Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Defenderse de la invasión digital

Es difícil olvidar las brechas de datos recientes y ampliamente publicitadas que volcaron la suerte de las organizaciones victimizadas. Target Corp. atribuyó $ 148 millones de pérdidas a la infracción que sufrió. Anthem Insurance Companies Inc. no protegió los números de seguro social de millones de suscriptores de seguros médicos. Sony Pictures Entertainment Inc. ha visto expuestas sus comunicaciones internas y se han borrado los datos de sus discos duros. A pesar de las consecuencias, en 2015 muchos oficiales de seguridad continuarán enfocándose en mejorar las operaciones de seguridad y los procesos de administración de riesgos que tienen implementados, con una mirada atenta al riesgo comercial y las amenazas cibernéticas emergentes.

Las redes solo se volverán más complejas, aumentando la superficie de ataque y moviendo grandes partes de la infraestructura fuera del control corporativo. La confluencia del Internet de las cosas y traer su propio dispositivo (BYOD) comenzará a invadir las redes empresariales de nuevas formas. Los atacantes aprenderán a aprovechar estas exposiciones.

Hoy en día, se pierden pocos datos en la mayoría de las alteraciones de la Web. Y los ataques, en general, son claramente visibles. Los equipos de seguridad pueden esperar ver ataques más peligrosos que son más difíciles de detectar en los próximos meses. Es posible que algunos delincuentes no dependan en absoluto de la exfiltración de datos, sino que apliquen sutiles manipulaciones a los sistemas de procesamiento de datos para influir en las decisiones comerciales.

Hasta ahora, los actores que utilizaban ataques distribuidos de denegación de servicio (DDoS) tenían pocas razones para innovar. Con un amplio suministro de sistemas comprometidos y reflectores disponibles en grandes cantidades para ocultar y amplificar los ataques, pudieron inundar las redes con solicitudes simples. Sin embargo, las técnicas defensivas han mejorado y los servicios anti-DDoS se han vuelto bastante capaces de detener todos los ataques excepto los más grandes. Los ataques DDoS que se mezclan con solicitudes normales que requieren recursos significativos para procesar son mucho más difíciles de bloquear. Si bien las aplicaciones alojadas en la nube pueden absorber las cargas adicionales, los modelos de precios dinámicos podrían generar cargas financieras significativas para las organizaciones que se ven atacadas.

Vimos cómo los delincuentes perfeccionaban el ransomware criptográfico en 2014. Estas actividades, en las que los atacantes infectan los sistemas, cifran los datos y los mantienen como «rehenes» hasta que se cumplan sus demandas, generalmente se dirigen a consumidores y pequeñas empresas; esta amenaza solo ha afectado a las redes empresariales de forma periférica. Pero los atacantes tuvieron un éxito financiero significativo con estos métodos de «secuestro de datos». La próxima generación de cripto ransomware se volverá más furtiva y mantendrá la continuidad del negocio durante meses después de que se produzca la infección inicial. Esto garantizará que no solo los datos actuales, sino también muchas copias de seguridad recientes se cifren una vez que el atacante decida eliminar la clave para solicitar el rescate.

Al responder a estas técnicas de ataque, los equipos de seguridad deberán tener en cuenta redes más complejas. Comprender su infraestructura, defensas y cómo se ven afectadas por estos métodos de ataque es fundamental para brindar orientación sobre el perfil de riesgo actual de su organización.

Invasión de cosas digitales

La mayoría de los directores de seguridad de la información ya se han enfrentado a algunos desafíos a medida que los espacios de trabajo tradicionales continúan cambiando. Desde hace años, el espacio de oficinas se ha reducido a medida que se realiza más trabajo desde los hogares de los empleados. Pero al igual que el trabajo ya no está separado de nuestra vida personal, la tecnología de consumo, como los dispositivos portátiles y los sistemas de monitoreo del hogar, está invadiendo la empresa. BYOD fue solo el comienzo.

Al igual que la red de Target fue violada a través de su sistema de calefacción y ventilación, la próxima gran violación de la tarjeta de crédito puede originarse en un reloj inteligente o un televisor inteligente en una sala de descanso.

Los dispositivos de nivel de consumidor, que no están incluidos en las iniciativas de administración de TI centralizada, pronto se convertirán en parte de las redes corporativas. Las estaciones de carga para automóviles eléctricos, los monitores de actividad física incluidos en los planes de salud corporativos, los dispositivos para monitorear y controlar los sistemas de seguridad del hogar y los relojes inteligentes estarán conectados a redes corporativas, como teléfonos inteligentes y tabletas antes que ellos. Pero la diferencia es que estos dispositivos proporcionarán incluso menos protecciones y mucha menos visibilidad de su funcionamiento interno. Ninguno de estos dispositivos se conectará a los sistemas de autenticación empresarial, y la pila de red y la cantidad de sistemas operativos compatibles serán más diversos.

Un simple movimiento para reemplazar un televisor de estilo antiguo en una sala de descanso por un televisor inteligente expondrá su red a nuevas amenazas. Este «dispositivo de TI» ahora estará conectado a su red. Al mismo tiempo, recibirá señales inalámbricas por aire en forma de transmisiones de televisión digital, señales de control remoto por infrarrojos y, tal vez, incluso ofrecerá conectividad Wi-Fi y Bluetooth mientras proporciona nuevas puertas de enlace a su infraestructura. No se integrará con los sistemas de control de acceso y administración de parches existentes.

En este punto, recién estamos comenzando a comprender las amenazas a las que estamos expuestos, debido a los errores y los controles de seguridad incompletos que estos dispositivos tienden a proporcionar. Estos dispositivos pueden convertirse fácilmente en una cabeza de playa que un atacante puede usar para comprometer su red. La integración adecuada, la segmentación de la red y las pruebas de estos dispositivos serán fundamentales, pero estos procesos deben desarrollarse a escala. La política por sí sola no lo protegerá en un mundo donde un teléfono inteligente contiene cuatro o más radios diferentes y un reloj admite al menos dos.

Al igual que la red de Target fue violada a través de su sistema de calefacción y ventilación, la próxima gran violación de la tarjeta de crédito puede originarse en un reloj inteligente o un televisor inteligente. En 2014, se violaron varias cámaras de seguridad conectadas a la red (consulte: «Dispositivo malicioso»), lo que permitió a los atacantes acceder a las redes corporativas. Posteriormente, estas cámaras se utilizaron para buscar dispositivos de almacenamiento conectados a la red.

Malware del dispositivo

Manipulación sutil, alto costo.

Debido a que los dispositivos que no son de confianza pueden obtener acceso a las API internas, ahora se enfrenta a ataques cada vez más sutiles y difíciles de detectar. Es posible que aún vea sitios web desfigurados y grandes filtraciones de datos de clientes y propiedad intelectual. Pero en retrospectiva, es posible que desee que estas amenazas grandes y visibles sean todo de lo que tenga que preocuparse. La alteración de un sitio web público puede dañar temporalmente la imagen de su empresa, pero se detecta fácilmente y es relativamente sencillo de resolver. La fuga de datos de los clientes puede requerir tratar con los reguladores, y su empresa puede soportar costos significativos para remediar la infracción. Aún así, a pesar de los titulares, la mayoría de las empresas aún se recuperan, e incluso prosperan, después de grandes violaciones de datos.

Ese no fue el caso de un director ejecutivo cuya empresa estuvo al borde de la bancarrota después de perder varias ofertas de alto perfil frente a un competidor extranjero. No porque su producto fuera peor, sino porque su precio era demasiado alto. El precio que cotizó su equipo se basó en una estimación de costos derivada de un sistema interno de planificación de recursos empresariales. ¿Cual fue el problema? Los datos de precios fueron manipulados por malware para proporcionar resultados incorrectos, y los cambios fueron tan sutiles que no fueron fácilmente detectables. El resultado fue una exageración del costo de estos proyectos. Hoy en día, ninguna empresa o gobierno moderno puede tomar decisiones sin utilizar el análisis de datos, y los resultados precisos son fundamentales. Estas infracciones también escapan al ojo público porque no resultan en la pérdida de información del cliente, y los culpables ya no están cuando se descubren estas infracciones, si es que se detectan.

DDoS moviliza

Con el gran éxito financiero obtenido con el cripto ransomware de escritorio, las versiones basadas en servidor se volverán más comunes e incluso más devastadoras.

Los ataques de denegación de servicio, por otro lado, son fáciles de detectar, pero pueden ser difíciles y costosos de combatir. En los últimos años, vimos que el tamaño de los ataques DDoS aumentaba significativamente. Los atacantes perfeccionaron la capacidad de recopilar una gran cantidad de sistemas comprometidos y convertirlos en armas poderosas al amplificar su salida utilizando protocolos como DNS, SNMP y NTP. Si bien estos ataques son poderosos y pueden provocar enormes inundaciones de tráfico, se pueden identificar y filtrar mediante servicios especializados anti-DDoS. Incluso las pequeñas y medianas empresas están ahora acostumbradas a pagar miles de dólares al mes por un «seguro DDoS».

Como resultado de mejores defensas, los ataques en estos días a menudo pasan desapercibidos. Y, en particular, las grandes empresas financieras que fueron atacadas fuertemente en el pasado han aprendido a vivir con los ataques DDoS y, como resultado, experimentan pocas interrupciones. Los futuros atacantes DDoS pueden dar un paso atrás y no solo inundar la infraestructura de la red. En cambio, al apuntar a cuellos de botella de recursos de la capa de aplicación específicos, los atacantes pueden intentar enviar menos solicitudes pero más inteligentes que se ajusten a las consultas normales y sean más difíciles de filtrar.

Las API móviles a menudo no incluyen límites de velocidad suficientes y se aprovechan fácilmente para lanzar ataques DDoS. Si los ataques utilizan dispositivos móviles comprometidos como plataforma de lanzamiento, es muy difícil distinguirlos de las solicitudes válidas y pueden abrumar fácilmente una base de datos back-end. En algunos casos, es posible que ni siquiera se requiera un compromiso total del dispositivo.

Muchas API alientan a los desarrolladores de terceros a aprovechar las interfaces de programación y, con ello, permitir y admitir solicitudes de origen cruzado de otras aplicaciones web. En este caso, todo lo que se necesita es algo de JavaScript en un sitio web popular para construir poderosas redes de ataque ad-hoc que enviarán solicitudes, que son indistinguibles de las consultas válidas.

Ransomware en el trabajo

En los últimos años, hemos visto que el cripto ransomware afecta a los equipos de escritorio tanto de los consumidores como de las empresas. CryptoLocker y malware similar han bloqueado miles de sistemas y generado millones en ingresos para los malhechores detrás de él. En el futuro, deberíamos esperar ver más ransomware afectando a los servidores. Eso incluye variedades sofisticadas y sigilosas que infectarán una red durante meses antes de divulgar que los datos valiosos estaban encriptados y ya no son accesibles a menos que se pague una gran cantidad de dinero.

Este tipo de ransomware generalmente implementa un calce entre la aplicación y el almacén de datos. Los datos se cifran y descifran sobre la marcha, sin que la aplicación se dé cuenta. De alguna manera, este malware imita el software de seguridad que implementa el cifrado de la base de datos o del disco completo sin interrumpir el funcionamiento normal del sistema. Una vez que el atacante cree que hay suficientes datos cifrados, la clave se elimina y la aplicación fallará, solicitando el pago de un rescate para recuperar la clave. Si el cifrado se llevó a cabo durante el tiempo suficiente, se presume que las copias de seguridad también están cifradas e inutilizables. A menudo, la clave solo se almacena de forma remota o en la memoria del sistema afectado, por lo que es poco probable que se recupere; e incluso si se detecta el malware, es muy posible que la clave no se recupere. Con el gran éxito financiero obtenido con el cripto ransomware de escritorio, las versiones basadas en servidor se volverán más comunes e incluso más devastadoras.

Desde un punto de vista defensivo, todas estas amenazas requieren una comprensión profunda de la red que debe protegerse, controles consistentes para hacer cumplir la política de seguridad y un monitoreo continuo para el compromiso. Es esencial detectar el compromiso rápidamente, comprender correctamente las complejas interacciones entre los sistemas para contenerlo adecuadamente y seguir los manuales de incidentes bien ensayados. En muchos sentidos, es más importante hacer bien lo que hace ahora, en lugar de buscar nuevas tecnologías que pueden complicar aún más las defensas de su red.

Envíe sus comentarios sobre este artículo a [email protected].

También te puede interesar...

Desglose del costo de la computación en la nube

El ahorro de costes es una de las principales razones por las que las empresas deciden migrar a un entorno de nube. La computación en la nube puede ofrecer a las organizaciones ventajas financieras potenciales

Una serie de mejores prácticas

Parte del desafío para los proveedores de soluciones a medida que construyen nuevas LAN o incluso amplían las existentes es asegurarse de que los conmutadores del sistema sean interoperables. Después de todo, el tráfico fluye

Desconexión RDSI 2018: IoT como alternativa adecuada

La desconexión de la tecnología ISDN es inevitable. Y actualmente existe la necesidad de encontrar una alternativa adecuada. All-IP es un sustituto bastante perspectiva. VoIP es una alternativa estable y rentable en la industria telefónica.

¿Qué es un administrador del sistema?

¿Qué es un administrador del sistema? Un administrador de sistemas (sysadmin) es un profesional de tecnología de la información que admite un entorno informático multiusuario y garantiza un rendimiento continuo y óptimo de los servicios

Combatir los prejuicios raciales en la IA

La percepción que tienen las personas del mundo que les rodea está determinada por sus preferencias y prejuicios. Si bien algunas de estas preferencias son inocuas, muchos sesgos son dañinos y dan como resultado la

Aislamiento de red sin dolores de cabeza

Microsoft introdujo las PVLAN en Hyper-V 3.0 para abordar los problemas de gestión y escala asociados con el aislamiento del tráfico de VLAN. Además, las PVLAN simplificarán redes virtuales a medida que más cargas de

Regulaciones, competidores emergentes dan forma al mercado

ORLANDO, Fla. – Los proveedores de servicios administrados pueden esperar un entorno de cumplimiento normativo complejo, jugadores emergentes de MSP y un conjunto de oportunidades comerciales en evolución, según los oradores de la conferencia MSPWorld,

Los pros y los contras del ERP de dos niveles

Estandarizar en una plataforma ERP común ha sido durante mucho tiempo el estándar de oro en la industria. Sin embargo, desafíos como la globalización, las diferencias divisionales y la gran dificultad de implementación hacen que

Mapeo del éxito de IoT con las 4D

Internet de las cosas está impulsando el futuro de los negocios. Según el Barómetro Vodafone IoT de 2016, el 76% de las empresas encuestadas cree que aprovechar las tecnologías de IoT será fundamental para el

Nueva edición de Windows 10 para hacer frente a big data

Las organizaciones necesitan una forma de manejar grandes cantidades de datos debido a las tecnologías emergentes, y es posible que pronto la obtengan con una nueva edición de Windows 10. Microsoft reveló accidentalmente planes para

¿Qué es ebXML (XML comercial electrónico)?

¿Qué es ebXML (XML comercial electrónico)? EbXML (Electronic Business XML o e-business XML) es un proyecto para utilizar el Lenguaje de marcado extensible (XML) para estandarizar el intercambio seguro de datos comerciales. EbXML se actualizó

Comprender los problemas de cumplimiento de la nube

En este consejo, el octavo de nuestra serie de consejos técnicos sobre seguridad en la nube, analizamos el cumplimiento de la nube. Las preocupaciones sobre el cumplimiento de la nube son una de las principales

¿Qué sabes sobre los diseños de bases de datos?

Algunos pueden decir que el debate entre SQL y NoSQL es discutible porque cada diseño de base de datos realiza la misma función: almacenamiento de datos. Sin embargo, existen numerosas razones por las que un

Deja un comentario