Seguridad empresarial ¿cuál es el nivel necesario de protección?

Cuando se trata de estrategias de seguridad informática, a las empresas les interesa una cuestión: ¿Qué medidas son suficientes? Durante mucho tiempo, la opinión común sostenía que bastaba con una estrategia pasiva (proteger el perímetro de la red y los terminales). Pero cada vez hay más empresas que terminan siendo víctimas de ataques dirigidos y avanzados, por lo que queda claro que se necesitan nuevos métodos de protección, como el EDR, o Endpoint Detection and Response.

Por qué las estrategias pasivas no bastan

Las estrategias pasivas funcionan con las amenazas más extendidas: correos con troyanos, phishing, vulnerabilidades conocidas, etc. En otras palabras, dichas estrategias son efectivas cuando los atacantes apuntan a un gran número de personas y esperan a que alguna pique el anzuelo. Se trata de un negocio ilegal, pero que cumple con las prácticas empresariales al buscar un equilibrio, en este caso, un balance entre la complejidad del ataque (y su coste) y el beneficio esperado.

Pero, si tu empresa se convierte en un objetivo interesante (y si es una empresa grande, es probable que lo haga), podría terminar siendo un objetivo específico. Los ciberdelincuentes podrían estar interesados en varios aspectos de tu empresa, como por ejemplo las transacciones financieras, los secretos empresariales o los datos de los usuarios. O puede que simplemente busquen sabotearte para ayudar a tu competencia. Piénsalo por un momento: ¿podría estar alguien interesado en atacar alguna empresa de tu sector?

Por todo ello, los delincuentes empiezan a invertir en ataques dirigidos y complejos. Investigan el software que usa tu empresa, buscan vulnerabilidades todavía desconocidas y desarrollan exploits a medida. Buscarán formas de acceder entre los socios, los proveedores y sobornando a antiguos empleados, o puede que busquen empleados descontentos para organizar el ataque desde dentro. En el último de los casos, los delincuentes no usarán ningún tipo de malware y harán uso de las herramientas legítimas que una solución de seguridad tradicional no consideraría como amenazas.

Por qué es peligroso esperar

Es posible que un sistema pasivo detecte un ataque dirigido o algún tipo de actividad asociada con uno, pero, aunque lo haga, el sistema simplemente detectará el incidente, lo que no te ayudará a determinar con rapidez qué es lo que ha sucedido en realidad, qué información se ha visto afectada por el incidente, cómo detenerlo y cómo prevenir que vuelva a suceder.

Si tu empresa solo usa herramientas tradicionales para proteger los equipos, los empleados del servicio de seguridad no siempre podrán responder a tiempo a un ataque. Se verán obligados a esperar hasta que ocurra un ciberincidente y solo entonces será cuando puedan iniciar una investigación. Además, es posible que no lo detecten porque estarán desempeñando sus funciones diarias.

Los analistas suelen obtener esta información mucho después. Solo después de llevar a cabo una minuciosa investigación, que normalmente requiere de trabajo manual, se reportará el incidente al departamento correspondiente. Hasta en las grandes empresas con centros de respuesta importantes, los tres roles (especialista, analista y experto en respuesta) los lleva a cabo en muchos casos la misma persona.

De acuerdo con nuestras estadísticas, suelen pasar unos 214 días de media desde el momento de la infección hasta que la empresa detecta una amenaza compleja. En el mejor de los casos, los especialistas de seguridad informática encuentran alguna pista del ataque, pero ya suele ser cuando lo único que pueden hacer es calcular las pérdidas e intentar reiniciar los sistemas.

Cómo minimizar los riesgos y optimizar la seguridad informática

Es necesario adoptar un nuevo enfoque que se adapte para proteger la propiedad intelectual de las empresas, así como su reputación y demás aspectos importantes. Las estrategias para proteger el perímetro de la red y los equipos se deben ajustar y reforzar mediante herramientas para una búsqueda activa y unificada que permita responder de manera adecuada a las amenazas de la seguridad informática.

La estrategia True Cybersecurity emplea un concepto de investigación activa, conocido como threat hunting (búsqueda de amenazas). Se trata de una tarea difícil, pero el uso de herramientas especializadas puede simplificarlo. El EDR es una de ellas y permite que los encargados de la ciberseguridad recopilen información para neutralizar un ataque. Los sistemas EDR usan información sobre las amenazas para controlar los procesos activos en las redes corporativas.

En teoría, el threat hunting debe llevarse a cabo sin el EDR, pero una operación de este tipo suele ser más cara que efectiva. Pero todavía hay más: puede afectar de un modo negativo a los procesos corporativos porque requiere de analistas que comprueben todo el espectro de equipos.

En resumen, EDR permite a los expertos recopilar con rapidez toda la información que necesiten , analizarla (tanto automática como manualmente), tomar decisiones y, además, eliminar de forma remota cualquier archivo o malware mediante una interfaz de control unificado. También les permite poner en cuarentena cualquier objeto e iniciar cualquier proceso necesario para la recuperación de los sistemas, y todo sin que el usuario se dé cuenta de nada, pues no se requiere un acceso físico al terminal ni tampoco interrumpir el flujo de trabajo.

Llevamos trabajando en soluciones para estos problemas durante algún tiempo y hemos lanzado una versión piloto de nuestra solución EDR. Obtén más información sobre Kaspersky Endpoint Detection and Response.