Cinco consejos para prepararse frente a un ataque
Josué Hernández, Security Architect en Sourcefire México, expone cómo los atacantes están pasando por alto capas actualizadas de los productos de seguridad de red y el punto final para ejecutar sus misiones; por ello asegura, la preparación para un ataque debe incluir contener los daños y restaurar los sistemas con mayor rapidez a los estados de confianza. Además proporciona los siguientes consejos para ayudar a las organizaciones a prepararse mejor en caso de un ataque:
1. Adoptar un enfoque centrado en la amenaza a la seguridad. Los atacantes no discriminan y se aprovecharán de cualquier brecha en la protección de llegar a su objetivo final. Usted necesita soluciones que aborden la amplia red – la protección de puntos finales, los entornos móviles y virtuales. Deben compartir la inteligencia de un modo continuo y deberán abarcar el ataque completo antes, durante y después. Busque tecnologías que vayan más allá de la detección de punto en el tiempo y el bloqueo para incluir una capacidad continua, siempre observando y sin olvidar, para poder mitigar el daño una vez que un atacante entra.
2. Automatizar la seguridad tanto como sea posible. Herramientas que pueden identificar de manera inteligente y alertar automáticamente sólo en los eventos de seguridad pertinente pueden salvar a los equipos de seguridad de horas investigando los eventos que no son amenazas reales. Además, la posibilidad de aplicar y ajustar automáticamente las políticas y normas de seguridad para mantener el ritmo del cambiante panorama de amenazas y la evolución del entorno de TI minimiza el riesgo de exposición a las amenazas y vulnerabilidades.
3. Apalancamiento de seguridad retrospectiva. Las amenazas modernas son capaces de disfrazarse como seguras, pasar desapercibidas a través de las defensas sin ser detectadas y posteriormente mostrar un comportamiento malicioso. Se puede buscar tecnologías que aborden esta situación mediante la supervisión continua de archivos considerados originalmente “seguros” o “desconocidos” y permitiéndole aplicar la seguridad retrospectiva – la capacidad de identificar rápidamente el alcance, seguimiento, investigar y remediar si estos archivos se determinaron posteriormente como maliciosos.
4. Perfeccionar los procesos de respuesta incidental. En el informe de fuga de datos de Verizon 2013, se encontró que el 22% de los incidentes investigados tomaron meses para contener la infracción. Cada organización debe tener un equipo designado de respuestas a incidentes aunque no de tiempo completo, pero que esté capacitado para comunicar y responder a los eventos de seguridad. El equipo tiene que estar respaldado por políticas y procesos documentados. Por ejemplo, una política de INFOSEC se debe poner en marcha para asegurarse de que está protegiendo los datos correctos. Un Runbook de respuesta a incidentes con instrucciones claras paso a paso para el equipo a seguir en caso de un ataque, incluida la notificación de incidentes y una colaboración de llamadas, conduce a una mejor, rápida y más precisa contención y remediación. Por último, la revisión de programas sistemáticos de forma trimestral puede asegurarse de que sus políticas, configuraciones y reglas de funcionamiento están protegiendo su organización, según sea necesario.
5. Enseñar a los usuarios y al personal de seguridad de TI sobre las amenazas más recientes. El mismo informe de Verizon encontró que “las técnicas dirigidas a los usuarios – como malware, phishing y el uso indebido de las credenciales – son las principales vulnerabilidades”. Instruir a los usuarios para que conozcan estas técnicas y poner en marcha las políticas para restringir el comportamiento del usuario, puede ayudar mucho hacia la prevención de los ataques maliciosos que a menudo se basan en métodos relativamente simples. Las organizaciones también deben comprometerse a mantener a su personal altamente capacitado en el panorama actual de las amenazas. El desarrollo profesional continuo con un enfoque específico en la capacidad de identificar un incidente, clasificarlo, contenerlo y eliminarlo, ayudará a mantener los equipos de seguridad al tanto de las últimas técnicas utilizadas por los atacantes para ocultar las amenazas, filtrar datos y establecer cabezas de playa para futuros ataques.
Cada organización debe enfrentar el hecho de que las infracciones pueden ocurrir y ocurren. Si bien es importante seguir reforzando las defensas, tenemos que aumentar nuestra capacidad de recuperación frente a los ataques implacables. Las mejores preparaciones requieren un enfoque integral que incluye las tecnologías, procesos y la gente detrás de ellos, para que las organizaciones puedan tomar la acción correcta rápidamente cuando un ataque ocurre.
