Más allá de los sospechosos habituales (supervisión de ataques, parches de vulnerabilidades y comprobaciones periódicas de copias de seguridad), ¿qué más podemos hacer para protegernos contra el ransomware? Muchas tecnologías han sido anunciadas como la bala de plata para detener estas amenazas, pero apenas han demostrado su valía.
La inteligencia artificial y el aprendizaje automático se han discutido durante años en el mundo de la seguridad informática, y hay algunas aplicaciones de la tecnología que son útiles. Pero, en mi opinión, la tecnología todavía es embrionaria y cuando se emplea para la detección de amenazas más allá de un alcance limitado, puede crear una falsa sensación de seguridad y conducir a la autocomplacencia.
Es difícil atravesar la exageración tecnológica y el marketing para descubrir las tecnologías y metodologías que podrían cumplir sus promesas. Estas son algunas de las tácticas de protección contra ransomware que estoy vigilando.
De lo viejo a lo nuevo
La antigua forma de pensar en la seguridad cibernética era imaginarla como un castillo. Tienes el vasto perímetro, los muros del castillo, y dentro estaba el torreón, donde vivirían los empleados y los datos.
Pero ahora las organizaciones están operando en varios lugares. Tienen su propiedad en la nube en uno o más proveedores, el código fuente reside en otra ubicación y una gran cantidad de dispositivos de trabajo que ahora ya no están detrás de los muros del castillo, sino en las casas de los empleados: la lista podría continuar para siempre.
Estas son todas las áreas que potencialmente podrían ser violadas y utilizadas para obtener inteligencia sobre el negocio. La superficie de ataque está creciendo y el muro del castillo ya no puede rodear todos estos lugares para protegerlos.
La gestión de la superficie de ataque jugará un papel importante para abordar este problema. Permite que los equipos de seguridad y TI visualicen prácticamente las partes externas del negocio e identifiquen objetivos y evalúen los riesgos en función de las oportunidades que presentan a un atacante malicioso. Frente a una superficie de ataque en constante crecimiento, esto puede permitir que las empresas establezcan un enfoque de seguridad proactivo y adopten principios como la suposición de incumplimiento y la resistencia cibernética.
Lo siguiente son las arquitecturas de malla de seguridad. Esto lleva una estrategia de defensa en profundidad al siguiente nivel. En lugar de que cada herramienta se ejecute en un silo, una red de seguridad cibernética permite que las herramientas interoperen y hablen entre sí, intercambiando información de seguridad y telemetría. Por ejemplo, si ocurre algo malicioso en un almacén de identidad o si se pone a disposición nueva información sobre amenazas, las diferentes tecnologías implementadas pueden cambiar su postura según la información relevante.
Es un desafío interesante descubrir cómo podemos hacer que todo funcione entre sí, además de cambiar dinámicamente. Si bien siento que estamos a un par de años de esta llegada a la madurez, la idea de que la política, la inteligencia, la identidad, la interoperabilidad y todas esas partes de la seguridad cibernética se unen en un concepto para colaborar podría cambiar el juego. Hemos visto el comienzo de esto con tecnologías como SOAR, Open Policy Agent y Kyverno, pero esto es solo el comienzo.
Pero ¿y ahora?
Estas tecnologías son algo en un futuro lejano. Pero algo que los equipos de seguridad y TI pueden, y deben, analizar ahora es la administración de acceso privilegiado. Soy un gran creyente de que todos deben tener algún tipo de identidad controlada en la red corporativa. Sin embargo, no todos tienen que ser administradores y, si todos lo son, entonces es mucho, mucho más fácil que prolifere el ransomware.
Debe asegurarse de tener una separación entre los entornos y los usuarios con privilegios altos y privilegios bajos. Si bien esto puede parecer lo básico, una vez que tenga esto en su lugar, puede comenzar a pensar en implementar algo más complejo, como la administración de la superficie de ataque o las arquitecturas de malla, más adelante.
Paul Lewis es director de seguridad de la información en Nominet