Cómo prevenir ataques de ciberseguridad usando una estrategia de cuatro partes

Saber cómo prevenir los ataques de seguridad cibernética es un trabajo crítico para los equipos informáticos de TI y los de seguridad informática de hoy. De hecho, la amplia gama y la gran escala pueden hacer que el problema parezca insuperable.

Las organizaciones deben armarse contra ransomware, campañas avanzadas de phishing, explotaciones de aplicaciones web y campañas extendidas de movimientos laterales dentro de sus redes. Y la profusión cada vez mayor de nuevas plataformas, como servicios móviles, servicios en la nube y nuevos marcos de aplicaciones, crea nuevos caminos para los hackers que los equipos de seguridad deben abordar.

Si bien no existe absolutamente el mejor enfoque único al considerar cómo prevenir los ataques de seguridad cibernética, hay formas de detener a muchos de ellos antes de que comiencen, o al menos minimizar el daño en caso de que ocurran. Las empresas deben considerar estas cuatro maniobras defensivas para ayudar a impulsar los programas de ciberseguridad y defensa, y reducir su riesgo general de ataque.

1. Centrarse en el parchado y la gestión de la configuración

La mayoría de las organizaciones están familiarizadas con la lucha para configurar y parchar sistemas operativos y aplicaciones, por lo que las herramientas para estas tareas deberían ser muy familiares para todos. Sin embargo, hay algunas nuevas metodologías y productos que pueden mejorar enormemente la rutina de parches y configuración.

Primero, el movimiento DevOps nos brinda un modelo de administración de imagen y despliegue de producción que, cuando se implementa, puede aliviar la carga de parches. En la primera parte de este método, los parches se instalan en un servidor virtual o imagen de contenedor, que implementa imágenes nuevas y actualizadas (y parchadas) a la vez que elimina las antiguas. Esto es mucho más fácil decirlo que hacerlo en entornos heredados, por supuesto, pero nos aleja del antiguo modelo de lucha para mantener los sistemas en funcionamiento durante largos períodos de tiempo, parchando a medida que avanzamos.

La segunda mejora proviene del uso de plataformas de automatización y orquestación, como Chef, Puppet, Ansible y otras, donde aplicamos un estado conocido del sistema definiendo todos los estándares de configuración en un "libro de jugadas" y luego implementamos y aplicamos estos controles continuamente con la ayuda de un conjunto de herramientas de gestión automatizadas.

Si bien estos métodos rápidamente han ganado fuerza en la nube, algunas organizaciones también han adoptado estos principios y herramientas para los sistemas internos. Para los sistemas que no pueden moverse en esta dirección, los profesionales de operaciones y seguridad deben centrarse en el inventario de aplicaciones y software, parchar lo mejor que puedan y bloquearlos lo más posible; en otras palabras, las mismas recomendaciones que hemos tenido durante años.

2. Priorizar el código estático y la prueba dinámica de aplicaciones web

Con tantas explotaciones de aplicaciones web allá afuera, debe haber un mayor enfoque general en la seguridad del software. Los equipos de desarrollo necesitan el escaneo automatizado de códigos estáticos para la confirmación de códigos, con análisis de riesgos y revisión de analistas de software y seguridad por igual. Las aplicaciones en etapas en el aseguramiento de la calidad y los entornos de prueba deben tener un escaneo dinámico (y pruebas de penetración de la aplicación web) realizadas con frecuencia para asegurar que no haya vulnerabilidades comunes en la configuración de la aplicación y la arquitectura.

Las organizaciones deben dedicar tiempo y recursos aquí si desarrollan sus propias aplicaciones web y probablemente deberían invertir en análisis de código estático y herramientas de escaneo y prueba de las aplicaciones web, también. Deben evaluar sus hallazgos para el contexto y la prioridad en alineación con las prácticas sólidas de gestión de vulnerabilidades.

3. Implementar un sistema de copia de seguridad integral

Con la creciente amenaza del ransomware y el malware destructivo, las copias de seguridad de datos y las herramientas de recuperación deberían encabezar la lista de áreas críticas de enfoque de cada CISO. Si bien muchas organizaciones siguen utilizando el almacenamiento de datos físicos locales, como los servidores de archivos, el almacenamiento conectado a la red y la cinta, hay un importante crecimiento y aceptación de las opciones de almacenamiento remoto y basadas en la nube. A medida que disminuye el costo del almacenamiento remoto, estas opciones son cada vez más asequibles.

Si los arreglos de seguridad son completos, el almacenamiento remoto debería ser una buena práctica. Asegúrese de hacer una copia de seguridad de todos los archivos compartidos y almacenes de documentos con regularidad, especialmente aquellos que contienen datos confidenciales, y realice pruebas mensuales de las copias de seguridad y las opciones de recuperación. Microsoft, Google y Amazon ofrecen almacenamiento en la nube asequible, junto con DropBox, Box y otros. Los proveedores especializados de almacenamiento en la nube como CommVault, Zerto y otros también pueden ser buenas opciones.

4. Mejorar la segmentación de redes y aplicaciones

Los controles de acceso a la red tradicionales, como las listas de control de acceso de conmutadores y enrutadores y los firewalls, continuarán teniendo su lugar en nuestros diseños de segmentación de red. Pero los profesionales de la seguridad han comenzado a replantearse la forma en que abordan la seguridad de la red debido a la proliferación de escenarios de movimientos laterales en incidentes de seguridad. Algunos pasos a seguir incluyen los siguientes:

• Considere todo nuestro entorno como potencialmente inseguro o comprometido, en lugar de pensar en términos de vectores de ataque externos. Cada vez más, los escenarios de ataque más dañinos suelen ser internos debido a los programas avanzados de malware y phishing que comprometen a los usuarios finales.
• Comprenda mejor cómo deben comportarse las aplicaciones en el punto final y observe qué tipos de comunicación de red deben transmitir las aplicaciones aprobadas.
• Céntrese en las relaciones de confianza y las relaciones de sistema a sistema en general en todas las partes de nuestro entorno. La mayor parte de la comunicación en las redes empresariales hoy en día es totalmente innecesaria o no es relevante para los sistemas o aplicaciones que realmente se necesitan para los negocios.

Existen nuevas herramientas para ayudar a prevenir ataques cibernéticos a través de políticas que vinculan el comportamiento del sistema y la aplicación con los patrones de tráfico de red permitidos frente a los inesperados. Algunas veces etiquetada como microsegmentación, esta categoría de software puede requerir agentes de host; un plano de aplicación, como interruptores; o la virtualización (hipervisores), así como un motor de mapeo de políticas y aplicaciones único que puede perfilar los comportamientos en el entorno y ayudar a construir una segmentación más granular centrada en la aplicación.

Es fácil sentirse abrumado por las muchas tareas necesarias en la planificación de la ciberseguridad. Sin embargo, es importante establecer prioridades cuando se traza una estrategia sobre cómo prevenir los ataques de ciberseguridad. Estas cuatro categorías de controles son más críticas que nunca.