La ciber higiene, ahora más importante que nunca

Uno de los lugares más críticos en los que hay que centrar los esfuerzos es en los teletrabajadores. El rápido crecimiento del trabajo en remoto y su dependencia de los dispositivos personales y las redes domésticas es uno de los desafíos a los que se enfrentan los equipos de TI. Lamentablemente, la aplicación de la ciber higiene en este entorno no se encuentra entre las prioridades de los responsables de TI centrados en mantener la disponibilidad del negocio y garantizar el acceso a las aplicaciones empresariales y los recursos esenciales.

Derek Manky (Fortinet).

En los últimos meses, los ciberdelincuentes han combinado tácticas de ingeniería social que explotan los temores sobre la pandemia del COVID-19 con exploits más antiguos dirigidos a vulnerabilidades no parcheadas que se encuentran en dispositivos desplegados en muchas redes domésticas. También han modificado sus estrategias, pasando de los ataques basados en el correo electrónico, que muchos usuarios saben evitar, a nuevos vectores de ataque basados en el navegador. Y una vez que la red corporativa ha sido violada, los ciberdelincuentes lanzan ataques de ransomware y otros malware.

Si bien el 2020 está en vías de batir el récord del número de vulnerabilidades identificadas y publicadas en un solo año, éstas también tienen la tasa de explotación más baja jamás observada en los 20 años de historia de la lista CVE (Common Vulnerabilities and Exposures). Las vulnerabilidades a partir de 2018 han reclamado la mayor prevalencia de explotación (65%). Y más del 25% de las empresas han informado de intentos de explotación de CVE desde 2005. Al mismo tiempo, los exploits dirigidos a routers y dispositivos IoT domésticos se encuentran entre las principales detecciones de IPS de FortiGuard Labs, según nuestra investigación. Mientras que algunos de ellos se dirigen a vulnerabilidades más recientes, un volumen asombroso se ha dirigido a los exploits descubiertos por primera vez en 2014.

La lección aprendida es clara: no asuma que las vulnerabilidades más antiguas, incluyendo aquellas de hace más de 15 años, no pueden causar problemas.

Lo que estas tendencias muestran es que los ciberdelincuentes son extremadamente ágiles. A los pocos días de ver la popularización del teletrabajo, la dark web se llenó de exploits de phishing dirigidos a los trabajadores novatos. En cuestión de semanas, los sensores de amenazas vieron una drástica disminución de las amenazas dirigidas a los recursos corporativos y el correspondiente aumento de los nuevos ataques dirigidos a los routers, dispositivos personales, sistemas de juego y otros dispositivos conectados a las redes domésticas de los consumidores. Los ciberdelincuentes están claramente más que dispuestos a trabajar para encontrar las vulnerabilidades que todavía existen en las redes domésticas y que puedan ser la puerta para acceder a la red corporativa.

Por supuesto, muchos de estos ataques se basan en los mismos trucos en los que estos criminales han confiado durante años, porque funcionan. Centrándonos en ello, las organizaciones deben focalizarse en dos acciones. Primero, actuar rápidamente para informar a los empleados sobre las prácticas de ciber higiene. Y segundo, prepararlos a ellos y a sus defensas para repeler las amenazas tradicionales como el phishing y los ataques de ransomware, así como los nuevos ataques a la web basados en el navegador. Organizar videoconferencias para concienciar sobre ciberseguridad a todas las ramas de la empresa, enviar actualizaciones periódicas por correo electrónico e instar a los empleados a estar atentos a los correos y páginas web inusuales o sospechosos son solo algunos ejemplos de los primeros pasos que hay que dar.

Afortunadamente, a pesar de la continua prevalencia de los programas de ransomware y del aumento de los ataques de HTML/phishing, hay una serie de medidas sencillas que las organizaciones y sus empleados pueden adoptar para construir una barrera más sólida contra las amenazas. Algunos de esos pasos son tan sencillos como crear contraseñas más sólidas y realizar actualizaciones periódicas de software y aplicaciones. Otros pueden requerir la incorporación de software avanzado de seguridad para el endpoint.

Es importante señalar que ciertos tipos de recursos comerciales corren un riesgo particularmente alto de ser atacados en el entorno actual. Entre ellos se encuentran los sistemas financieros, los sistemas de soporte al cliente y los recursos de investigación y desarrollo. Es posible que sea necesario adoptar medidas y precauciones adicionales más allá de los pasos que se indican a continuación para proteger estos activos sensibles y de alta prioridad.

1. Asegúrese de que todos los empleados reciben una formación básica, al incorporarse a la compañía y de forma periódica, sobre cómo detectar y denunciar actividades sospechosas, mantener la ciber higiene y, en este periodo de teletrabajo, sobre cómo asegurar sus dispositivos personales y redes domésticas. Al educar a los individuos, especialmente a los trabajadores en remoto, sobre cómo mantenerse alerta ante las solicitudes sospechosas e implementar herramientas y protocolos de seguridad básicos, los CISO pueden construir una base de defensa en el extremo más vulnerable de su red que puede ayudar a mantener seguros los recursos digitales críticos. Esto puede implicar el aprendizaje online y talleres con expertos.
2. Ejecute verificaciones de antecedentes antes de designar a los usuarios avanzados o de conceder acceso privilegiado a recursos digitales sensibles. Al dar este paso adicional, las organizaciones pueden tomar decisiones informadas que mitigarán los riesgos asociados con las amenazas internas.
3. Mantenga actualizados todos los servidores, workstations, smartphones y otros dispositivos utilizados por los empleados aplicando actualizaciones de seguridad frecuentes. Lo ideal sería que este proceso se automatizara y que se dejara el tiempo suficiente para que las actualizaciones se examinaran en un entorno de pruebas. Los controles de acceso basados en la nube y los SWG (Secure Web Gateways), pueden ayudar a proteger los dispositivos remotos que no se pueden actualizar o parchear.
4. Instale software antimalware para detener la gran mayoría de los ataques, incluyendo phishing e intentos de explotar vulnerabilidades conocidas. Invierta en herramientas que ofrezcan la funcionalidad de “sandboxing” (ya sea como parte de un paquete de seguridad instalado o como un servicio basado en la nube) para detectar amenazas Zero-Day. Las nuevas herramientas de detección y respuesta del endpoint (EDR) deberían estar en la lista de la compra de todo CISO, ya que no solo son muy eficaces para repeler el malware, sino que también pueden identificar y desactivar el malware que consigue eludir los controles del perímetro antes de que puedan ejecutar sus cargas.
5. Asegúrese de que exista un plan de respuesta/recuperación ante incidentes, incluida una línea telefónica directa a través de la cual los empleados puedan informar rápidamente de una presunta infracción, incluso cuando estén trabajando desde casa. De esta manera, en caso de ataque, el tiempo de inactividad se reducirá al mínimo, y los empleados ya estarán familiarizados con los próximos pasos críticos.
6. Utilice puntos de acceso seguros, ya sean físicos o en la nube, y cree una red segura y segmentada para que los empleados la utilicen cuando se conecten a distancia. Las VPN permiten a las organizaciones ampliar la red privada a través de Wi-Fi público utilizando una conexión virtual punto a punto cifrada; esto permite y mantiene el acceso remoto seguro a los recursos corporativos. Asimismo, también debería establecer una estrategia de acceso a la red de confianza cero que incluya NAC y segmentación de la red.
7. Aplique una política robusta de gestión de accesos, exigiendo una autenticación multifactorial cuando sea posible y manteniendo normas estrictas para la creación de contraseñas. No debería permitirse a los empleados reutilizar las contraseñas en las redes o aplicaciones, ya sean corporativas o personales, y se les debería animar a establecer contraseñas complejas con varios números y caracteres especiales. Considere la posibilidad de proporcionar un software de gestión de contraseñas para que puedan hacer un seguimiento de las mismas.
8. Cifre los datos en movimiento, en uso y en reposo. Las organizaciones necesitan invertir en tecnologías que puedan inspeccionar los datos cifrados a velocidades de negocio, así como vigilar el acceso a los datos, las transferencias de archivos y otras actividades importantes.
9. Manténgase al día en cuanto a la velocidad y el volumen de los ataques, aunque a veces vaya más allá de las limitaciones de los analistas de seguridad. Para ello, el machine learning y las operaciones de seguridad basadas en IA no son opcionales. Permiten a las organizaciones ver y proteger los datos y aplicaciones de miles o millones de usuarios, sistemas, dispositivos y aplicaciones críticas, incluso en diferentes entornos de red, como multi-cloud, y todo tipo de redes, incluyendo LAN, WAN, centro de datos, nube y edges de teletrabajadores.
10. Para que las soluciones de seguridad sean tan ágiles como las redes que necesitan proteger (y los ciberdelincuentes de los que necesitan defenderse), necesitan actualizaciones procesables para seguir el ritmo del cambiante panorama de las amenazas. Esto significa que incluso las soluciones de seguridad más rápidas y adaptables solo son tan eficaces como la infraestructura de inteligencia de amenazas y los investigadores que las soportan.

Con el COVID-19 los CISO se han enfrentado a una tarea aparentemente imposible: mantener las redes de la empresa seguras mientras los empleados siguen trabajando desde casa, tal vez indefinidamente. Y han necesitado hacerlo con un presupuesto limitado, menos recursos, y un equipo de profesionales de seguridad reducido. ¿La solución? Establecer un protocolo de ciber higiene para toda la organización, construyendo la infraestructura de seguridad de la red remota desde cero.

Al centrarse en la formación, la concienciación y la educación, los empleados podrán realizar mejor las tareas básicas de seguridad, como la actualización de los dispositivos, la identificación de comportamientos sospechosos y la práctica de una buena ciber higiene en todos los equipos. Después de esto, es esencial que las organizaciones inviertan en los sistemas y soluciones adecuadas - desde las VPN hasta el software antimalware y las tecnologías de cifrado - que permitan una visibilidad clara y un control granular de todo el panorama de las amenazas. La complejidad es el enemigo de la seguridad, por lo que la mejor respuesta a un mundo digital cada vez más complicado y altamente dinámico es volver a lo básico. Y eso comienza con la ciber higiene.