Mientras los responsables de seguridad informática de empresas y administraciones públicas apuestan por el concepto de Zero Trust, APTS (Advanced Persistent Threats) está poniendo a prueba su eficacia práctica. Los analistas, por otro lado, entienden que Zero Trust solo se puede lograr con una visión integral de la propia red.
Recientemente, un ataque que se cree fue perpetrado por el grupo de hackers chinos Tormenta-0558 se dirigió a varias agencias gubernamentales. Usaron tokens de autenticación digital falsos para acceder a las cuentas de correo web que se ejecutan en el servicio Outlook de Microsoft. En este incidente, los atacantes robaron una clave de firma de Microsoft, lo que les permitió emitir tokens de acceso funcionales para Outlook Web Access (OWA) y Outlook.com y descargar correos electrónicos y archivos adjuntos. Debido a un error de verificación de plausibilidad, la firma digital, que solo estaba destinada a cuentas de clientes privados (MSA), también funcionó en Azure Active Directory para clientes comerciales.
Abrazando la revolución de la confianza cero
Según un informe del proveedor Okta (State of Zero-Trust Security 2022), el 97% de los encuestados ya están comprometidos con una estrategia de confianza cero o planean implementar una en los próximos 18 meses. Esto ha aumentado el porcentaje de defensores de Zero Trust del 24% (2021) al 55% (2022). El modelo de seguridad conocido como Zero Trust es una estrategia de seguridad general diseñada para auditar y verificar continuamente el acceso a los recursos, tanto interna como externamente. Muchas organizaciones están adoptando esta estrategia de seguridad basada en el principio de que los dispositivos de red y los usuarios deben demostrar constantemente su identidad, ya que no son de confianza automáticamente.
Zero Trust se basa en la supervisión continua y el control dinámico de las aplicaciones, los usuarios y los dispositivos. Limita el acceso a los recursos al mínimo absoluto y todas las identidades en la plataforma se evalúan utilizando los mismos criterios que los anfitriones. El objetivo general es mejorar la seguridad otorgando acceso solo a aquellos que prueban continuamente su identidad y cuyo comportamiento está bajo escrutinio constante.
Mirando más allá del perímetro: lo que realmente está sucediendo en su red
Sin duda, la gestión de identidades y accesos (IAM) juega un papel fundamental en Zero Trust. Desafortunadamente, la verificación constante de las identidades de los usuarios resulta ineficaz en casos de robo de identidad. Además, los atacantes pueden eludir estos sistemas mediante la manipulación de metainformación, como la geolocalización de un inicio de sesión potencial, utilizando una dirección VPN falsificada. Los sistemas IDS/IPS tienen la tarea de detectar actividades sospechosas o no autorizadas, infecciones de virus, malware y ransomware, ataques de día cero, inyección SQL y más. Sin embargo, los sistemas IDS/IPS a menudo solo detectan firmas conocidas, como dominios maliciosos o direcciones IP previamente identificados. Si un dominio no se ha marcado como malicioso de antemano, las soluciones de seguridad convencionales pueden pasarlo por alto, lo que permite a los atacantes explotar el eslabón débil de la cadena. En consecuencia, los sistemas de ciberseguridad tradicionales a veces pueden fallar cuando se trata de actualizar Zero Trust en acción.
Para implementar una estrategia de seguridad Zero Trust de manera efectiva, las organizaciones recurren cada vez más a las herramientas de análisis de red, como recomendó recientemente la firma analista Forrester («The Network Analysis and Visibility Panorama, Q1 2023»). Según el informe de Forrester, los profesionales de la seguridad y los riesgos deben emplear herramientas de detección y respuesta de red (NDR) para monitorear sus redes, buscar amenazas, detectar aplicaciones y activos, y capturar paquetes de datos maliciosos. Estas acciones contribuyen a la detección efectiva de amenazas dentro de las infraestructuras de TI.
Detección y respuesta de red (NDR): el héroe anónimo de la seguridad Zero Trust
Las soluciones NDR son vitales para crear una arquitectura Zero Trust resistente y eficaz. Brindan visibilidad en tiempo real del tráfico de la red, monitorean el comportamiento del usuario y la actividad del dispositivo, y permiten una rápida detección y respuesta a operaciones de red sospechosas o actividades anómalas. Esta visibilidad se extiende a todos los sistemas operativos, servidores de aplicaciones y dispositivos IoT.
Forrester ha destacado que a menudo se subestima la importancia de las redes empresariales en los ataques cibernéticos. Los ciberdelincuentes usan identidades falsas o exploits de día cero para infiltrarse en las redes corporativas, luego se mueven lateralmente por la red para buscar objetivos, obtener acceso a sistemas privilegiados, instalar ransomware u otro malware y filtrar datos corporativos. NDR facilita el reconocimiento interno, donde el atacante examina objetivos potenciales, o la detección de movimiento lateral cuando el atacante ya está en la red. Los sistemas NDR recopilan datos de todos los conmutadores y funcionan completamente sin agentes, que pueden no ser instalables en muchos entornos.
Machine Learning NDR: el nuevo estándar en la detección de anomalías
Con Machine Learning (ML), los sistemas de detección y respuesta de red (NDR) son capaces de detectar anomalías de tráfico sin depender de «indicadores de compromiso» (IoC) conocidos y almacenados previamente. Estos modelos de ML están diseñados para recibir capacitación continua, lo que les permite detectar nuevas amenazas y técnicas de ataque. Este enfoque acelera significativamente la detección de actividades maliciosas y permite la mitigación temprana de ataques. Además, ayuda a identificar comportamientos desconocidos y sospechosos y minimiza el tiempo que los atacantes pueden pasar desapercibidos dentro de una red, lo que mejora la seguridad general.
 |
| Cómo ExeonTrace, un NDR líder basado en ML, analiza los metadatos para proporcionar visibilidad de la red, detección de anomalías y respuesta a incidentes. |
Algoritmos de aprendizaje automático establecer la línea de base del comportamiento normal de la red mediante el análisis de datos y algoritmos para aprender qué es «normal» para la red en los patrones de comunicación. Estos algoritmos están entrenados para aprender qué constituye actividad «normal» para la red, lo que les permite detectar desviaciones de esta línea de base establecida. Los ejemplos de tales desviaciones incluyen conexiones sospechosas, transferencias de datos inusuales, patrones de tráfico que se salen de las normas establecidas, movimientos laterales dentro de la red, exfiltración de datos y más.
Exeon es un proveedor líder de soluciones NDR con sede en Suiza con una sólida base de conocimientos y una base arraigada en la experiencia en ciberseguridad. La plataforma NDR, Exeon Trace, ofrece un monitoreo integral de la red impulsado por tecnología avanzada de aprendizaje automático. Permite la detección automatizada de posibles ciberamenazas, lo que la convierte en una herramienta esencial para los equipos del Centro de operaciones de seguridad (SOC) y los Directores de seguridad de la información (CISO), que están comprometidos con la implementación y el mantenimiento de una sólida estrategia de seguridad Zero Trust.
¿Está interesado en ver cómo NDR de Exeon fortalece la ciberseguridad y permite implementaciones efectivas de Zero Trust? Considerar reservar una demostración con Exeon para presenciar de primera mano cómo se ponen en acción Zero Trust y la resiliencia cibernética.
