En los últimos dos años, el éxito de varios ataques maliciosos contra empresas de los sectores de servicios financieros, gubernamental y privado ofrece claramente una indicación de los cambios que están ocurriendo en la industria de la seguridad de la red. Según datos aportados por el Instituto Ponemon, el coste medio de una violación de datos es de 3,79 millones de dólares, con un coste medio por registro comprometido de más de 154 dólares.
Tal y como ha confirmado el Informe de seguridad sobre el estado de Internet del primer trimestre de 2016, de Akamai, la amenaza de ataques DDoS (distributed denial of service) y la planteada por aplicaciones web no está remitiendo. De hecho, en el primer trimestre de 2016, Akamai ha mitigado más de 4 500 ataques DDoS, con un incremento del 125% en comparación con el primer trimestre de 2015. Casi un 60% de dichos ataques DDoS utilizaron al menos dos vectores de ataque a la vez, lo que hace que la defensa sea más difícil. La función multivector se ha convertido en una capacidad estándar en el mercado de alquiler de DDoS y hasta los actores menos expertos pueden acceder a ella.
Hay que tener en cuenta que, pese a disponer de importantes medidas de seguridad, todavía hay empresas que siguen siendo víctimas de ciberataques. En todos los casos, las organizaciones disponían de los tradicionales dispositivos de seguridad de red en sus instalaciones, pero, aun así, perdieron propiedad intelectual sensible.
Desgraciadamente, dichos ataques demostraron que confiar en metodologías tradicionales no es suficiente para parar las amenazas modernas. Si bien estos mecanismos reactivos ofrecen una capa de seguridad, saber qué amenazas acechan en Internet —y proteger de forma proactiva la infraestructura web crítica contra estas amenazas— puede ser de un valor incalculable.
Amenazas que vuelan por debajo del radar
Protegerse contra ataques armados con avanzadas tecnologías requiere una estructura basada en inteligencia que agregue y correlacione información procedente de una variedad de fuentes de gestión unificada de amenazas. Requiere una plataforma unificada que puede analizar el comportamiento del usuario con datos internos y fuentes externas, para determinar si los usuarios de una red están haciendo su trabajo o algo más malicioso. Esto plantea una serie de retos a las organizaciones:
Limitaciones para analizar grandes conjuntos de datos prácticamente en tiempo real. El big data y las plataformas de analítica existen desde hace tiempo. Sin embargo, la amplia adopción de la protección web impulsada por la analítica ha sido relativamente lenta, debido a las grandes inversiones que requiere.
Falta de motores heurísticos. La aplicación de la heurística predomina en los sistemas endpoint, pero su uso en mecanismos de defensa web proactivos es relativamente limitado.
Escasa experiencia. Los profesionales de seguridad cualificados son difíciles de encontrar y caros de emplear. Actualmente, esto ha creado una brecha crucial en la seguridad debido a la falta de inversión en profesionales cualificados por parte de las organizaciones. Los conocimientos requeridos para gestionar y mantener los últimos conjuntos de reglas y ofrecer un soporte experto contra ataques exigen una elevada remuneración, pero sigue siendo bastante económico si se compara con los impactos financieros causados por una brecha de seguridad típica.
La monitorización de reputación se centra en la fuente de la amenaza, los clientes web
Estrategias proactivas de defensa
Cuando la criminalidad crece en el barrio, los sistemas de seguridad domésticos ofrecen una protección adicional, así como tranquilidad a los residentes. Con la seguridad online pasa algo similar cuando los controles alertan y protegen a las organizaciones contra un incremento de la actividad web maliciosa.
De igual forma, con un sistema de alarma que monitoriza las ventanas y las puertas, es más arriesgado y difícil para un intruso entrar a robar; esto es parecido a la manera de actuar de un cortafuegos para aplicaciones web (web application firewall – WAF), que detiene las peticiones individuales basadas en su payload.
Por ejemplo, con una cámara de perímetro se puede comparar a una persona que haya en la entrada de la casa con una lista de ladrones conocidos, y alertar a la policía para detener un crimen antes de que se cometa. Del mismo modo, los servicios de monitorización reputacional pueden alertar y bloquear las fuentes conocidas de tráfico malicioso.
La monitorización de reputación ofrece esta protección adicional centrándose en la fuente de la amenaza —los clientes web— y deteniendo el ataque antes de que alguna solicitud maliciosa llegue al WAF para ser inspeccionada. Esta aproximación utiliza algoritmos avanzados sobre los datos recogidos en un gran volumen de clientes web para identificar a actores maliciosos.
Los clientes web maliciosos se clasifican, según su comportamiento pasado y probabilidad actual de involucrarse, en cuatro tipos de comportamiento de ataque: ataque a la capa de aplicaciones, escaneo e inspección del sitio web, otros lanzamientos y ataques DDoS.
Por tanto, la monitorización de la reputación del cliente ofrece a las organizaciones la capacidad de estudiar una dirección IP cliente específica y predecir, a partir de su comportamiento pasado, si este cliente estará involucrado en ataques futuros en su plataforma de aplicaciones web. Además, los datos pueden ayudar a predecir el intento de solicitudes futuras desde una dirección IP cliente específica.
Monitorización reputacional
Las aplicaciones web se han convertido en un elemento básico de Internet, desde las aplicaciones SaaS empresariales hasta las de tipo móvil para el área de consumo. Por ejemplo, Gartner espera que, en 2016, en torno a un 25% de los grandes bancos desplieguen una tienda de aplicaciones de banca para mejorar el descubrimiento de aplicaciones, la experiencia y colaboración del usuario. Desgraciadamente, el incremento de las aplicaciones web dará como resultado un aumento de los objetivos de robo de datos para los ciberatacantes. En otras palabras, los actores maliciosos seguirán el dinero a lo largo de la pila de aplicaciones.
Antes era suficiente monitorizar solo las puertas y las ventanas. Hoy, los sistemas de seguridad domésticos incluyen sensores de movimiento y todo tipo de cámaras. Al igual que ocurre en los mejores sistemas de seguridad domésticos, que funcionan en múltiples perímetros, las organizaciones actuales necesitan adoptar una aproximación similar hacia la ciberseguridad para protegerse contra las crecientes amenazas de robo de datos.
La respuesta reside en entender que esta defensa multicapa es clave y que existen tecnologías que añaden otra capa de protección que complementa las defensas existentes.
Añadir la monitorización reputacional a una estrategia de seguridad cloud no solo ayuda a detener los ataques maliciosos a la fuente, sino que ofrece también la inteligencia de seguridad que se requiere para tomar mejores decisiones en materia de seguridad y evaluar mejor los riesgos.
Disponer de un servicio que ofrece la capacidad de prever una amenaza antes de que ocurra debería ser una inversión fácilmente justificable para mantener la continuidad empresarial y minimizar el impacto de las ciberamenazas.
