen que
sufren una escasez preocupante en términos de habilidades en ciberseguridad.⁴ Esto, a su
vez, ejerce aún más presión sobre los equipos informáticos existentes, que deben hacer
más con menos.
A pesar de que nos enfrentamos a un número mucho mayor de ataques más sofisticados
(y eficaces) que nunca, no hay suficiente personal cualificado. Las organizaciones que
dependen de los recursos que tienen disponibles están asumiendo un nivel de riesgo
inaceptable.
PE
RS
ON
AL
DE
DIC
AD
O A
SE
GU
RID
AD
TI
100-500 EMPLEADOS
500-1.000 EMPLEADOS
1.000-5.000 EMPLEADOS
5.000-20.000 EMPLEADOS
+20.000 EMPLEADOS
Seguridad sincronizada: una revolución en la protección contra amenazas
4Monográficos de Sophos Febrero de 2017
Sección 2: Enfoques existentes a la seguridadFragmentadas y mal integradas. Complejas y miopes. Desconectadas del contexto
inmediato. Decisiones aisladas. Todas estas descripciones pueden aplicarse a los enfoques
a la seguridad actuales.
Si consideramos la forma en que se ha desarrollado el sector de la seguridad TI, es fácil
entender por qué. Las empresas de seguridad se han centrado en desarrollar productos
individuales que cubren aspectos específicos de la cadena de ataque, en lugar de idear
una solución integral contra los ciberataques a los que todos nos enfrentamos. En
consecuencia, el desafío de integrar productos independientes dispares ha recaído en
los equipos informáticos, ya muy sobrecargados. Es como si los fabricantes de coches
produjeran piezas individuales y luego pidieran a los clientes que las juntaran y crearan el
vehículo.
Los profesionales de seguridad TI han intentado "unir los puntos" entre las fuentes de
datos empleando motores de correlación, centros de macrodatos, sistemas de gestión de
información y eventos de seguridad (SIEM), planes emergentes para compartir información
como STIX y OpenIOC y un gran número de analistas humanos. Sin embargo, incluso con
las herramientas más avanzadas, resulta muy difícil comprender los datos de una variedad
de productos independientes para detectar y remediar rápidamente el riesgo y detener la
fuga de datos.
La correlación entre los eventos y los registros sigue dependiendo de la creación y el
mantenimiento de reglas de correlación complejas, la asignación de campos y la definición
de filtros, así como horas de esfuerzo de analistas altamente capacitados difíciles de
encontrar. SIEM requiere unas inversiones considerables en capital y gastos operativos
permanentes. En lo que se refiere a compartir información, aunque ciertamente sea clave
para el futuro de la seguridad, todavía no ha madurado lo suficiente como para que se
pueda adoptar ya de forma generalizada y sencilla.
Los resultados, o más bien su ausencia, hablan por sí solos. Las pérdidas de datos y los
riesgos siguen aumentando, sin ningún indicio de que vayan a reducirse, y el personal está
sobrecargado. Según un informe reciente de Ponemon Institute, el 74 % de las filtraciones
no se descubren hasta seis meses más tarde.Y lo que es peor, parece que a las empresas
del mid-market les cuesta aún más mitigar los riesgos que a las empresas más grandes
con mejores recursos. Indudablemente, la respuesta no es otro producto independiente
no integrado ni más consolas, más personal o SIEM complejos. Estos enfoques no están
dando resultados. Debemos encontrar un enfoque mejor y más eficaz.
Los atacantes lanzan ataques coordinados contra todo un ecosistema informático, no contra productos específicos individuales.
Seguridad sincronizada: una revolución en la protección contra amenazas
5Monográficos de Sophos Febrero de 2017
Sección 3: Un nuevo enfoque a la seguridad de TIDurante décadas, la industria de la seguridad ha tratado la seguridad de las redes, la
seguridad endpoint y la seguridad de los datos como entidades completamente distintas.
Es como poner tres guardias de seguridad en el edificio – uno en la puerta de entrada, otro
en el interior y otro custodiando la caja fuerte –, pero sin dejar que hablen entre ellos.
Sin embargo, a medida que las amenazas se hacen más complejas y los recursos
informáticos siguen sobrecargándose, ya no es posible mantener este enfoque sin poner en
riesgo su protección.
La seguridad sincronizada constituye un sistema de seguridad excepcional en que
productos integrados comparten dinámicamente información sobre amenazas, estados
y seguridad. El resultado es una protección mejor y más rápida frente a amenazas
avanzadas. Es como dar a cada uno de esos guardias un smartphone para que puedan
comunicarse entre ellos y coordinar sus actividades a fin de evitar cualquier amenaza.
Es un concepto sencillo a la vez que revolucionario. Para conseguir la seguridad
sincronizada, se necesitan tres cosas:
1. Un sistema de seguridad central La base del enfoque sincronizado es una plataforma de seguridad central que cuenta
con el contexto sobre seguridad y amenazas de todos los dispositivos y datos. Debe
ser fácil de utilizar y permitirle gestionar todo su sistema de protección desde un único
lugar. Ya no tendrá que pasar constantemente de una consola a otra, con lo que podrá
ahorrar tiempo y esfuerzo todos los días.
2. Tecnología de última generación La sincronización no debe ser a expensas de la exhaustividad de la protección. Cada
uno de los componentes de seguridad debe contar con la tecnología de prevención de
amenazas más moderna para que pueda disfrutar de la protección más avanzada en
todo momento.
3. Protección inteligente
El sistema de seguridad debe permitir que las tecnologías de seguridad compartan
información y automaticen la respuesta, así como aislar en tiempo real cualquier
dispositivo infectado para impedir tanto la pérdida de datos como la propagación de la
infección en su empresa. El resultado es una protección inigualable frente a amenazas
complejas y avanzadas.
Soluciones de seguridad de varios niveles de hoy en día
Seguridad sincronizada
Centradas en la amenaza, operan sin tener en cuenta los objetos o los eventos próximos
Centradas en el ecosistema, operan plenamente conscientes de los objetos y los eventos próximos
Productos independientes especializados Productos coordinados
Necesitan más personal para ser eficacesSon eficaces gracias a la automatización y la innovación; no requieren más personal
Gestión de cifrado independienteProtección de cifrado integrada que responde ante las amenazas de forma automática
Complejas Sencillas
Figura 2: Las soluciones actuales deben cambiar drásticamente
Seguridad sincronizada: una revolución en la protección contra amenazas
6Monográficos de Sophos Febrero de 2017
Sección 4: El enfoque de SophosSophos ha sido el precursor del enfoque a la seguridad sincronizada. Según IDG, "ninguna
empresa está cerca de proporcionar este tipo de comunicación entre productos de
seguridad para endpoints y redes". ¿Cómo lo hacemos?
A través de Sophos Central, nuestra galardonada plataforma de seguridad, puede gestionar
todo su sistema de seguridad Sophos desde un único lugar: endpoints, dispositivos
móviles, servidores, Internet, correo electrónico, redes inalámbricas, cifrado y firewalls.
La diferencia entre la seguridad sincronizada y una consola de administración central es
abismal. Según explica Gartner, la seguridad sincronizada es integración a nivel de política,
mientras que una consola central es simplemente integración a nivel de interfaz.
Web Wireless Email EndpointSophosCentral
Encryption Mobile ServerFirewall
Figura 3: Seguridad sincronizada con Sophos
Nuestros productos incorporan tecnología de última generación, de modo que dispone
en todo momento de la protección antiransomware, antivulnerabilidades, antimalware y
ATP más moderna en todos sus dispositivos y datos. Estos son algunos de los premios del
sector y reconocimientos de analistas que hemos recibido recientemente:
Ì Único proveedor nombrado líder en los Cuadrantes mágicos de UTM
y plataformas de protección para endpoints de Gartner.
Ì Mejor firewall de 2016 de Computing
Ì Estrella revelación en Forrester Encryption Wave 2016
Ì Premio a la excelencia en cifrado y firewall de red de SC Magazine
Ì Mejor seguridad para Android 2016 de AV Test
La seguridad sincronizada es posible gracias a nuestra función patentada Security
Heartbeat™, un enlace de comunicación seguro entre los productos Sophos que
les permite compartir información sobre amenazas, estados y seguridad, así como
automatizar la respuesta a las amenazas. Docenas de tecnologías funcionan en armonía
con el fin de proporcionar la mejor protección del mundo contra ataques coordinados.
Sophos Security Heartbeat reduce la detección de amenazas, protección y respuesta a
incidentes, que normalmente tardarían horas, días o semanas, a literalmente segundos.
Seguridad sincronizada: una revolución en la protección contra amenazas
7Monográficos de Sophos Febrero de 2017
Sección 5: Seguridad sincronizada: Detener las amenazas actualesPara ilustrar mejor la efectividad de la seguridad sincronizada, veamos cómo funciona en el
mundo real con ejemplos de algunas de las amenazas más extendidas en la actualidad: las
botnetss y el ransomware.
BotnetsLas botnets, que permiten a los hackers controlar una red de dispositivos inocuos para
llevar a cabo ciberataques coordinados, son actualmente una de las cinco principales
amenazas de seguridad a escala internacional a las que nos enfrentamos. Se utilizan para
muchos ataques diferentes, entre ellos:
Ì La generación de criptomonedas, que rastrea nueva moneda online.
Ì Robos de datos a través de sistemas de venta, como ocurrió con Target.
Ì Ataques DDoS o DNS por amplificación, como la botnets Mirai,
que dejó fuera de juego varios sitios web globales.
Ì Ataques por fuerza bruta de interceptación de contraseñas y envío de spam.
La información sobre el estado y la amenaza de la botnets se envía, a través de Security
Heartbeat, a Sophos XG Firewall, que aísla automáticamente el dispositivo en peligro
retirándole el acceso a la red. Esto impide que el malware de la botnets se comunique con
su servidor de comando y control para recibir más instrucciones. También evita que se
produzcan más infecciones por medio de este dispositivo inicial.
Security Heartbeat también comparte esta información con Sophos Encryption, que revoca
las claves de cifrado del equipo afectado hasta que se resuelva el problema para impedir el
robo de datos.
Todo este proceso, desde la detección hasta el aislamiento y la eliminación de claves, se
produce de forma instantánea y reduce el tiempo de respuesta de horas a segundos.
Una vez que se han aislado todos los equipos afectados para que la botnets no pueda
usarlos, nuestra protección para endpoints elimina automáticamente el malware de la
misma.
Después de que los sistemas se hayan devuelto automáticamente a su estado limpio
inicial, el administrador de TI puede restaurar el estado del endpoint a VERDE. Esta
información se comparte instantáneamente con el resto del sistema de seguridad a través
de Security Heartbeat. XG Firewall restaura el acceso de red al dispositivo, se devuelven las
claves de cifrado y la red queda liberada de la botnets.
Seguridad sincronizada: una revolución en la protección contra amenazas
8Monográficos de Sophos Febrero de 2017
RansomwareEl ransomware es un gran negocio. Representa hasta el 35% de todas las amenazas
informáticas del mundo, y un buen atacante puede ganar hasta 400.000 dólares al mes.
El ransomware suele llegar por correo electrónico. Tan pronto como el usuario desprevenido
abre el correo electrónico y activa el ransomware, la tecnología antiransomware de Sophos
Intercept X detiene el ataque en ordenadores, portátiles y servidores, mientras que Sophos
Mobile protege los dispositivos móviles.
Gracias a la seguridad sincronizada, el estado de los dispositivos en riesgo cambia a ROJO en
Sophos Central. Este cambio de estado, así como la información sobre la amenaza asociada,
se envía a través de Security Heartbeat a Sophos XG Firewall, que aísla automáticamente
el dispositivo infectado retirándole el acceso a la red. Esto impide que el ransomware se
comunique con el servidor de comando y control y evita infecciones adicionales.
Simultáneamente, Security Heartbeat se pone en contacto con Sophos Encryption, que revoca
las claves de cifrado del equipo afectado hasta que se resuelva el problema. De forma similar al
proceso de las botnets, el tiempo total desde la detección hasta el aislamiento y la eliminación
de claves es instantáneo, lo que reduce el tiempo de respuesta de horas a segundos.
Una vez finalizada la limpieza, el administrador de TI puede volver a establecer el estado del
endpoint en VERDE, cambio que se comparte inmediatamente con el resto del sistema de
seguridad a través de Security Heartbeat. XG Firewall restaura el acceso de red al dispositivo,
se devuelven las claves de cifrado y el usuario vuelve a estar en marcha.
Todo esto sucede de forma automática e instantánea. No necesita hacer absolutamente nada.
Resumen El crecimiento de los ataques complejos y coordinados está dejando atrás la capacidad de
protegerse de la mayoría de organizaciones. Los departamentos de TI están sobrecargados y a
duras penas pueden responder con la rapidez necesaria a las amenazas que se infiltran en su
infraestructura informática en constante expansión.
Seguir gestionando productos de seguridad independientes incrementa el riesgo para las
empresas. A menos que se produzca un cambio claro en el enfoque a la seguridad TI, la
situación no hará más que empeorar.
La seguridad sincronizada posibilita un sistema de seguridad excepcional en que productos
integrados comparten dinámicamente información sobre amenazas, estados y seguridad, a fin
de proporcionar una protección mejor y más rápida contra amenazas avanzadas. Ofrece una
protección y una facilidad de uso inigualables, que simplifican la vida a los profesionales de la
seguridad TI de hoy.
Para obtener más información y probar la seguridad sincronizada, visite
es.sophos.com/heartbeat.
Seguridad sincronizada: una revolución en la protección contra amenazas
Seguridad sincronizadaMás información en es.sophos.com/heartbeat
¹ Global Web Index, 18 de febrero de 2016
² UK Business Insider, agosto de 2015
³ CNBC, febrero de 2016
⁴ ESG Brief, Cybersecurity Skills Shortage: A State of Emergency, febrero de 2016
Ventas en EspañaTeléfono: (+34) 913 756 756Correo electrónico: [email protected]
© Copyright 2016-17. Sophos Ltd. Todos los derechos reservados.Constituida en Inglaterra y Gales bajo el número de registro 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Reino UnidoSophos es la marca registrada de Sophos Ltd. Todos los demás productos y empresas mencionados son marcas comerciales o registradas de sus respectivos propietarios.
17-02-15 WPES (DD-2560)
Ventas en América LatinaCorreo electrónico: [email protected]