OpiniónSeguridad

¿Cómo proteger tu empresa de una forma proactiva?

Las empresas están cada vez más expuestas a nuevas amenazas dirigidas. El malware, el ransomware y el phishing se basan en técnicas avanzadas y, a menudo, utilizan el DNS para la exfiltración de datos. Necesitamos un enfoque proactivo basado en la nube.

Por Francisco Arnau Responsable de Akamai España y Portugal

El problema de la seguridad y protección de datos, aplicaciones y credenciales está cada vez más entre las prioridades, no solo de los CSO y CIOS, sino también de los CEO. Esta preocupación se ha incrementado aún más en los últimos meses ya que las compañías han aumentado sus riesgos con la generalización del teletrabajo. Al mismo tiempo, los ciberdelincuentes también están más atentos para poder explotar temas relacionados con la pandemia para lanzar nuevos ataques.

En esta línea, las amenazas dirigidas, como malware, ransomware, phishing y exfiltración de datos, están en constante evolución y son capaces de identificar brechas en los sistemas de seguridad corporativos. Muchas amenazas, por ejemplo, utilizan el sistema de nombres de dominio (DNS) para extraer datos confidenciales de las organizaciones y hacerlas aún más vulnerables.

Como sabemos, la mayoría de las acciones realizadas en Internet comienzan con una solicitud de DNS (Sistema de nombres de dominio), que traduce efectivamente los nombres de dominio en direcciones IP. Esto facilita la vida de los usuarios y su capacidad de acceder rápidamente a la información, recordando nombres en lugar de números, pero precisamente esta característica expone a una serie de riesgos. El DNS en sí mismo no tiene "inteligencia" y, en consecuencia, resuelve las solicitudes de dominios tanto inofensivos como dañinos.

Los ciberdelincuentes aprovechan esta vulnerabilidad, por ejemplo, utilizando DNS recursivo (rDNS) para lanzar campañas maliciosas de malware y ransomware, así como ataques de phishing y procedimientos de exfiltración de datos contra empresas. En un escenario como el actual en el que los usuarios, con sus dispositivos, aplicaciones y datos están llamados a operar fuera del perímetro (EDGE) y área de control tradicional de la empresa, la superficie empresarial sujeta a ataques está destinada a expandirse cada vez más.

El enfoque de Confianza Cero (Zero Trust), incluso en estos casos, es particularmente importante al examinar los riesgos a los que están expuestos los usuarios y los dispositivos a través de las solicitudes de DNS salientes. Dado que cada solicitud web que proviene de la empresa comienza con DNS, DNS es el punto de control perfecto para garantizar la visibilidad de las solicitudes web en toda la empresa y para hacer cumplir las políticas de seguridad. Y dado que la validación tiene lugar antes de que se realice la conexión IP, al intervenir en esta fase las amenazas pueden detenerse de forma preventiva en la cadena de seguridad, por lo tanto, lejos del “perímetro” de la empresa.

Cuando se descubre un ataque o una vulnerabilidad, los equipos de TI se enfrentan a la inevitable tarea de implementar un plan de defensa, de forma rápida y a nivel empresarial, pero sin una solución basada en la nube, esto podría implicar grandes esfuerzos para encontrar la mejor solución de software, adecuar o mantener los dispositivos de hardware necesarios, y no todas las empresas cuentan con los recursos y sobre todo las habilidades adecuadas para hacerlo.

No solo eso, a pesar de que se asignan recursos para supervisar y analizar constantemente los registros DNS, puede ser difícil, por ejemplo, para una pequeña empresa, identificar amenazas a partir de un número bajo de solicitudes, razón que empuja a adoptar cada vez más servicios en la nube. También es necesario evaluar otro aspecto. Hoy en día, las amenazas dirigidas continúan evolucionando a medida que las empresas reaccionan a los ataques. Los ciberdelincuentes utilizan cada vez más el DNS recursivo (rDNS) para penetrar en los perímetros de seguridad y aprovechar las vulnerabilidades de la infraestructura.

Un ejemplo simple: cuando un dispositivo en la red se infecta, el malware generalmente reenvía una solicitud al servidor de Comando y Control (C2C) para obtener más instrucciones. Dado que el tráfico de DNS no está filtrado y está abierto, las consultas maliciosas no se verifican y evaden las medidas de seguridad a nivel de red. A través de este "túnel de DNS", los atacantes exfiltran información confidencial y propiedad intelectual.

El problema del phishing está estrechamente relacionado con la protección de DNS. Sin duda, el primer paso a dar en este sentido está relacionado con la formación del personal, pero no es suficiente.

El phishing sigue siendo hasta la fecha la amenaza interna más frecuente y extendida contra la que luchan las empresas. Las estimaciones de Akamai revelan que el 93% de las infracciones de seguridad de TI son el resultado directo de alguna forma de phishing y el 34% de todos los ataques de phishing están dirigidos específicamente a empresas. De hecho, cada día los empleados, que son más o menos conscientes de los riesgos, ponen a disposición de los usuarios malintencionados información personal y corporativa sensible.

. Los kits industrializados para ataques de phishing están disponibles por unos pocos euros, que ya no solo explotan el correo electrónico, sino también las redes sociales y otros canales de distribución. El phishing está creciendo. Los usuarios generalmente acceden a las redes sociales y aplicaciones de mensajería a través de dispositivos móviles, que generalmente constituyen el eslabón más débil en la estructura de seguridad de una empresa, también porque se utilizan sobre todo "fuera de ese perímetro de la red".

También está claro, en este contexto, que las soluciones de seguridad basadas en la nube son las únicas capaces de supervisar todas las actividades de la red corporativa, independientemente del tipo de dispositivo o del origen de una solicitud. Son capaces de agregar tráfico heterogéneo y generar información global en tiempo real que se puede utilizar de inmediato. Al observar el impacto de las campañas de phishing en varias empresas, la protección basada en la nube puede identificar con precisión aquellas tendencias que una sola empresa puede no ser capaz de detectar.

Por esto, nosotros nos centramos en ofrecer a nuestros clientes un servicio de protección proactiva contra amenazas dirigidas a la empresa, que permita identificar, bloquear y mitigar de manera proactiva las amenazas que provienen de campañas de phishing, kits de phishing, malware, ransomware, exfiltración de datos que explotan DNS avanzado y ataques de 0-day. Un servicio que actúe como una puerta de enlace segura a Internet y permita a los responsables de seguridad de TI corporativos ofrecer a los usuarios, desde cualquier dispositivo y en cualquier red, una conexión segura a Internet en cualquier lugar, eliminando la complejidad asociada a los sistemas de seguridad tradicionales.

Computing 796