Cómo defender a su organización cuando colapsa el firewall
Cómo defender a su organización cuando colapsa el firewall
Por: Jonathan Sander, vicepresidente de estrategia de producto, Lieberman Software
Las defensas de red tradicionales como firewalls y anti-malware son esenciales para defender a las empresas de los ataques cibernéticos. Sin embargo, no son suficientes; todo lo que hacen es evitar el ruido, previniendo a los atacantes poco calificados que siempre estarán ahí afuera buscando objetivos fáciles.
De hecho, los ataques que causan un daño significativo más allá del perímetro de la red, incluso para organizaciones que no son objetivos tan fáciles, simplemente están saltando las defensas tradicionales al conectarse con los usuarios a través de los canales que utilizan para las actividades comerciales cotidianas: correo electrónico a través de SPAM y phishing y sitios web. a través de scripts de sitios cruzados y sitios secuestrados.
Es cierto que algunas personas siempre harán clic en los correos electrónicos de phishing: el Informe de investigación de violación de datos de Verizon mostró que el 30% de los mensajes de phishing se abrieron, un 7% más que el año anterior. Sin embargo, la diferencia entre una computadora portátil que se ve comprometida por malware que ingresa a través del correo electrónico y la toda la organización ser propiedad de un atacante a través de ese ataque de correo electrónico se reduce a una cosa: privilegios.
Cuando el malo aterriza en la primera computadora portátil, está operando como el usuario que hizo clic en el correo electrónico. La mayoría de las veces, esta no es la persona que tiene acceso directo a los datos realmente confidenciales que al atacante le encantaría robar. Por lo tanto, necesita de alguna manera obtener privilegios de nivel superior que le permitan moverse lateralmente fuera de esa primera computadora portátil, para comenzar a usar otros sistemas y encontrar la información que desea.
Pero, ¿qué pasa si al enemigo no siempre se le llama «chico malo»? ¿Y si se le llama «empleado»? Ya sea por accidente o por malas intenciones, los empleados también pueden usar los privilegios para dañar las empresas para las que trabajan y no hay nada que un firewall pueda hacer al respecto desde que entraron por la puerta principal y ya tienen acceso básico a los sistemas corporativos.
Sin embargo, hay buenas noticias: proteger los privilegios de los ciberdelincuentes (forasteros) y los de adentro que podrían abusar del poder es en realidad bastante simple, y comienza con tres cambios simples:
Primero, necesitamos capacitar al personal, especialmente al personal que tiene derechos administrativos, para que no tengan acceso al poder de hacer daño todo el tiempo sin una puerta. Aún podrán hacer todo lo que hicieron antes, pero habrá un paso adicional. Pueden verificar la energía que necesitan, todos podrán ver quién la ha revisado y luego se volverá a verificar donde terminaron. Es un pequeño cambio, pero marca una gran diferencia.
En segundo lugar, implementamos un programa para rotar agresivamente esos derechos y credenciales incluso cuando no están en uso. Cuando alguien extrae una credencial, cambiamos la seguridad de esa (por ejemplo, la contraseña) cuando se vuelve a registrar o cuando expira el pago. Sin embargo, si esa es la única vez que rotamos esa seguridad en ese sistema, eso significa que los malos pueden ingresar a través de un correo electrónico y comenzar a recolectar derechos desde donde viven para usarlos más tarde. Sin embargo, si los rotas todo el tiempo, entonces a los malos se les quita la alfombra debajo de ellos. Los buenos no tienen ningún efecto negativo porque obtienen sus derechos de la biblioteca protegida, que también se actualiza cada vez que lo hacen los sistemas. Los malos que intentan secuestrarlos directamente de los sistemas no tienen suerte porque antes de que puedan sacarlos y usarlos para extraer datos, la seguridad ha cambiado y han vuelto al punto de partida.
En tercer lugar, ahora que tenemos este poder para controlar derechos y privilegios, deberíamos conectarlo a nuestros otros sistemas de seguridad para asegurarnos de que todo funcione en un proceso de ciclo cerrado saludable. Si tiene soluciones de análisis y registro que analizan todos los datos de eventos de seguridad para encontrar patrones, seguramente querrá incluir todos los datos sobre quién tiene privilegios legítimamente. Eso conduce a correlaciones simples, como una acción que tiene lugar utilizando una identidad privilegiada que no se ha verificado actualmente para ningún usuario autorizado es sospechosa. Si tiene soluciones que detectan malware y otros incidentes a medida que ocurren, puede automatizar una respuesta privilegiada casi en tiempo real sin impacto operativo. Una vez más, dado que los buenos y los procesos aprobados obtienen sus derechos de la biblioteca segura, no hay ningún impacto en ellos si gira un montón de configuraciones de seguridad en respuesta a una posible amenaza.
Así que eso es todo, automatice la administración de contraseñas privilegiadas y siga los tres simples pasos anteriores y podrá mantenerse por delante de los ciberdelincuentes mientras intentan saltar por encima de las defensas de su red y moverse lateralmente dentro de los sistemas de una organización.
www.liebsoft.com