Garantizar la continuidad del negocio reduciendo el malware …



A continuación, le mostramos cómo los CISO y los equipos de operaciones de seguridad de TI pueden abordar mejor los desafíos clave para el monitoreo de la red que podrían aumentar el tiempo de permanencia del malware.

Los ataques de malware cuestan a las empresas estadounidenses 2,6 millones de dólares por empresa en promedio, y esa cantidad está aumentando, según un Informe 2019 de Accenture Safety y el Ponemon Institute. Parte de la razón de este aumento es el creciente número de puntos ciegos de la crimson: los CISO y los equipos de seguridad no pueden ver ciertas partes de la purple, por lo que si el malware logra pasar las defensas del perímetro, puede quedarse sin ser detectado y causar estragos. . Estos puntos ciegos se ven agravados por un modelo de purple híbrida A medida que las aplicaciones se trasladan a una nube pública o las empresas implementan la virtualización, la red se vuelve más compleja, la visibilidad se vuelve limitada y el monitoreo de la seguridad se vuelve más difícil.

Afortunadamente, informes recientes muestran que este problema parece estar mejorando, y las organizaciones logran disminuir constantemente el tiempo de permanencia del malware. Los «Informe de investigaciones de filtración de datos de 2020«(DBIR) de Verizon descubrió que más del 60% de las infracciones de datos se descubrieron en días o menos. Esa es una mejora alentadora con respecto a años anteriores, pero más de una cuarta parte de las infracciones aún tardan meses o más en detectarse, por lo que todavía hay más trabajo para acabar.

Sin embargo, al mismo tiempo, están proliferando los proyectos de transformación electronic y los paradigmas basados ​​en la nube o inteligentes en la nube, lo que complica la supervisión y la visibilidad. Si el equipo de seguridad no se mantiene al día con la creciente complejidad de la pink, corre el riesgo de perder las ganancias recientes.

A continuación, se explica cómo los CISO y los equipos de operaciones de seguridad de TI pueden abordar mejor algunos de los desafíos clave para el monitoreo de la pink que amenazan con aumentar el tiempo de permanencia del malware.

1. Visibilidad del tráfico este-oeste
El tráfico de este a oeste (es decir, dentro de un centro de datos) ha aumentado en los últimos años a medida que las aplicaciones se han vuelto de múltiples niveles y más intensivas en computación, las redes se han vuelto más virtualizadas para admitir más máquinas virtuales y la cantidad de transacciones e intercambios en una dirección este-oeste ha aumentado. Esto está sucediendo en muchos sectores, incluidos los servicios financieros, los proveedores de servicios y el comercio minorista. El cambio está dificultando el monitoreo: ¿dónde se conecta la crimson sin conexiones y dispositivos físicos?

Pero obtener acceso a este tráfico es esencial porque permite que las herramientas de seguridad detecten un comportamiento inusual de la purple que puede indicar una brecha de seguridad. El acceso al tráfico de este a oeste revela qué direcciones IP se comunican entre sí, cuándo se realizan estas conexiones, etc. Esta información permite que los analistas o las herramientas de seguridad basadas en el comportamiento generen alertas para investigar y remediar eventos inusuales de la red (ya sea de forma automática o manual). Por ejemplo, un acceso inusual a la base de datos por parte de una aplicación o una gran descarga de FTP a las 2 a.m. es un evento que debe investigarse. A medida que las empresas se vuelven virtuales y priorizan la nube, tener acceso completo a todo el tráfico de la purple, incluido el tráfico dentro del centro de datos, es vital para mantenerlas seguras.

2. Capacidad para capturar y almacenar datos de pink para análisis forense
Tener acceso a paquetes detallados y datos de flujo antes, durante y después de una violación de seguridad es necesario para que los analistas de seguridad determinen con precisión el alcance de la violación, analicen el daño y descubran cómo prevenirlo en el futuro. La captura y almacenamiento de un banco de datos de purple para este propósito generalmente requerirá recopilar metadatos de crimson y datos de paquetes de elementos físicos, virtuales y nativos de la nube de la crimson implementados en el centro de datos, sucursales y entornos multinube. Obtener esta información requiere una combinación de sondas de crimson físicas y virtuales, intermediarios de paquetes y dispositivos de captura para recopilar y consolidar datos de los distintos rincones de la purple para procesarlos y entregarlos a la pila de herramientas de seguridad. Es igualmente importante que los equipos puedan capturar y almacenar datos de paquetes antes, durante y después de un indicador de compromiso para un análisis forense posterior. Cuanto más fácil sea acceder, indexar y dar sentido a estos datos, más valor proporcionarán.

Si bien es más complejo y difícil obtener esta información de los segmentos virtuales o basados ​​en la nube de la purple, es esencial para mantener la seguridad de las organizaciones. El DBIR de Verizon 2020 descubrió que los ataques dirigidos a aplicaciones world-wide-web estaban involucrados en el 43% de las infracciones, más del doble de lo que eran en 2019. A medida que más flujos de trabajo se trasladen a la nube, los ataques seguirán, por lo que el monitoreo y las defensas deben hacer lo mismo.

3. Reelaboración de políticas de seguridad para trabajadores remotos
Muchos trabajadores del conocimiento siguen trabajando desde casa gracias a COVID-19, y esto ha cambiado significativamente la postura de seguridad de la mayoría de las organizaciones. En el pasado, los equipos de TI y seguridad podían basar las políticas de seguridad en el supuesto de que la mayoría de los usuarios acceden a los recursos a través de la red corporativa mientras están en el sitio, y un pequeño número accede a ella de forma remota. Eso es todo: la mayoría de los usuarios acceden a aplicaciones en la nube o en el centro de datos a través de la World wide web pública. Las empresas han reaccionado flexibilizando las restricciones de seguridad para adaptarse mejor a la oleada de acceso remoto. Eso suaviza la seguridad del perímetro, lo que aumenta la necesidad de detectar y mitigar rápidamente cualquier malware que pueda colarse.

4. Obtener visibilidad en la nube pública
Muchas organizaciones han trasladado aplicaciones a la nube pública para aprovechar su escalabilidad y flexibilidad, pero la falta de visibilidad puede tener un costo. Hasta hace poco, las principales plataformas de nube pública eran cajas negras era posible ver el tráfico que entraba y salía de la nube, pero poco de lo que sucedía en el inside. Sin este acceso al tráfico de la red dentro de AWS, Google Cloud o Azure, los equipos de TI no podrían monitorear los signos de una infracción. Afortunadamente, eso está cambiando, ya que algunos de los principales proveedores de nube agregan funciones que reflejan el tráfico de crimson hacia y desde las aplicaciones de un cliente. Luego, se puede utilizar un intermediario de paquetes digital para reenviar ese tráfico a herramientas de monitoreo de seguridad nativas de la nube. Una fuente puede dirigirse a un dispositivo de captura de paquetes virtual y también para archivar los datos del paquete en el almacenamiento en la nube para cumplimiento y análisis forense.

En resumen, detectar y reducir el tiempo de permanencia del malware en un entorno híbrido requiere acceso al tráfico de crimson completo para todos los segmentos de la red, ya sea en las instalaciones, dentro del centro de datos, dentro de la nube pública o para el acceso de trabajadores remotos. El liderazgo de operaciones e infraestructura de TI debe incluir la inteligencia de tráfico de crimson en su lista y reservar una parte de su presupuesto de seguridad para la instrumentación de purple adecuada.

Brendan O&#39Flaherty se desempeña como director ejecutivo de cPacket Networks y tiene más de 20 años de experiencia ejecutiva y de liderazgo. Antes de unirse a cPacket, Brendan fue presidente y director de operaciones de Massana Semiconductor, donde dirigió una adquisición exitosa … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique