Si trabaja en el campo de seguridad de la información lo suficiente, eventualmente llegará a comprender que usted tiene un trabajo que implica, en algún punto de su carrera, cometer un error o pasar por alto algo que derivará en que los datos se vean comprometidos. La falla puede ser pequeña, un momento fugaz en donde el daño sea poco o nada, o podría ser catastrófico y derivar en el escrutinio público y demandas.
Esto puede sonar como una declaración audaz, pero creo que es cierta. Es por eso que intento llevar su atención al hecho de que, sin importar cuánto tiempo, capacidad mental o dinero usted invierta en su red y sistemas, quienes están detrás de las amenazas tienen la capacidad, y harán uso de ella, para causar eventuales estragos en su entorno comercial
Observemos un par de estadísticas de 2019.
- En 2019, el tiempo promedio para identificar una filtración de red fue de 206 días (IBM)
- El ciclo de vida promedio de estas filtraciones en la red persistió por 314 días (IBM)
- 64% de los estadounidenses no han verificado si sus redes se han visto comprometidas (Veronis)
En 2014, Marriot-Starwood sufrió una filtración de datos que comenzó con poner en riesgo los sistemas de reserva, dando a los culpables acceso sin restricciones a los datos de Marriot. Si bien es probable que usted ya haya escuchado sobre este ataque, tenga en cuenta que la filtración no se descubrió hasta 2018. Los protagonistas de estas amenazas tuvieron acceso a los datos personales de más de 500 millones de clientes por cuatro años.
Imagine tener que lidiar con las repercusiones de todos estos clientes y ayudarlos en el amanecer de esta filtración. Desde informar a estas personas y derivar las consultas al soporte de clientes para batallar contra el perjuicio a la reputación de su marca, el impacto es enorme. Sin mencionar la multa de $123 millones por parte de los reguladores de la UE por violaciones a la privacidad, que viene a ser la guinda de la torta.
Aunque aprender la lección puede ser difícil, al parecer: el último mes Marriot divulgó que fue nuevamente víctima de otra filtración de datos, que en esta ocasión afectó a 5.2 millones de registros de usuarios.
Como profesionales de la ciberseguridad, ¿en dónde nos deja la comprensión de que ocurrirán tales amenazas? ¿Deberíamos todos renunciar y decorar pastelitos por el resto de nuestras vidas? ¡No! Ya existe una escasez de profesionales de ciberseguridad en este mundo. Por el contrario, debemos enfocar nuestra comprensión en cómo podemos aprender qué ocurre con nuestras redes, qué no debería estar en nuestras redes y qué herramientas debemos implementar para que podamos descubrir los peligros tan pronto como sea posible.
Procedamos a abordar algunos de los principales desafíos que los equipos de TI y seguridad enfrentaron.
Dificultades informáticas comunes
- TI está adquiriendo más complejidad, con una mezcla creciente de contenedores, nube, dispositivos, implementación ágil, SDN/SDWAN, etc.
- Muchas consolas significan que no es simple aplicar un plan de protección en toda la empresa, mucho menos orquestar o auditarlo todo desde una consola
- Los planes de recuperación ante desastres no existen o nunca se han probado
- Nunca hay suficientes recursos (especializados) y presupuesto
- Los malentendidos persisten respecto a cómo la inteligencia de la amenaza funciona o cómo utilizarla de manera más eficiente
- Existe una falta de reparación contra malware y cacería adecuada de red interna
- Los sistemas de respaldo pueden ejecutarse, pero no hay forma de comprobar si usted ha estado respaldando un sistema ya comprometido.
- Cuando tiene archivos de copia de seguridad, suelen ser lo primero que los intrusos eliminan
- No actualizar el SO y los paquetes de software lleva a tener software vulnerable de VPN, CMS, etc.
- A menudo existe una falta de Prevención de Pérdida de Datos (DLP) o control de administración de datos para aplicaciones de nube
- Muchos carecen de capacidades de gestión de contraseñas seguras y unificadas
Cada una de estas dificultades conllevan sus propios problemas que pueden desencadenar en una carga de trabajo abrumadora incluso para la mayoría de los profesionales experimentados. Cada una incluye una lista de requerimientos también: estar en la plantilla para brindar apoyo o la experiencia para desarrollar y configurarla de conformidad con la plataforma de cumplimiento que su compañía utiliza. Las MSP son un ejemplo ideal de cómo estas dificultades pueden afectar la capacidad de la compañía para obtener ganancias y lograr expandirse.
SP ofrecen servicios a empresas que no cuentan con los recursos para crear y albergar su propio centro de operaciones de seguridad (SOC) 24/7. Por lo general, cuentan con un acuerdo de nivel de servicio (SLA) u objetivo de nivel de servicio que deben cumplir para sus clientes. Para el MSP, el objetivo es traer más y más clientes e implementar sus software de monitoreo SOC tan rápido como sea posible, otorgando a cada cliente tan pocos analistas como sea posible. Esto mantiene sus gastos generales bajos y sus ingresos en alto.
¿De qué manera los MSP gestionan todas estas superficies de ataque para cada cliente, así como también se ocupan de responder a incidentes y garantizar que cuidan las espaldas de sus clientes sin perder datos?
- Algunos MSP trabajan con plataformas de automatización como Phantom y Demisto para ofrecer soluciones de respuesta a incidentes (IR) automatizadas.
- Algunos crean sistemas propietarios usando software de código abierto.
- Aun así, otros ejecutan una SOC que es una mezcla de soluciones separadas, cada cual aborda una de estas dificultades: una para parchado, una para de detección y respuesta de punto final (EDR), una para copia de seguridad y recuperación, y otros para acceso y gestión de escritorio remoto. Desafortunadamente, el enfoque de mosaico es costoso, no está integrado (crea brechas en su defensa) y es difícil de gestionar.
Importancia de la protección unificada
En lugar de depender de un enfoque de mosaico o de soluciones obsoletas que nunca se diseñaron para las necesidades informáticas de la actualidad, utilizar una plataforma de integración unificada como Acronis Cyber Protect Cloud permite a los proveedores de servicios ofrecer herramientas de respaldo, recuperación ante desastres, antimalware basado en IA, seguridad y gestión, sincronización e intercambio de archivo, y servicios de notarización de archivos basados en cadena de bloques: todo desde una única consola.
Debido a que Acronis Cyber Protect incluye un único agente de implementación que se instala en los puntos finales de los clientes, una vez que el analista de SOC se incorpora al plan en su consola, está listo y comienza a presentar informes. La consola proporciona autodescubrimiento para gestión de vulnerabilidades, por lo tanto, si un equipo funciona con software desactualizado o carece de un parche de emergencia, el analista puede detectarlo e implementar de inmediato.
Las políticas de protección de punto final y recuperación ante desastres se gestionan desde este punto también. Si hay usuarios que requieren de diferentes niveles de acceso a determinadas áreas de la red o internet (por ejemplo, necesidades creativas de marketing para YouTube, pero usted no desea incluirlo en su lista blanca de toda la red), puede establecer esto en su política de equipo justo desde la vista del equipo.
Si un equipo se ve comprometido, puede ingresarlo a cuarentena desde la red en esta consola también. Una vez que haya realizado su investigación, puede establecer una regla para buscar en todos los demás equipos esta firma con el objetivo de identificar otros equipos que puedan estar infectados.
Identificar amenazas con IA
La protección contra ransomware también es de última generación, empleando IA para detectar y detener ransomware, evitando que se realicen cambios en un equipo en tiempo real. Acronis Cyber Protect Cloud utiliza en consecuencia, las capacidades de respaldo y recuperación para restaurar cualquier archivo infectado que fue modificado antes de frenar el ataque.
Mientras que Acronis ofrece una copia de seguridad de sistema de archivos, de imagen completa, en tiempo real, cabe destacar que permite que estas copias de seguridad sean escaneadas en busca de amenazas también. Eso significa que si el archivo malicioso que infectó el equipo se respaldó en la última ejecución, puede escanear la copia de seguridad y eliminar la amenaza antes de la recuperación. Estas capacidades le permitirán a su equipo de respuesta a incidentes no solo visualizar un equipo comprometido en etapas tempranas, sino también solucionarlo desde la misma consola.
Incluso las compañías multimillonarias que cuentan con centros de ciberoperación globales y docenas de analistas de seguridad que supervisan estos sistemas 24/7 no son capaces de evitar que estos eventos sucedan. Quizás estas empresas no prestan suficiente atención o utilizan las herramientas incorrectas. Tal vez sean las dos.
Al combinar un simple panel de vidrio con la implementación rápida de agente único, los MSP pueden reducir el tiempo de incorporación de clientes, que viene a ser su pan y mantequilla. Facultar a los MSP y las pequeñas empresas con capacidades obligatorias y necesarias para gestionar estos incidentes con facilidad, sin tener que recurrir a incontables horas de capacitación para dominar múltiples productos, puede ser extremadamente valioso.
Por lo tanto, cuando un analista SOC afirma que su más grande problema es “extraviarse entre diversas consolas”, usted puede decir: “tengo la solución para eso”. Al instalar el agente Acronis Cyber Protect Cloud en los puntos finales, dejará de investigar registros en busca del evento anormal para que pueda escribir una nueva alerta. En vez de eso, comenzará a ver activamente su red y sabrá que está ocurriendo en tiempo real, facilitando el avistamiento de amenazas tempranamente.
Si desea probar Acronis Cyber Protect Cloud, obtenga una prueba de 30 días o solicite una demostración aquí.