Olvídese de todo. El mundo ha cambiado y ya nada volverá a ser como antes. En nuestra vida personal y en nuestro entorno profesional. Incluso si profundizamos un poco, los modelos de ciberseguridad que se aplican ahora mismo en la mayoría de las organizaciones no sirven para proteger el mundo en el que vivimos.
Gran parte de las soluciones tradicionales de ciberseguridad se centra en detener los ataques de malware, pero las amenazas que sufren las empresas ahora mismo son muy variadas. De hecho, más de la mitad de los ataques sufridos por empresas en 2019 no tenía nada que ver con malware (51% frente a 49% de malware), sino con actividades maliciosas que normalmente una solución de antivirus ni siquiera detecta como peligrosas. Pero incluso en los ataques de malware se utilizan técnicas sin archivos de forma combinada que hacen muy difícil –y en ocasiones imposible- que las soluciones tradicionales sean efectivas en su mitigación.
En un estudio realizado por CrowdStrike sobre amenazas globales, se observa claramente cómo los ataques que no tienen relación con el malware se han convertido uno de los arsenales más poderosos de los cibercriminales. Sin embargo, seguimos observando cómo la mayoría de los equipos de seguridad de las empresas no están preparados para combatir ataques desconocidos y responder de forma efectiva.
Los denominados ataques no-malware pueden provenir de diferentes fuentes, en distintos formatos y en diversos tamaños. Pueden ser ataques que comprometen el sistema a partir de un proceso legítimo, secuestrando los activos de la organización y provocando que realicen tareas perversas. Este tipo de ataques sucede a partir del uso de herramientas disponibles en el sistema operativo, como PowerShell o alguna otra similar. Si toma el control de la herramienta de script, el atacante puede llevar a cabo diferentes acciones de reconocimiento y de persistencia para centrarse después en su verdadera meta, ya sea la destrucción o la extracción de datos sensibles. Precisamente por esto, es muy importante que este tipo de ataques se detecte y remedie antes de que se conviertan en un incidente grave.
Índice de temas
Los enfoques tradicionales ya no sirven
Si echamos un vistazo a las soluciones tradicionales de ciberseguridad, los antivirus, se diseñaron para comparar archivos sospechosos con las firmas de malware conocido. Hoy en día, es muy fácil que el malware que llega a nuestro dispositivo no esté en ningún fichero de firmas. Además, está más que demostrado que la mayoría de las soluciones estándar de antivirus reduce el rendimiento de las máquinas y encima no detecta muchas de las intrusiones que llegan.
Las listas blancas o el control de aplicaciones son también enfoques muy extendidos en los que, por una parte, se incorporan en un listado todos los procesos correctos para evitar que se ejecuten procesos desconocidos y, por otra, se asegura que solamente se ejecutan las versiones autorizadas de las aplicaciones necesarias. Las técnicas de ataque libres de malware se centran en comprometer precisamente programas legítimos, por lo que estas estrategias de seguridad poco pueden hacer para evitarlos. Además, si pensamos que algunas organizaciones utilizan miles de versiones de cientos de aplicaciones, controlar mediante listas blancas la seguridad de la organización puede convertirse en una tarea demasiado ardua.
Algunas empresas confían solamente en indicadores de compromiso, algo completamente desaconsejable porque esta metodología solo rastrea archivos maliciosos conocidos, de igual manera que los antivirus. Los indicadores se comparten una vez que se descubre un incidente, pero los ciberdelincuentes suelen modificar sus armas de manera frecuente justo para evitar ser detectados tan fácilmente. Aunque funcionan de manera similar, los indicadores de ataque son mucho más efectivos, ya que detectan los intentos del delincuente sin importar el tipo de malware o exploit utilizado.
Finalmente otro de los enfoques tradicionales en la seguridad corporativa involucra al sandboxing, que puede tomar diferentes formas como detonación basada en la red o microvirtualización. El problema en este caso es que los ciberdelincuentes atacan a procesos legítimos, por lo que las técnicas de sandboxing ignorarán las acciones del atacante.
Cloud, indicadores de ataque y capacidad de respuesta 24/7
Entonces, ¿qué debo hacer para que mi empresa esté correctamente protegida? Esa será la pregunta que muchos ejecutivos se hagan llegados a este punto. La respuesta es todo lo sencilla que nos permite la época en la que estamos viviendo ahora mismo.
Lo primero que deben hacer las empresas es confiar en soluciones avanzadas de ciberseguridad que tengan como objetivo detener una brecha y no solamente un virus o un simple malware. Este tipo de soluciones son muy sencillas de integrar, desplegar y mantener en un entorno tan sofisticado y tan diferente al que estábamos acostumbrados. La posibilidad de evitar que un atacante pueda reconocer la red, robar credenciales y moverse libremente por la infraestructura corporativa solo puede ocurrir cuando se detecta la brecha y se detiene antes de que se produzca un robo o la destrucción de algún activo. Solamente con una solución suficientemente preparada para tomar decisiones en segundos, sin importar el tipo de brecha que ocurra, podremos evitar la catástrofe. Y una solución preparada precisa de una arquitectura 100% en la nube, un enfoque basado en indicadores de ataque y monitorización y respuesta 24/7.
Las tecnologías actuales de detección de amenazas dependen de la recogida masiva de datos desde los dispositivos, enriquecidos con contexto para obtener patrones de ataque. Si nos centramos en las técnicas y los procesos del delincuente, podremos saber quién es el adversario, qué está intentando lograr y por qué atenta contra nosotros. Con la recogida de los indicadores de ataque se podrán visualizar las actividades en tiempo real y reaccionar en el momento. Y mediante la automatización y con soluciones fáciles de uso que sean suficientemente flexibles como para poder revisar constantemente la postura que adoptamos en materia de seguridad lograremos la proactividad necesaria para adelantarnos a lo que pretende el ciberdelincuente y cerrarle todas las puertas de nuestra empresa antes de que intente entrar.
