Tag Archives: cybersecurity

Cuando oye la palabra “resiliencia”, ¿qué le viene a la mente?

Posted on

Por: Juan Marino / Cisco Systems

Seguramente piensa en alguien o algo que ha sufrido (para citar al gran bardo) las “hondas y flechas de la indignante fortuna”, pero que tiene la entereza y la audacia para fortalecerse aún más.

Esa es una definición perfectamente aceptable y aplaudo su esencia. Pero cuando se habla de proteger empresas (grandes y pequeñas), el mero hecho de tener la capacidad de recuperación suficiente como para levantarse después de una caída puede quedarse corto. Después de todo, las vulneraciones a la ciberseguridad, como el ransomware o el robo de propiedad intelectual, pueden causar un daño enorme a las empresas, sus empleados, partners e incluso sus clientes. En el Informe de resultados en materia de seguridad de 2021, el 41 % de las empresas encuestadas afirmó haber sufrido un incidente o una pérdida de seguridad importante en los últimos dos años, lo que demuestra la magnitud del problema.

Cisco define la “ciberresiliencia” como la capacidad para proteger la integridad de todos los aspectos de su empresa para que pueda resistir ante las amenazas o los cambios impredecibles (no solo sobrevivir a ellos) y resurgir con más fuerza. Como aprenderá en el tercer volumen de nuestro Security Outcomes Study, existe un acuerdo casi unánime entre los ejecutivos que encuestamos de que lograr la ciberresiliencia es fundamental para su negocio. No resulta sorpresivo que, dado que hoy en día las empresas están cada vez más interconectadas, una vulneración a cualquier persona de la cadena de valor pueda tener un efecto dominó drástico sobre las demás. Ningún ejecutivo quiere pasar a la historia por no haber hecho lo suficiente.

Por lo tanto, utilice y disfrute de este informe. Espero que le sea útil para desarrollar estrategias y soluciones para lograr ciberresiliencia a la medida justa de su empresa. Resiliente ante las amenazas. Resiliente ante el cambio. Resiliente ante lo desconocido. En la industria de seguridad, no faltan las palabras de moda. Sin embargo, tengo la sensación de que la palabra “resiliencia” nos acompañará por bastante tiempo. Tal vez no tanto tiempo como una obra de Shakespeare como Hamlet, pero sí lo suficiente.

¿Qué tiene de nuevo en el estudio?

En este tercer volumen del Informe de resultados en materia de seguridad, desglosamos la resiliencia cibernética en información digerible y procesable. (Porque sabemos muy bien que tiene suficiente trabajo ya como para tener que descifrar lo que implica la resiliencia por su cuenta). Ningún informe puede abarcar todo lo que hay que saber sobre un tema tan colosal, pero hemos elegido presentar algunos puntos destacados para que los tenga en cuenta al desarrollar y perfeccionar su estrategia de ciberseguridad para el futuro.

Gracias a la recopilación de datos de más de 4700 profesionales de la seguridad de 26 países, descubrimos siete factores de éxito que pueden fomentar la resiliencia cibernética. En el informe también se analiza exactamente lo que significa la ciberresiliencia, por qué es importante y cómo clasifican su propia resiliencia las empresas.

Esperamos que estos datos sean un buen recurso y le brinden más confianza a la hora de preparar a su organización para que prospere incluso ante las adversidades.

Entre el riesgo y la resiliencia, hay un nexo. Sabemos que el proceso, por momentos, puede ser arduo: estamos aquí para ayudarlo.

Hallazgos clave:
  • La ciberresiliencia es una prioridad entre los ejecutivos; el 96 % la considera sumamente importante para su negocio.
  • Casi dos tercios de las organizaciones indican haber experimentado incidentes de seguridad importantes que pusieron en peligro las operaciones de negocios.
  • La prevención de los incidentes y la mitigación de las pérdidas son las dos prioridades principales para la ciberresiliencia en general.
  • Retener a los profesionales de seguridad es la prioridad más baja en materia de resiliencia, pero también es la más desafiante para las organizaciones de todo tipo.
  • La cultura importa. Las organizaciones que fomentan una cultura de seguridad presentan un aumento del 46 % en cuanto a resiliencia.
  • La arquitectura importa. Las organizaciones con implementaciones maduras de zero trust, detección y respuesta extendidas (XDR) y  SASE presentan puntuaciones de resiliencia significativamente más altas.

5 estrategias de protección contra ransomware para 2023

Posted on

Por: Aamir Lakhani / Fortinet

Si el crecimiento de los ataques de ransomware en 2022 indica lo que depara el futuro, los equipos de seguridad de todo el mundo deberían esperar que este vector de ataque se vuelva aún más popular en 2023. Solo en la primera mitad de 2022, la cantidad de nuevas variantes de ransomware que identificamos aumentó en casi 100 % en comparación con el período anterior de seis meses, con nuestro equipo de FortiGuard Labs documentando 10 666 nuevas variantes de ransomware en la primera mitad de 2022 en comparación con solo 5400 en la segunda mitad de 2021. Este crecimiento explosivo en nuevas variantes de ransomware se debe principalmente a que más atacantes se aprovechan de Ransomware- suscripciones como servicio (RaaS) en la dark web.

Sin embargo, incluso con el aumento de las variantes de ransomware, las técnicas que vemos que utilizan los malos actores para entregar ransomware siguen siendo prácticamente las mismas. Esta previsibilidad es una buena noticia porque los equipos de seguridad tienen un plan confiable para protegerse contra estos ataques. Aquí hay una mirada más cercana a las estrategias de mitigación de ransomware y cómo puede implementarlas en su organización.

¿Qué es ransomware?

El ransomware es malware  que retiene datos como rehenes a cambio de un rescate. Amenaza con publicar, bloquear o corromper datos, o impedir que un usuario trabaje en su computadora o acceda a ella a menos que cumpla con las demandas del atacante. Hoy en día, el ransomware a menudo se envía a través de  correos electrónicos de phishing . Estos archivos adjuntos maliciosos infectan la computadora de un usuario una vez abiertos. El ransomware también se puede propagar a través de descargas ocultas, lo que sucede cuando un usuario visita un sitio web que está infectado. El malware de ese sitio se descarga e instala sin que el usuario se dé cuenta.

La ingeniería social  a menudo también juega un papel en un ataque de ransomware. Esto es cuando un atacante intenta manipular a alguien para que divulgue información confidencial. Una táctica común de ingeniería social es enviar correos electrónicos o mensajes de texto para asustar al objetivo para que comparta información confidencial, abra un archivo malicioso o haga clic en un enlace malicioso.

¿Qué es la mitigación de ransomware?

Los intentos de ataques y  filtraciones de datos  son inevitables, y ninguna organización quiere verse obligada a decidir entre pagar un rescate o perder datos importantes. Afortunadamente, esas no son las únicas dos opciones. El mejor camino a seguir es tomar las medidas adecuadas para proteger sus redes, lo que disminuirá las posibilidades de que su empresa se vea afectada por ransomware. Este enfoque requiere un modelo de seguridad en capas que combine controles de red, punto final, borde, aplicación y centro de datos, así como inteligencia de amenazas actualizada.

Además de implementar las herramientas y los procesos de seguridad adecuados, no olvide el papel que juega la educación en seguridad cibernética en su estrategia de mitigación. Enseñar a los empleados cómo detectar un ataque de ransomware, y educarlos sobre prácticas sólidas de higiene cibernética en general, es una gran defensa contra los atacantes inteligentes.

“Enseñe a los empleados cómo detectar signos de ransomware, como correos electrónicos diseñados para parecer de empresas auténticas, enlaces externos sospechosos y archivos adjuntos cuestionables”.
Comprensión de los riesgos que hacen necesaria la mitigación del ransomware

Mire a su alrededor en cualquier organización y es probable que encuentre “brechas” de seguridad que aumentan las posibilidades de que una empresa sea víctima de un ataque de ransomware. Aquí hay varios desafíos comunes que enfrentan los equipos de seguridad y sus organizaciones, que pueden hacerlos más vulnerables a los incidentes cibernéticos.

  • Falta de conocimientos sobre higiene cibernética entre los empleados: el comportamiento humano sigue siendo un factor importante en la mayoría de los incidentes de seguridad. Más allá de comprender los signos del ransomware, la falta de educación general sobre ciberseguridad entre los empleados puede poner en riesgo a su organización. Según el Informe de investigaciones de violación de datos de Verizon 2022 , el 82% de las violaciones que ocurrieron el año pasado involucraron al elemento humano.
  • Políticas de contraseña débiles: las políticas insuficientes relacionadas con las credenciales de los empleados, o no tener una política, aumentan la probabilidad de que una organización experimente una brecha de seguridad. Las credenciales comprometidas están involucradas en casi el 50% de los ataques .
  • Supervisión y procesos de seguridad insuficientes: ninguna herramienta única ofrece todo lo que su equipo de seguridad necesita para supervisar y protegerse contra posibles incidentes cibernéticos como el ransomware. Un enfoque de seguridad en capas puede ayudarlo a administrar adecuadamente el riesgo de su empresa.
  • Escasez de personal entre los equipos de seguridad y TI: no es ningún secreto que debe tener personas con las habilidades adecuadas en su equipo para respaldar los esfuerzos de monitoreo y mitigación de riesgos para combatir el delito cibernético de manera efectiva. Sin embargo, los datos muestran que la brecha de habilidades en ciberseguridad presenta un desafío continuo para los CISO: cómo atraer y retener nuevos talentos mientras se asegura que los miembros actuales del equipo obtengan la capacitación necesaria y las oportunidades de mejora.
Últimos ataques de ransomware de los que aprender

El ransomware  continúa volviéndose más desagradable y más costoso, lo que afecta a empresas de todos los sectores y geografías. Si bien la mayoría de nosotros recordamos los recientes ataques de ransomware de alto perfil que involucraron a compañías como Colonial Pipeline  y JBS , ocurren innumerables otros incidentes de ransomware que no aparecen en las noticias nacionales. Sin embargo, muchos ataques de ransomware se pueden prevenir mediante la aplicación de sólidas prácticas de higiene cibernética, incluida la oferta de capacitación continua de concientización cibernética para los empleados, y al centrarse en implementar medidas de acceso a la red de confianza cero (ZTNA) y seguridad de punto final.

5 mejores prácticas de protección contra ransomware

La detección efectiva de ransomware requiere una combinación de educación y tecnología. Estas son algunas de las mejores formas de detectar y prevenir la evolución de los ataques de ransomware actuales:

  1. Eduque a sus empleados sobre las características del ransomware: la capacitación en conciencia de seguridad para la fuerza laboral actual es imprescindible y ayudará a las organizaciones a protegerse contra una variedad de amenazas en constante evolución. Enséñeles a los empleados cómo detectar signos de ransomware, como correos electrónicos diseñados para parecer de empresas auténticas, enlaces externos sospechosos y archivos adjuntos cuestionables.
  2. Use el engaño para atraer (y detener) a los atacantes:  un  señuelo es un señuelo que consiste en repositorios falsos de archivos diseñados para parecer objetivos atractivos para los atacantes. Puede detectar y detener el ataque cuando un pirata informático de ransomware persigue su honeypot. La tecnología de engaño cibernético como esta no solo usa las propias técnicas y tácticas del ransomware contra sí mismo para activar la detección, sino que descubre las tácticas, herramientas y procedimientos (TTP) del atacante que lo llevaron a su éxito en la red para que su equipo pueda identificar y cerrar esas brechas de seguridad.
  3. Monitoree su red y puntos finales:  al realizar un monitoreo continuo de la red, puede registrar el tráfico entrante y saliente, escanear archivos en busca de evidencia de ataque (como modificaciones fallidas), establecer una línea de base para la actividad aceptable del usuario y luego investigar cualquier cosa que parezca fuera de lugar. común. La implementación de herramientas antivirus y antiransomware también es útil, ya que puede usar estas tecnologías para incluir sitios aceptables en la lista blanca. Por último, es esencial agregar detecciones basadas en el comportamiento a su caja de herramientas de seguridad, particularmente a medida que las superficies de ataque de las organizaciones se expanden y los atacantes continúan subiendo la apuesta con ataques nuevos y más complejos.
  4. Mire fuera de su organización: Considere la posibilidad de adoptar una visión fuera de la red de los riesgos que se plantean para una organización. Como extensión de una arquitectura de seguridad, un servicio DRP puede ayudar a una organización a ver y mitigar tres áreas de riesgo adicionales: riesgos de activos digitales, riesgos relacionados con la marca y amenazas subterráneas e inminentes.
  5. Aumente su equipo con SOC como servicio si es necesario: la intensidad actual que vemos en el panorama de amenazas, tanto en  velocidad como en sofisticación , significa que todos debemos trabajar más duro para estar al tanto de nuestro juego. Pero eso solo nos lleva hasta cierto punto. Trabajar de manera más inteligente significa subcontratar tareas específicas, como la respuesta a incidentes y la búsqueda de amenazas. Esta es la razón por la cual es útil confiar en un proveedor de Detección y respuesta administrada (MDR) o en una oferta de SOC como servicio . Aumentar su equipo de esta manera puede ayudar a eliminar el ruido y liberar a sus analistas para que se concentren en sus tareas más importantes.

Si bien el volumen de ransomware no se está desacelerando, hay numerosas tecnologías y procesos disponibles para ayudar a su equipo a mitigar los riesgos asociados con este ataque. Desde los programas de educación cibernética en curso hasta el fortalecimiento de los esfuerzos de ZTNA, podemos mantener a raya a los atacantes astutos.

Protección de la organización con seguridad de red Zero Trust

Posted on

Por: Eve-Marie Lanz / Aruba Networks

Las organizaciones se enfrentan a más desafíos de ciberseguridad que nunca

Los titulares de noticias están dominados por incidentes de seguridad cibernética. Ransomware, phishing, ataques de denegación de servicio: parece que las organizaciones son objeto de una serie interminable de ciberataques. Y esos ataques son implacables. Informes recientes sugieren que los ataques semanales contra organizaciones se han duplicado desde 2020.

Un ataque exitoso puede dar lugar a una filtración de datos: acceso no autorizado y robo de información valiosa de la organización. ¿Qué constituye información valiosa? Los piratas informáticos buscan todo tipo de información en estos días: información de tarjetas de pago, datos de salud del paciente, información de identificación personal, datos estratégicos confidenciales, incluso intercambios de correo electrónico incendiarios entre ejecutivos.

Los ataques cibernéticos no solo colocan a las organizaciones en los titulares, también tienen consecuencias económicas. En 2022, el costo de una brecha de seguridad alcanzó un máximo histórico: más de $ 9 millones de dólares en los EE. UU., un aumento del 12 % con respecto a los costos del año pasado.[2] No es de extrañar que la reducción del riesgo cibernético sea lo más importante para muchas organizaciones.

Los modelos tradicionales de seguridad de red ya no son suficientes

Los enfoques tradicionales de seguridad de red basados ​​en el perímetro se centran en dónde se conectan los usuarios y los dispositivos que utilizan. Al igual que obtener acceso a las áreas internas dentro de una fortaleza, a un usuario en una red corporativa de campus, en un dispositivo corporativo, se le confía implícitamente el acceso a prácticamente cualquier recurso dentro del perímetro de la red.

Este modelo ha enfrentado muchos desafíos en los últimos años dada la creciente adopción de IoT, la erosión del perímetro corporativo debido al trabajo desde cualquier lugar y amenazas cada vez más sofisticadas que explotan usuarios y dispositivos “confiables” con fines malévolos.

Además, el amplio acceso otorgado a los usuarios de confianza implícita facilita la propagación de los ataques a través de la red, lo que se conoce como “propagación lateral”. La propagación lateral puede provocar un mayor daño, una reparación más difícil y tiempos de respuesta más prolongados para la filtración de datos.

Protección de la organización con seguridad de red Zero Trust

En lugar de seguridad de red basada en el perímetro, las organizaciones ahora están adoptando estrategias de seguridad de red Zero Trust para asegurar sus redes y proteger sus valiosos recursos.

Los principios de seguridad Zero Trust evitan el concepto de confianza implícita y, en cambio, requieren que los usuarios y los dispositivos demuestren su confiabilidad para obtener acceso solo a los recursos que necesitan para su función: lo que es necesario para hacer su trabajo o cumplir su función. La confiabilidad se reevalúa constantemente, y si un usuario o dispositivo comienza a actuar de manera sospechosa o de manera inconsistente con su rol, su acceso puede ser limitado o revocado. Esta seguridad de acceso basada en roles limitada y evaluada dinámicamente puede ayudar a minimizar e incluso prevenir la propagación lateral de los ataques.

La seguridad de red Zero Trust ofrece beneficios de ciberseguridad frente a los modelos tradicionales de seguridad de red basados ​​en el perímetro.

Se necesitan cinco capacidades para admitir un modelo de seguridad de red Zero Trust

Para admitir un modelo de seguridad de red Zero Trust, las redes deben admitir cinco capacidades principales.

  1. Los equipos de TI deben poder identificar y perfilar a los usuarios y dispositivos en sus redes, incluso si no están administrados por TI.
  2. Autenticacion y autorizacion. Los equipos de TI deben poder definir roles y asignar políticas de acceso a la red a usuarios y dispositivos con granularidad.
  3. Acceso basado en roles. Las organizaciones deben poder aplicar dinámicamente políticas de acceso con privilegios mínimos en toda la red.
  4. Monitoreo Condicional. Los elementos dentro de la pila de seguridad deben comunicar información de telemetría en tiempo real de manera bidireccional, para identificar rápidamente anomalías de comportamiento y desencadenar acciones.
  5. Ejecución y Respuesta. En función de la información contextual recibida, TI debe poder responder automáticamente a las señales de amenazas para limitar o revocar el acceso y, por lo tanto, frustrar posibles ataques.
Cinco capacidades básicas (visibilidad, autenticación y autorización, acceso basado en roles, monitoreo condicional y ejecución y respuesta) forman la base de la seguridad de la red Zero Trust.
Cómo ayuda Aruba a las organizaciones a implementar la seguridad de red Zero Trust

Zero Trust es un paradigma de seguridad, no un solo producto. Por esta razón, las organizaciones pueden tener dificultades para implementar de manera efectiva los controles de acceso a la red basados ​​en roles en el núcleo de la seguridad de la red Zero Trust. Las soluciones de seguridad Aruba Edge-to-Cloud incorporan soporte para marcos de seguridad de red Zero Trust dentro de Aruba Central , automatizando los controles de seguridad basados ​​en identidad y facilitando la adopción de estrategias de seguridad Zero Trust.

Cómo protegerse contra el fraude de ingeniería social

Posted on

Por: Aamir Lakhani / Fortinet

Los adversarios cibernéticos maximizan cada oportunidad que pueden obtener. Se aprovechan de las vulnerabilidades, las brechas de seguridad, pero también de la naturaleza humana. De hecho, existe un riesgo que no se puede “parchar” fácilmente y es el factor humano. Sigue siendo una preocupación clave en las infracciones y los ataques cibernéticos. La higiene cibernética básica y la importancia de la capacitación en concientización sobre seguridad cibernética siguen siendo fundamentales para la defensa cibernética, especialmente para los ataques de ingeniería social basados ​​en fraude.

Desafortunadamente, las probabilidades a menudo están a favor del atacante, porque solo necesitan que una persona desprevenida haga clic en un enlace malicioso o proporcione credenciales para acceder a la red corporativa. Y, a medida que los atacantes evolucionan para incluir más reconocimiento, incluso los socios comerciales también pueden ser objetivos indirectos, en un esfuerzo por obtener información o contexto para mejorar sus probabilidades.

¿Qué son los ataques de fraude de ingeniería social?

Los ataques de ingeniería social  aprovechan tácticas maliciosas a través de interacciones sociales como correo electrónico o mensajes de texto para manipular a los usuarios para que entreguen información confidencial. Los ataques de fraude agregan una capa adicional al intentar maximizar algo como una posición de autoridad o confianza para engañar a alguien para que divulgue información en lugar de simplemente confiar en hacer clic en un enlace malicioso. Los ataques de fraude se basan en la presión o la confianza y es importante comprenderlos porque, con las credenciales correctas, los atacantes a menudo pueden penetrar mucho en las redes corporativas.

Prevención de ataques de fraude de ingeniería social

El informe de amenazas reciente de FortiGuard Labs mostró que los puntos finales de trabajo desde cualquier lugar ( WFA ) siguen siendo objetivos para que los adversarios cibernéticos obtengan acceso a las redes corporativas. Además, los entornos de tecnología operativa (TO) y de tecnología de la información (TI) son objetivos atractivos a medida que los adversarios cibernéticos buscan oportunidades en la creciente superficie de ataque y la  convergencia TI/OT . Además, para aumentar sus probabilidades, los adversarios cibernéticos están adoptando más  técnicas de evasión de defensa y reconocimiento  para aumentar la precisión y el uso de armas destructivas en toda la cadena de ataques cibernéticos.

Todo esto significa que no hay mejor momento que el presente para asegurarse de que todos estén capacitados en los conceptos básicos de seguridad cibernética y comprendan los conceptos básicos clave de concienciación sobre seguridad cibernética para ayudar a reducir la oportunidad de aprovechar a un individuo para obtener acceso a datos y redes corporativas.

Los empleados deben comprender la importancia de protegerse a sí mismos y a sus organizaciones contra ataques de ingeniería social de todo tipo, incluidos los ataques de fraude de ingeniería social, para ser la primera línea de defensa y tomar medidas proactivas para proteger nuestra información personal, dispositivos y redes. 

“La clave más importante para mejorar el perfil de riesgo de una organización es involucrar a los empleados, de una forma u otra, en aceptar y cumplir con sus responsabilidades de seguridad”.
Consejos para prevenir ataques de fraude de ingeniería social

Los ataques basados ​​en fraude intentan maximizar la confianza y el sentido de urgencia para presionar o convencer a los usuarios para que obtengan información de acceso valiosa, por lo que es clave estar armado con consejos para evitar convertirse en una víctima. Para prevenir ataques de ingeniería social que utilizan tácticas de fraude, las organizaciones pueden aprovechar algunas de las mismas herramientas y estrategias que previenen otros tipos de ataques de ingeniería social. A continuación se presentan algunas recomendaciones a tener en cuenta.

1) Anime a los usuarios a usar nombres de usuario y contraseñas únicos

Este no es un concepto nuevo, pero es importante obligar a los empleados a cambiar las contraseñas y mantener la higiene. Además, exigir contraseñas únicas en lugar de contraseñas repetidas reduce la extensión del acceso si se obtienen las credenciales.

2) Ayudar a los empleados a aprender cómo detectar intentos de phishing

Los servicios de simulación de phishing utilizan simulaciones del mundo real para ayudar a las organizaciones a evaluar el conocimiento y la vigilancia de los usuarios frente a las amenazas de phishing y para capacitar y reforzar las prácticas adecuadas cuando los usuarios se encuentran con ataques de phishing dirigidos. Practicar intentos de detección es bueno para desarrollar una memoria muscular importante para la realidad cotidiana. El phishing a menudo puede ser parte de la estrategia de alcance inicial incluso para un ataque basado en fraude.

3) Invertir en capacitación de concientización sobre seguridad cibernética

Una amplia capacitación en concientización sobre seguridad cibernética puede ayudar a educar a los empleados sobre cómo identificar amenazas y protegerse a sí mismos y a sus organizaciones. Agregar este tipo de capacitación a los programas de capacitación internos puede agregar información de valor. La capacitación puede brindar escenarios y contexto para ayudar a educar a todos sobre las técnicas de ataque en evolución.

4) Eliminar los vectores clave de ataque

Las organizaciones necesitan tener  puertas de enlace de seguridad de correo electrónico  y herramientas de desarme y reconstrucción de contenido (CDR) para eliminar archivos adjuntos y enlaces maliciosos. Los firewalls de aplicaciones web son importantes para asegurar el acceso a los sitios web e identificar y deshabilitar enlaces maliciosos o códigos incrustados. Las herramientas de detección y respuesta de puntos finales ( EDR ) son vitales para proteger varios puntos finales.

5) Fomentar la participación

Una de las claves más importantes para mejorar el perfil de riesgo de una organización es lograr que los empleados se involucren y se apropien del cumplimiento de sus responsabilidades de seguridad. Con capacitación, las herramientas adecuadas y procesos efectivos, los líderes de seguridad pueden ayudar a todos a tomar la ciberseguridad de manera responsable.

6) Esté preparado con una respuesta efectiva

Los servicios de respuesta a incidentes de emergencia  pueden proporcionar una respuesta rápida y eficaz cuando se detecta un incidente.

7) Practica y prepárate

Los servicios de suscripción de preparación para incidentes  brindan herramientas y orientación para ayudar a las organizaciones a prepararse mejor para un incidente cibernético a través de evaluaciones de preparación, desarrollo de libros de estrategias de IR y pruebas de libros de estrategias de IR (ejercicios de simulación).

8) Maximizar ZTNA y MFA

ZTNA amplía los principios de ZTA para verificar usuarios y dispositivos antes de cada sesión de aplicación. ZTNA confirma que cumplen con la política de la organización para acceder a esa aplicación. Las políticas se pueden aplicar tanto para los trabajadores remotos como para los trabajadores en el campus. Además, con MFA, aumente la certeza de la identidad del usuario con la verificación de otro factor y la autenticación adaptativa. Si ocurre un ataque de fatiga MFA,  ZTNA efectivo  limitará el acceso, especialmente si existe una política de acceso según la hora del día. Tenga en cuenta que no todas las  soluciones MFA  son iguales; considere una solución MFA que tenga protección de fuerza bruta, esto puede proteger contra el ataque de fatiga MFA.

Conclusión

La clave más importante para mejorar el perfil de riesgo de una organización es involucrar a los empleados, de una forma u otra, en aceptar y cumplir con sus responsabilidades de seguridad. Con capacitación, las herramientas adecuadas y procesos efectivos, incluido el apoyo de los líderes de la empresa de primer nivel, los equipos de seguridad pueden ayudar a que todos se tomen en serio la ciberseguridad.

Los equipos de TI y seguridad corporativa siguen siendo esenciales para prevenir los ataques cibernéticos, pero todos somos responsables en última instancia de comprender los conceptos básicos de seguridad cibernética y tomar medidas básicas para proteger nuestros dispositivos y datos. Al trabajar juntos, tenemos una mejor oportunidad de mantener a los atacantes fuera de nuestras redes corporativas y domésticas. 

Cisco Talos: nuestra ventaja de inteligencia de amenazas – no tan secreta –

Posted on

Por: Juan Marino / Cisco Systems

Las herramientas de seguridad son tan buenas como la inteligencia y la experiencia que las alimentan. Somos muy afortunados de tener nuestras tecnologías de seguridad impulsadas por Cisco Talos, uno de los grupos de inteligencia de amenazas más grandes y confiables del mundo. Talos está compuesto por investigadores, analistas e ingenieros altamente calificados que brindan visibilidad líder en la industria, inteligencia procesable e investigación de vulnerabilidades para proteger tanto a nuestros clientes como a Internet en general, todo esto de manera continua ya que la ciberseguridad está en todos y en este mes de concientización sobre la ciberseguridad no podía dejar de mencionarlo, así que recuerden: #BeCyberSmart.

El equipo de Talos sirve como un pilar crucial de nuestra innovación: alerta a los clientes y al público sobre nuevas amenazas y tácticas de mitigación, lo que nos permite incorporar rápidamente la protección en nuestros productos e intervenir para ayudar a las organizaciones con respuesta a incidentes, búsqueda de amenazas, evaluaciones de compromiso y más.  También se puede encontrar a Talos asegurando eventos a gran escala como el Super Bowl, y trabajando con organizaciones gubernamentales y policiales en todo el mundo para compartir inteligencia.

Con la amplia base de clientes y amplia cartera de Cisco, desde enrutadores y conmutadores hasta correo electrónico y endpoints, Talos tiene visibilidad de la telemetría mundial. Una vez que se detecta una amenaza, ya sea una URL de phishing o una dirección IP que aloje malware, se crean detecciones y se clasifican y bloquean los indicadores de compromiso en toda nuestra cartera Cisco Secure.

Talos también aprovecha sus conocimientos únicos para ayudar a la sociedad a comprender y combatir mejor los ciberataques a los que nos enfrentamos a diario. Durante la guerra en Ucrania, el grupo asumió la tarea adicional de defender a más de 30 proveedores de infraestructura crítica en el país administrando y monitoreando directamente la seguridad de sus endpoints.

Cómo Talos fortalece a XDR

La realidad de la seguridad actual es que las organizaciones deben estar constantemente preparadas para detectar y contener amenazas conocidas y desconocidas, minimizar el impacto y mantener el negocio en marcha sin importar lo que suceda en el ámbito cibernético. A la luz del trabajo híbrido, las arquitecturas de red en evolución y los ataques cada vez más insidiosos, todas las organizaciones deben estar preparadas para recuperarse rápidamente si ocurre un desastre y luego emerger más fuertes. Nosotros a esto le llamamos ciberresiliencia y Talos desempeña un papel fundamental para ayudar a nuestros clientes a lograrlo.

Durante varios años, nuestra plataforma integrada Cisco SecureX nativa de la nube ha brindado capacidad extendidas de detección y respuesta (XDR) y más. SecureX permite agregar, analizar y actuar sobre la inteligencia de fuentes dispares para una respuesta coordinada a las amenazas cibernéticas.

A través de la plataforma SecureX, la inteligencia de Talos se combina con la telemetría de los entornos de nuestros clientes, incluidas muchas herramientas de terceros, para brindar una imagen más completa de lo que sucede en la red. Además, la funcionalidad de respuesta automatizada incorporada ayuda a acelerar y simplificar la mitigación. De esta manera, los ataques potenciales pueden identificarse, priorizarse y remediarse antes de que tengan un impacto importante.

Para que XDR tenga éxito, no solo debe agregar datos, sino también darles sentido. A través de los conocimientos combinados de varios recursos, los clientes de SecureX obtienen la visibilidad y el contexto unificado necesario para priorizar rápidamente las amenazas correctas en el momento adecuado. Con SecureX, los analistas de seguridad pasan hasta un 90% menos de tiempo por incidente.

Aceleración y detección de amenazas

Por ejemplo, una de las universidades más grandes de Australia, la Universidad Deakin, necesitaba mejorar su postura de seguridad obsoleta y hacer la transición de procesos ad hoc a un programa maduro. Su pequeño equipo de seguridad buscó una solución integrada para simplificar y fortalecer la defensa contra amenazas.

Con un conjunto de productos de seguridad de Cisco integrados a través de SecureX, Deakin University pudo reducir el tiempo típico de investigación y respuesta para una amenaza importante de más de una semana a solo una hora. La universidad también pudo reducir su tiempo de respuesta para correos electrónicos maliciosos de una hora a tan solo cinco minutos.

Impulsar la ciberresiliencia con Talos

La sofisticación de los atacantes y la gran cantidad de amenazas que existen hoy en día hacen que sea extremadamente difícil para la mayoría de los equipos de seguridad cibernética mantenerse al tanto de las alertas y reconocer cuándo algo requiere su atención inmediata. Según una encuesta de ESG, el 81% de las organizaciones dice que sus operaciones de seguridad se han visto afectadas por la escasez de habilidades en ciberseguridad.

Es por lo que Talos emplea a cientos de investigadores en todo el mundo, las 24 horas del día, para recopilar y analizar cantidades masivas de datos de amenazas. El grupo utiliza lo último en lógica de aprendizaje automático y algoritmos personalizados para destilar los datos en inteligencia procesable y manejable.

Maximización de la defensa contra amenazas futuras

A principios de este año, revelamos nuestra visión estratégica de Cisco Security Cloud para brindar seguridad de extremo a extremo en entornos híbridos y multinube. Talos seguirá desempeñando un papel fundamental en nuestra tecnología a medida que ejecutamos esta visión. Además de la protección de conducción en nuestros productos, Talos también ofrece una experiencia más personalizada y práctica a los clientes cuando es necesario.

Cisco Talos Incident Response proporciona un conjunto completo de servicios proactivos y de emergencia para ayudar a las organizaciones a prepararse, responder y recuperarse de una infracción, las 24 horas del día. Además, el servicio Talos Intel on Demand recientemente lanzado ofrece una investigación personalizada única para su organización, así como acceso directo a los analistas de seguridad de Talos para una mayor conciencia y confianza.

#BeCyberSmart

Seguridad para un mundo donde todos y todo se conecta.

Posted on

Por: Ghassan Dreibi / Cisco Systems

En el mundo digital actual, estamos más conectados que nunca. Esta conectividad nos ha permitido generar nuevas oportunidades y colaborar de nuevas formas, pero también significa que hay más brechas y vulnerabilidades que ponen en riesgo los datos.

Las organizaciones deben adoptar nuevas tecnologías e implementar medidas de seguridad fuertes para evitar quedarse atrás en el mundo conectado de hoy y gran parte de este esfuerzo comienza con la iniciativa del mes de octubre, mes de la ciberseguridad. ¡Haz tu parte! #BeCyberSmart

Los mayores desafíos de las empresas para lograr la ciberresiliencia

Cuando se trata de proteger a los empleados y clientes de ciberamenazas, el trabajo de una empresa nunca termina; incluso los profesionales de seguridad más diligentes a menudo sienten que están peleando una batalla perdida, particularmente si enfrentan dificultades para dotar de personal a sus equipos.

Hay un número creciente de desafíos que enfrentan las empresas cuando se trata de seguridad y estos son algunos de ellos:

  1. Movilidad:

Los usuarios hoy en día pueden trabajar desde cualquier lugar, así que, si están fuera de la red y no usan la VPN, sus dispositivos son vulnerables al malware.

  1. Oficinas:

En lugar de redirigir el tráfico a la empresa, más oficinas ahora se conectan directamente a Internet, dejando los dispositivos y los datos vulnerables debido a la seguridad insuficiente en el sitio. A medida que las empresas se desplazan hacia la WAN definida por software para reducir los costos de MPLS y aumentar el rendimiento, la seguridad proporcionada por la nube se vuelve aún más crítica.

  1. Aplicaciones basadas en la nube:

Cuando las unidades de negocios aprovechan los servicios innovadores en la nube para obtener una ventaja competitiva, colocan los datos corporativos fuera del perímetro. Pero no puedes proteger lo que no puedes ver.

  1. Nuevas amenazas

Las amenazas de seguridad de hoy en día son más complejas, más numerosas y peligrosas que nunca, especialmente para los equipos de seguridad de TI que ya están saturados.

  1. BYOD

Cuando los visitantes y los empleados usan dispositivos personales para conectarse en el sitio, su Wi-Fi puede abrir la puerta a archivos maliciosos sin darse cuenta. El Internet de las cosas (IoT), los dispositivos inteligentes y los endpoints continúan proliferando, mientras que las amenazas evolucionan junto con ellos.

Estos desafíos se enfrentan en todas las industrias, pero impactan a todos de manera diferente, y tratar de abordarlos individualmente puede causar brechas en la seguridad. Pero hay formas de usar la tecnología para hacer que su red sea más segura sin ralentizarla ni hacerla más compleja.

La puerta de enlace seguro a Internet

Para hacer frente a estos desafíos y proporcionar una protección eficaz a los usuarios, los profesionales de la seguridad están replanteándose la forma en que se ofrece la seguridad.

En un panorama global en constante cambio, proporcionar un entorno seguro para los usuarios dentro y fuera de la red corporativa es una prioridad máxima. Las soluciones deben ser simples de implementar, extremadamente efectivas, tener una latencia mínima, admitir implementaciones en todo el mundo y adherirse a los diseños abiertos que han hecho que el software como servicio (SaaS) sea tan exitoso.

Presentamos Secure Internet Gateway (SIG), una vía de acceso segura a Internet que permite a los usuarios ir a cualquier lugar en Internet, incluso cuando no están conectados a la VPN.

SIG ofrece protección de 360 ​​grados para la nube, SaaS, sucursales y Endpoints, dentro y fuera de la red. ¿Cómo? Al ofrecer una vía de acceso segura a Internet que ofrece estas capacidades críticas.

  • Protección contra amenazas en todos los puertos y protocolos, dentro y fuera de la red corporativa.
  • Bloqueo de más amenazas con una inspección más profunda del tráfico de riesgo, sin afectar a los usuarios finales
  • APIs bidireccionales y de plataforma abierta para integrar con su pila de seguridad existente.
Cisco Umbrella: El SIG del futuro ya está aquí

Cisco Umbrella Secure Internet Gateway (SIG) es un servicio de seguridad en la nube que unifica múltiples funciones en una única solución que tradicionalmente requería múltiples dispositivos en las instalaciones o servicios de seguridad en la nube de una sola función. Umbrella permite a las organizaciones adoptar la nube a su ritmo y confiar en la seguridad, el rendimiento y la confiabilidad de sus conexiones directas a Internet.

Cisco Umbrella es su primera línea de defensa contra posibles amenazas. En cualquier momento y desde cualquier lugar, el tráfico de Internet de sus usuarios se enruta primero a través de Umbrella, lo que evita que los riesgos lleguen a los endpoints al bloquear las conexiones a sitios que alojan malware o esfuerzos de phishing. Umbrella puede ayudar a las empresas a construir una base de ciberresiliencia al proporcionar acceso a una protección integral proporcionada por la nube en todas sus redes, dispositivos y aplicaciones.

Cisco Umbrella simplifica la implementación, la configuración y la integración al unificar las funciones de seguridad. Facilita el crecimiento para satisfacer las necesidades de una fuerza de trabajo remota y itinerante, un perímetro de red cambiante y un entorno de múltiples nubes.

Cisco invierte en ciberseguridad en América Latina con Data Center en México

Posted on

Por: Marco Martínez / Cisco Systems

Sabemos que 2021 y 2022 han sido años ajetreados para muchos de nosotros y el sector, pero dentro de todo lo malo simpre hay cosas que rescatar… Octubre es el mes de concientización sobre ciberseguridad y por eso quiero compartir algunas noticias con los profesionales de seguridad en LatAm: como parte del compromiso con América Latina, Cisco Umbrella ha abierto un nuevo centro de datos en Querétaro, México. Ubicado justo al norte de la Ciudad de México, este centro de datos habilitará la protección multicapa a través de la seguridad de la capa DNS unificada, el firewall entregado en la nube (CDFW) y la puerta de enlace web segura (SWG). Debido a esto, los clientes en México y en América Central y del Sur pueden usar este nuevo centro de datos para disfrutar de una experiencia de Internet superior y una ciberseguridad sin igual.

Un centro de datos que desbloquea todas las capacidades de Cisco Umbrella

En Cisco Umbrella, la arquitectura de nube global juega un papel importante en el empoderamiento de clientes a medida que se embarcan en su viaje de Secure Access Service Edge (SASE). Debido a esto, eligieron cuidadosamente las ubicaciones de los centros de datos para brindar una cobertura global que reduzca la latencia del tráfico y maximice la resiliencia. Y gracias al enrutamiento Anycast, el tráfico siempre se enrutará al centro de datos cerrado, evitando automáticamente los enlaces degradados o no disponibles. La instalación en Ciudad de Querétaro está emparejada con la instalación de Miami, Florida para la conmutación por error automática, aunque los clientes pueden configurar manualmente los túneles IPsec a otro centro de datos de Cisco Umbrella si así lo desean.

Los equipos de seguridad cibernética en México y en toda América Latina también estarán complacidos de saber que la velocidad de conectividad que ofrece Cisco Umbrella rivaliza, si no supera, la del acceso directo a Internet. Esto se debe, en parte, a los acuerdos de interconexión con más de 1000 ISP, redes de entrega de contenido (CDN) y proveedores de software como servicio (SaaS). Estos arreglos permiten a Cisco Umbrella utilizar la ruta más corta y más confiable entre los usuarios y sus aplicaciones basadas en la web.

Me entusiasma tener este nuevo centro de datos de Cisco Umbrella como parte de nuestra arquitectura de nube global. Si bien la instalación está bastante cerca del área metropolitana de la Ciudad de México, se eligio estratégicamente una ubicación fuera de las zonas sísmicas e inundaciones cercanas. Esto hace que la instalación sea más resistente, lo que brinda tranquilidad a nuestros clientes en lo que respecta al rendimiento a largo plazo de las redes conectadas a este centro de datos. La instalación también cumple con los estándares de la industria de seguridad de la información y cumple con los estándares ISO 27001 y SOC2.

Invertir en ciberseguridad para nuestros socios comerciales de América Latina

Entendemos que latam es una región importante para clientes y partners globales, por lo tanto, brindar una solución de ciberseguridad robusta, confiable y lista para usar a partners en el área es una parte fundamental de nuestra misión de impulsar un futuro inclusivo para todos. Este nuevo centro de datos es una señal de inversión continua en latam, así como una promesa de lo que vendrá a medida que continuan expandiendo la arquitectura de nube global.

En los últimos 18 meses, se abrieron  9 nuevos centros de datos a nivel mundial, lo que elevó el total de centros de datos globales a 36. Además, hay planes para abrir varios centros de datos  en varios lugares del mundo.

Las ventajas de un centro de datos sostenible

Al establecer este nuevo centro de datos, querían asegurarse de que sirviera como un activo para las empresas locales sin causar una tensión innecesaria en la infraestructura de uno de los centros comerciales y económicos más importantes. Por lo tanto, enorgullece anunciar que nuestro nuevo centro de datos, ubicado en una instalación de Equinix, utiliza uno de los primeros sistemas de cogeneración de centros de datos en América Latina. La energía utilizada para alimentar el edificio y nuestro equipo proviene de lo que de otro modo sería calor desperdiciado.

Alimentar el nuevo centro de datos de Cisco Umbrella con energía obtenida a través de la cogeneración ayuda a mejorar la resiliencia de la instalación, ya que el centro de datos será menos vulnerable a las fluctuaciones en la red eléctrica. Las instalaciones también ejercen menos presión sobre los recursos de energía, lo cual fue una consideración importante para el equipo. Si bien se quiere brindar a las empresas de América Latina una solución de ciberseguridad con la que puedan contar, no se quiere hacerlo a expensas de la infraestructura de la región.

Finalmente, optar por alimentar este nuevo centro de datos con energía obtenida a través de la cogeneración es parte del mayor compromiso de Cisco con la sostenibilidad ambiental. Como parte de nuestra misión de impulsar un futuro inclusivo para todos, nos hemos comprometido como empresa a avanzar hacia cero emisiones netas de gases de efecto invernadero en toda nuestra cadena de valor para 2040. Se han logrado grandes avances hacia este objetivo en los últimos 15 años, y este centro de datos representa el siguiente paso en ese viaje. Creemos en brindarles a nuestros clientes soluciones de ciberseguridad que no sean a expensas del medio ambiente. Nuestra nueva instalación permite a las empresas disfrutar de un rendimiento de primer nivel al mismo tiempo que mantiene la salud y la vitalidad de la región para  futuras generaciones.

Cisco Umbrella es la primera línea de defensa contra posibles amenazas. En cualquier momento y desde cualquier lugar, el tráfico de Internet de sus usuarios se enruta primero a través de Umbrella, lo que evita que los riesgos lleguen a los endpoints al bloquear las conexiones a sitios que alojan malware o esfuerzos de phishing. Umbrella puede ayudar a las empresas a construir una base de resiliencia de seguridad al proporcionar acceso a una protección integral proporcionada por la nube en sus redes, dispositivos y aplicaciones.

Cómo proteger su red OT, sin interrumpir las operaciones

Posted on

Por: William Noto / Fortinet

Una buena parte de las redes de tecnología operativa (OT) existentes se construyeron originalmente durante los días del espacio aéreo, donde el aislamiento de otros sistemas empresariales proporcionaba suficiente seguridad. A medida que las iniciativas de transformación digital impulsan las redes de TI y OT hacia la convergencia, el resultado es una red en la que teóricamente cualquier cosa puede conectarse con cualquier otra cosa. Esa es una cantidad peligrosa de riesgo en un mundo donde el 93 % de las empresas de OT han experimentado una intrusión en el último año, y el 78 % reportó más de tres.

Beneficios de tener un Firewall en una Red OT

En una configuración de red donde las cosas pasan por el interruptor, un firewall nunca ve la actividad, lo que significa que las organizaciones no pueden monitorear el tráfico dentro de su red OT . Puede ser difícil comprender realmente lo que está sucediendo dentro de una red o ver cuándo cambian las cosas, que es precisamente lo que esperan los malos actores cuando atacan a un objetivo.

Los cortafuegos tradicionales brindan cierta protección, pero tienen inconvenientes, como limitaciones de reconocimiento de aplicaciones, problemas con la velocidad de la red, inconvenientes logísticos y falta de capacidades evolutivas. Afortunadamente, donde los firewalls tradicionales fallan, los firewalls de próxima generación ( NGFW ) se recuperan. Los NGFW ofrecen lo mejor en seguridad de datos y redes, incluida la versatilidad, el control inteligente de puertos, la infraestructura simple, la protección contra amenazas actualizada y la velocidad constante de la red. Además, los NGFW robustos brindan seguridad empresarial para entornos de tecnología operativa con visibilidad completa de la red y protección contra amenazas. Las organizaciones pueden tejer la seguridad en arquitecturas de sistemas de control industrial ( ICS ) y crear redes que se adapten a entornos industriales y hostiles.

Sin embargo, para obtener el máximo beneficio, incluso estos firewalls avanzados se implementan mejor dentro de una red OT, específicamente una que ha sido bien segmentada.

Niveles de segmentación de la red OT

El modelo de Purdue habla de dispositivos en función de su función y luego les asigna un nivel en función de esa función. Sin embargo, el estándar más nuevo, IEC 62443, trae el paradigma de zonas y conductos que son importantes a medida que la red OT se vuelve más segmentada. Los niveles de segmentación de la red incluyen:

Redes planas: sin segmentación alguna, la visibilidad y el control de estas redes son extremadamente limitados, y cualquier ataque puede propagarse de norte a sur y de este a oeste por toda la red.

Segmentación L2: utilizando una combinación de VLAN + conmutadores, este nivel de segmentación limita el impacto a un activo comprometido, y cada zona tiene su propia VLAN. Sin embargo, no hay visibilidad de la carga útil, el control de acceso entre zonas es limitado y no hay inspección ni segmentación del tráfico de este a oeste.

Segmentación L3: este tipo de segmentación también utiliza VLANs + switches, pero a este nivel, cada dispositivo tiene su propia VLAN. Si bien es posible determinar qué dispositivos pueden comunicarse con cuáles, este tipo de arreglo es muy frágil, con cambios que requieren una planificación costosa y la posibilidad muy real de que un error provoque tiempo de inactividad.

Segmentación L7/L3: cuando las redes alcanzan este nivel de microsegmentación, la cantidad de granularidad alcanzable permite un nivel profundo de visibilidad y control. Es posible identificar no solo qué dispositivos están en la red, sino también qué aplicaciones se están ejecutando, como Ethernet/IP o MODBUS; incluso la diferencia entre leer un valor y enviar un comando es visible. También se vuelve más fácil visualizar la topología física y lógica de la red.

Lograr la segmentación mediante NGFW sin introducir el caos

Si bien los beneficios de los NGFW en la red OT son claros, a menudo hay dudas reales para actuar sobre ese conocimiento. A diferencia de las redes de TI, el tiempo de inactividad en las redes OT puede ser increíblemente costoso o, en el caso de la infraestructura crítica, incluso poner en peligro la vida. La cuestión de cómo segmentar la red sin generar caos en el entorno, introducir tiempo de inactividad y comprometer la seguridad o la calidad del producto es de gran importancia. 

Entonces, ¿cómo puede una organización implementar la microsegmentación sin derribar su entorno? Al tener un proceso extenso que detalle la responsabilidad de todos, no solo para la implementación o instalación inicial, sino también para considerar el mantenimiento continuo. 

Las mejores prácticas a seguir, y las que no tienen éxito a evitar, incluyen:

HACER:

  • Desarrolle un plan para saber dónde quiere estar y un cronograma razonable para implementarlo
  • Minimice las interrupciones tomando medidas que tengan la menor posibilidad de fallar
  • Reúna datos de cada paso y utilícelos para reevaluar antes de implementar el siguiente paso
NO:
  • Olvídese de identificar las necesidades y los riesgos del negocio
  • No puede definir sus objetivos y alinear los intereses de las partes interesadas
  • Acorta el proceso de identificación de tus zonas y su prioridad
  • Implemente todo como un enfoque big bang
La importancia de asegurar todas las capas de la red

El objetivo final debe ser lograr la seguridad holística del entorno OT, por lo que es importante invertir en una plataforma para proteger todas las capas de la red, incluidos los puntos finales de red tradicionales y no tradicionales. Ahí es donde la experiencia de Fortinet puede ayudar. Los NGFW FortiGate de Fortinet superan el estándar de la industria al proporcionar una protección superior, como se reconoce por 12ª vez en el Cuadrante Mágico de Gartner para Firewalls de Red. Las soluciones de FortiGate combinan todas las permutaciones de firewall en una única plataforma integrada, incluida la nueva funcionalidad SD-WAN. Su gestión de panel único ofrece una experiencia simplificada para una amplia gama de casos de uso, así como una implementación flexible en todos los bordes de la red. El enfoque de redes basado en la seguridad de Fortinet permite que la seguridad se integre en todos los aspectos de la red, desde el nivel básico.

Es fácil quedar paralizado por el miedo al tiempo de inactividad, la enormidad de todo el proceso, o quedar atrapado en recriminaciones sobre lo que ya debería haberse hecho. En su lugar, concéntrese en seguir adelante preguntándose: ¿Qué se puede hacer hoy y mañana para mejorar de manera constante el entorno de red? Abordar las preocupaciones de seguridad de su negocio y su red ahora puede generar dividendos en tiempo, ahorro, seguridad y privacidad en el futuro. Los NGFW y la segmentación adecuada no solo brindan seguridad, sino que también pueden brindarle una ventaja competitiva comercializable sobre los competidores que están detrás de la curva de seguridad.

XDR: la clave para la seguridad de tu empresa

Posted on

Por: Yair Lelis / Cisco Systems

¡Hola! Hoy tenemos la oportunidad de hablar sobre un tema de actualidad como lo es XDR de una forma breve pero concisa… ¿qué está sucediendo con este tema y por qué es tan relevante para el mercado y la ciberseguridad?

Hagamos un poco de memoria para entender mejor el origen y evolución de este concepto…

Inicialmente la evolución natural de un antimalware / antivirus nos llevó hacia el concepto de EDR (Endpoint Detection and Response) y a partir de éste descubrimos diversos retos en su integración hacia otras plataformas de seguridad como lo son: soluciones complementarias en el endpoint, email, nube, red, etc., ocasionando con esto una complejidad añadida para detectar y responder adecuadamente; de ahí que la industria se viera en la privilegiada necesidad de innovar y acuñar un concepto mucho más ambicioso como lo es el actual: Extended Detection and Response (XDR).

Adicionalmente, para hacer efectivo el término “Extended” tuvimos que evolucionar de igual forma la antigua recolección manual de logs o bitácoras provenientes de diferentes plataformas de seguridad apoyadas en un SIEM (correlacionador de eventos) en donde esencialente podemos agregar toda esa información y hacer una búsqueda de indicadores de compromiso, normalmente conocidos como IOCs (conjunto de datos sobre un objeto o una actividad relacionada a un acceso no autorizado)

Ahora bien, habiendo tal cantidad de y diversidad de logs, resulta complicado para los equipos operativos seguir dependiendo de búsquedas artesanales para obtener IOCs, ya que es indispensable que una vez encontrados, esos indicadores se deben convertir en algo accionable para la protección del negocio. Revisemos de forma general el paso a paso de esta “travesía”:

1. Analistas de ciberseguridad revisan logs de diferentes plataformas con la ayuda de herramientas como un SIEM.

2. Una vez consolidados, se hace una búsqueda para encontrar posibles IOCs.

3. Se define un playbook y un workflow determinado para que cuando se encuentre cierto IOC, se accione una respuesta.

Entonces, mejor imaginemos todos estos procesos unificados en una misma plataforma tecnológica que pueda automatizar la respuesta ante incidentes. Esto es el poder de SecureX o como decimos en Cisco… SecureX and relax.

¿Pero, qué es SecureX? Es la plataforma que hace posible no sólo la integración de las diferentes soluciones de Cisco Secure, sino que además es capaz de integrar soluciones de terceros en un ambiente abierto. Además, podemos tener acceso a playbooks / workflows pre-definidos o bien crear nuevos de acuerdo a las necesidades del negocio y así lograr una respuesta automatizada.

No utilizamos logs, pero sí que los integramos, o sea que tomamos lo mejor de ambos mundos:

+

=

 

Hoy día nuestras soluciones tradicionales como Secure Firewall, Tetration o Stealtwatch pueden crear incidentes en SecureX, y de ahí la importancia de entender el termino de XDR como un todo.

Entonces ya sabiendo todo esto, ¿de qué va XDR?

XDR tiene como finalidad proteger al negocio ante cualquier vector de ataque, recopilando y correlacionando automáticamente la información en múltiples capas o plataformas de seguridad, cuya integración hace posible una detección ante amenazas más rápida y mejora sustancialmente los tiempos de investigación y respuesta a través de la automatización de estos procesos.

SecureX… una experiencia coherente e integrada:

  • Automatiza las tareas rutinarias mediante flujos de trabajo preconstruidos que se alinean con los casos de uso comunes.
  • Detecte, responda y recupere información más rápido que nunca.
  • Acelera la investigación de amenazas y la gestión de incidentes reuniendo y correlacionando inteligencia global en una sola vista.
  • Genera un inventario completo de dispositivos con la conciencia contextual necesaria para identificar brechas en la cobertura y simplificar las investigaciones de seguridad.

Con todo esto, concluyo enfatizando que la automatización debe ser buscada como parte fundamental de XDR y, en consecuencia, de SecureX. Con visibilidad y monitoreo unificados, incluso en el SOC, nuestros clientes ganan tiempo valioso y mejoran su capacidad para reaccionar ante incidentes de ciberseguridad, algo esencial en las amenazas del presente.

Fortalecimiento del elemento humano en su pila de ciberseguridad

Posted on

Por: Karin Shopen /Fortinet

Muchos de nosotros llegamos a un punto en la vida, y en nuestro negocio, cuando sentimos la necesidad de volver a centrarnos en nuestras capacidades y fortalezas centrales y subcontratar o pedir asesoramiento experto sobre el resto. Esta decisión estratégica nos permite dar saltos aún más significativos en aquellos lugares en los que somos excepcionalmente capaces de resolver los problemas en cuestión.

En ciberseguridad, hablamos mucho sobre la necesidad de automatización de extremo a extremo para respaldar una postura de seguridad dinámica y ágil capaz de responder a la nueva información de amenazas casi en tiempo real. Nuestra industria traduce esto en ser capaz de detener los ataques en su camino. Todos hemos invertido y seguiremos invirtiendo tiempo y recursos en la construcción de esta visión a medida que elegimos agregar nuevas tecnologías, proveedores y socios a nuestro ecosistema de ciberseguridad.

Sin embargo, un área de la que muchos líderes de seguridad tienden a hablar menos es el componente humano de las estrategias de ciberseguridad y cómo podemos aumentar su impacto en nuestro éxito general. Hoy en día, dos tercios de los líderes mundiales afirman que la escasez global de habilidades crea riesgos cibernéticos adicionales para su organización, incluido el 80% que informó haber experimentado al menos una violación durante los últimos 12 meses que podrían atribuir a la brecha de habilidades de ciberseguridad.

Es hora de hablar sobre el elemento humano como parte de su marco general de ciberseguridad.

Mejore, automatice y externalice: el elemento humano

Si le preguntara hoy cuántas de sus capacidades de seguridad tecnológica se están consumiendo como servicio y cuántas más está evaluando actualmente, la respuesta sería: la mayoría. Los proveedores de seguridad ya operan, mantienen y avanzan en las capacidades de seguridad críticas para su tecnología, ya sea su IPS, URL, DNS, sandbox, AV, CASB, IoT, etc., al proporcionar inteligencia de seguridad para mantenerlos sintonizados con las últimas amenazas. Los equipos de expertos en ciberseguridad ya están ayudando a mantenerte por delante de los ciberdelincuentes de hoy. Lo mismo ocurre con los procesos automatizados. Muchos de ustedes están en camino de crear una postura de seguridad totalmente automatizada, SOC y flujos de procesos. Y en muchos casos, usted y sus proveedores están en este viaje juntos.

Pero cuando hablamos de su gente, hay menos de un proceso organizado, estrategia o prioridad, o incluso tiempo para mejorar las habilidades. Y aún menos están evaluando qué tareas realiza el equipo de SOC que sería mejor subcontratar.

Existen tres estrategias para aplicar servicios a su equipo de seguridad, empleados y socios para proteger mejor su organización. El primero es mejorar sus capacidades con las habilidades y tecnologías de los profesionales dedicados a la ciberseguridad que pasan todos los días en la primera línea de la guerra cibernética de hoy. Lo siguiente es automatizar muchos de los procesos de su equipo para mejorar la precisión, el tiempo medio de detección (MTTD) y el tiempo medio de corrección (MTTR). Y simplemente hay algunos aspectos de la ciberseguridad que elegirá subcontratar para mantener a su equipo enfocado en las tareas críticas a mano.

Mejorar
  • Empleados

Muchos ataques hoy en día comienzan con la explotación de una vulnerabilidad, ya sea una tecnología o una falla humana (por ejemplo, phishing). Todos nos esforzamos por prevenir y detener los ataques lo antes posible durante el ciclo de ataques mediante la adición de capacidades avanzadas como la gestión de superficies de ataques externos (EASM), la detección y respuesta de red (NDR), el engaño, la detección y respuesta de puntos finales (EDR), e incluso puertas de enlace de correo electrónico seguras y firewalls de aplicaciones web (WAF) para enfrentar activos críticos, todo para minimizar el daño y evitar el largo proceso de remediación.

En muchos casos, sus empleados son su primera línea de defensa. Supongamos que evalúa a sus empleados de la misma manera que evalúa las tecnologías, buscando vulnerabilidades (brechas de conocimiento y habilidades) que deben ser “parcheadas” de forma regular. Entonces debería ser fácil entender la necesidad de programas ciberseguros. Este proceso de mejora continua puede y debe construirse junto con la asociación con un proveedor / equipo de ciberseguridad bien versado en las tácticas de ataque actuales que pueden integrar ese conocimiento en el programa de capacitación de empleados de su organización.

  • Equipos SOC y profesionales de ciberseguridad

Si usted es como la mayoría de nosotros, sus equipos de SOC están mirando hacia abajo a través de alertas, registros y tareas. Como resultado, les resulta difícil encontrar el tiempo para mantenerse alerta cuando se trata del panorama de amenazas de ataque en evolución y el estado general de su postura de seguridad de extremo a extremo.

La práctica hará que su equipo sea mejor y más rápido para responder a los ataques. Tómese un tiempo para ello. Asigne tiempo para el entrenamiento táctico, una evaluación completa de las capacidades, Y para construir y probar la automatización efectiva y los libros de jugadas, aprovechando herramientas como la orquestación de seguridad, la automatización y la respuesta SOAR. Los expertos en ciberseguridad que trabajan activamente en la búsqueda de amenazas y la respuesta a incidentes tendrán la experiencia práctica del mundo real necesaria para crear y ejecutar la capacitación para su equipo. Además, evalúe y aproveche los programas de incorporación y capacitación que respaldan los objetivos cortos de la curva de aprendizaje y la optimización de las inversiones.

Externalizar

La intensidad actual, tanto en velocidad como en sofisticación, que estamos experimentando en todo el panorama de amenazas significa que todos debemos trabajar aún más para mantenernos en la cima de nuestro juego. Pero eso solo puede llevarnos hasta cierto punto. Por lo tanto, también debemos trabajar de manera más inteligente, que es el motor detrás de la construcción de sistemas automatizados de autoaprendizaje y la subcontratación de algunas funciones a expertos dedicados. Tales mejoras son una forma crítica de eliminar el ruido y ayudar a su equipo a concentrarse en sus tareas más críticas y avanzar en su negocio. La subcontratación puede servir para muchos propósitos. Se puede usar temporalmente hasta que su equipo haya superado la curva de aprendizaje de la nueva tecnología o como un arreglo permanente como una extensión de su equipo de seguridad.

Generalmente hay tres áreas en las que vemos que las organizaciones subcontratan funciones de seguridad:

  • Evaluación de la eficacia de la seguridad

Existe una máxima entre los profesionales de la ciberseguridad de que el equipo que construye una postura de seguridad no debe ser el que evalúe su efectividad. Aprovechar un equipo externo para realizar estas tareas invariablemente producirá un mejor resultado. Estos servicios pueden variar desde evaluaciones puntuales individuales, como la vulnerabilidad o el monitoreo continuo de su administración de superficie de ataque externa para determinar la preparación de extremo a extremo para ataques como el ransomware. Estas evaluaciones también respaldan una priorización muy necesaria basada en el riesgo de las inversiones futuras.

  • Externalización de algunas o todas sus capacidades de búsqueda de amenazas SOC

La externalización de la detección de monitoreo activo y la respuesta a las amenazas se extiende desde el punto final (MDR), a la red, a las responsabilidades completas de SOC (SOC-as-a-Service). Y dada la velocidad de las amenazas actuales, la prevención se sirve mejor con un ciclo totalmente automatizado desde la detección hasta la respuesta. Sin embargo, en la mayoría de los casos, la adopción de una respuesta totalmente automatizada estará vinculada al nivel de confianza que el equipo de SOC tiene en las recomendaciones y datos de aprendizaje automático (ML) y no en las capacidades tecnológicas, que como en todos los campos impulsados por la automatización, evolucionarán y se expandirán con el tiempo, los datos y la experiencia.

  • Externalización de algunas o todas sus capacidades de respuesta a incidentes

Los beneficios de trabajar con un equipo de respuesta a incidentes (IR) antes de estar bajo ataque activo no se pueden enfatizar lo suficiente. Al involucrarse temprano, un equipo de IR puede ayudarlo a evolucionar y fortalecer su postura de seguridad. También obtendrán conocimientos críticos sobre su implementación de seguridad existente y cualquier proceso de respuesta y corrección acordado. Eso, con el tiempo, ayudará a reducir los incidentes y acortar el tiempo requerido para la remediación una vez que ocurre un incidente.

Automatizar

Todo el mundo contribuye al problema de los entornos de trabajo cada vez más complejos. Los equipos de marketing e ingeniería utilizan múltiples sistemas. Los usuarios emplean numerosos dispositivos para conectarse a un número aún mayor de aplicaciones. El objetivo de todos los líderes de ciberseguridad hoy en día debe ser establecer un marco de seguridad unificado en toda la organización que priorice los sistemas sinérgicos y los procesos centralizados para ofrecer automatización impulsada por ML.

Pero la IA y el ML son tan buenos como los datos en los que están entrenados y las personas que les enseñan. Al interactuar con proveedores que ofrecen soluciones impulsadas por ML, es esencial que mire dentro de la organización y descubra quién está diseñando sus modelos. ¿Con qué conjuntos de datos están trabajando? Asegúrese de que el proceso y la automatización utilizados para recopilar, procesar, identificar y responder a los incidentes sean confiables.

Los servicios de FortiGuard proporcionan un espectro completo de soporte crítico para el negocio

Como parte del Security Fabric totalmente integrado líder de la industria, que ofrece sinergia nativa y automatización en todo su ecosistema de seguridad, Fortinet también ofrece una amplia cartera de tecnología y ofertas de servicio como servicio basadas en humanos. Estos servicios son impulsados por nuestro equipo global de FortiGuard de expertos en ciberseguridad experimentados.