Ciber-resiliencia: el facilitador de la Transformación Digital

Ovanes Mikhaylov Responsable de desarrollo de negocio para el sur de Europa, VMray

A menudo no hay suficiente tiempo para evaluar a fondo los riesgos cibernéticos que vienen con los nuevos procesos y revisar los planes de seguridad existentes. Muchas organizaciones simplemente asumen que las medidas de seguridad existentes seguirán ofreciendo suficiente protección después de todas las inversiones hechas en los últimos años ¿verdad?

Tenemos varias capas de defensa, que consta de firewall, WAF, SEG, Anti-spam, protección contra phishing, soluciones antivirus en los puntos finales, un VPN para acceso remoto... y, a pesar de todo esto, un día descubren que el malware avanzado ha entrado en su red. ¿Cómo puede ser esto?

De hecho, casi todas las organizaciones tienen varias tecnologías que pueden detectar malware, pero en la mayoría de los casos, la detección se basa en métodos de análisis estáticos, utilizando firmas, heurística o búsquedas de reputación para determinar la naturaleza del archivo sospechoso.

Las soluciones de análisis estático mantienen bibliotecas grandes y actualizadas regularmente de identificadores únicos ("huellas digitales") para muestras de malware conocidas. Es una manera eficaz de proteger contra el malware que se ha visto antes, pero no contra malware previamente desconocido, o malware avanzado que cambia sus características reconocibles para evadir la detección. Si aún no hay identificadores disponibles o las "huellas digitales" ya no coinciden, la solución de análisis estático no reconocerá el archivo por lo que realmente es.

Lleve la postura de seguridad de la organización al siguiente nivel

Las tecnologías Sandboxing añaden capacidades avanzadas de detección de malware y cierran la brecha "desconocida" que deja el análisis de malware estático.

El principio de funcionamiento de un entorno limitado es simple: el entorno aislado es un entorno aislado, que imita un sistema de usuario final o un servidor y permite que el archivo sospechoso se ejecute y realice todas sus operaciones.

Dado que la detección basada en el comportamiento no depende de firmas, heurística o datos de reputación, los entornos sandbox pueden detectar tipos de malware desconocidos y altamente sofisticados como malware evasivo o ataques dirigidos.

Por lo tanto, las tecnologías de sandbox desempeñan un papel importante en los conceptos maduros de ciberseguridad, pero no todos los sandboxes son iguales, y no todos los sandboxes cumplen con las expectativas de los equipos de seguridad.

Criterios a considerar

• Alta resistencia a la evasión. Las técnicas de evasión son omnipresentes en malware avanzado. Las amenazas están diseñadas para reconocer cuándo se ejecutan dentro de un entorno de análisis y tomarán medidas evasivas para evitar ser detectadas. Para contrarrestar estas técnicas de evasión, es fundamental que los equipos de seguridad se aseguren de que utilizan entornos de análisis que replican con precisión con todo detalle los entornos reales de escritorio y servidor que están protegiendo. Es importante tener atributos pseudoaleatorios como parte del entorno de análisis de destino. Los entornos limitados genéricos que ejecutan entornos de destino estándar idénticos ya no son suficientes. Además, el entorno de análisis debe ser capaz de detectar consultas de entorno e identificar ramas de código oculto.
• Ruido y falsos positivos. Muchas soluciones de espacio aislado ofrecen resultados de análisis que contienen una gran cantidad de ruido de fondo irrelevante. Esto diluye y oscurece la información crítica en la que confían los equipos de seguridad para optimizar la respuesta a incidentes y desencadenar acciones de mitigación. El análisis solo debe capturar señales que sean relevantes para resolver la amenaza, y los informes deben proporcionar resultados inmediatamente procesables legibles por humanos, así como resultados fiables legibles por máquina que se pueden compartir con otros sistemas de seguridad en el entorno de la organización.
• Automatización de procesos de análisis. Las capacidades de automatización son un criterio importante, especialmente cuando los recursos del personal son limitados. La necesidad de intervención humana durante el proceso de detección y análisis debe eliminarse siempre que sea posible. La solución de espacio aislado debe tener una amplia gama de conectores para facilitar la integración con otras soluciones de seguridad. Los resultados del análisis y la inteligencia de amenazas se pueden compartir en todo el entorno de seguridad, aumentando la eficacia de los sistemas que ya están en marcha y protegiendo las inversiones existentes.

• Soporte para requisitos de cumplimiento. Esto es importante en industrias reguladas como la atención médica, las finanzas y el gobierno que están obligadas por la regulación del RGPD y otros requisitos de cumplimiento a tener control sobre dónde residen sus datos. Al decidir por una solución de espacio aislado basada en la nube, las organizaciones deben asegurarse de que se utilizan centros de datos dentro de la unión europea.

 

Es necesario actuar

Las organizaciones del Sector Público y Privado siguen impulsando la Transformación Digital, a menudo a un ritmo acelerado debido a las crisis de COVID. Pero a menudo permanecen inactivos cuando se trata de evolucionar sus conceptos de seguridad existentes para proporcionar el nivel de protección requerido para proteger sus nuevos procesos de negocio digitales. Especialmente las organizaciones que tienen información de identificación personal (PII) o información personal sensible (SPI) están cada vez más dirigidas a sofisticados ciberataques. Sin capacidades avanzadas de detección de malware en su lugar, sólo será cuestión de tiempo hasta que se produzca una infracción.

 

Puedes ver la ponencia de VMray aquí.

Puedes ver la entrevista a Ovanes Mikhaylov aquí.