¿Un solo proveedor de plataforma de seguridad o varios proveedores de soluciones líderes para su arquitectura de seguridad?

/0 Comentarios/en /por

En el debate sobre adoptar una plataforma de ciberseguridad «todo en uno» frente a reunir las mejores soluciones posibles, solo existe una respuesta: depende. Debe preguntarse lo siguiente: ¿Cuántas herramientas distintas puede permitirse? ¿El software de su empresa está diseñado pensando en la seguridad? ¿Tiene recursos humanos cualificados para gestionarlo todo? ¿Tiene sentido esta estrategia, ahora que hay un mayor número de usuarios fuera de la organización y la mayoría de los servicios que se utilizan están en la nube?

Tradicionalmente, tener las distintas soluciones líderes significaba adquirir varios programas de seguridad, y que cada uno de ellos fuera la mejor herramienta para determinado problema individual y para cada uso concreto. Por ejemplo, se podría utilizar un firewall de nueva generación SonicWall, pero recurrir a otro proveedor para adquirir una solución para endpoints de nueva generación, a un tercero para la correlación de registros de eventos en la red, etc.

Desafíos empresariales

El trabajo híbrido y remoto ha cambiado para siempre el panorama de la TI, ya que ahora los usuarios trabajan desde cualquier lugar y en cualquier momento. Dado que hasta un 70 % de los empleados adoptan hoy la modalidad de teletrabajo, proteger los endpoints nunca había sido un componente tan crítico para la seguridad del perímetro.

Al mismo tiempo que se ha producido este cambio, la pandemia de COVID-19 ha acelerado la transformación digital; como resultado, cada vez más clientes migran a aplicaciones SaaS y en la nube.

Ya es hora de que las organizaciones echen otro vistazo a su arquitectura de seguridad.

Ventajas y desventajas de tener as mejores soluciones tecnológicas de seguridad de distintos proveedores

En primer lugar, examinemos las ventajas:

  • Los productos de seguridad están más especializados, lo que se traduce en que encajan mejor y tienen una mayor funcionalidad.
  • Proporciona las mejores prestaciones del sector para que las operaciones de seguridad gestionen y controlen los riesgos para la seguridad.
  • Las tecnologías de seguridad separadas son más fáciles de desconectar y reemplazar, si es necesario, por lo que permiten más agilidad para responder a las necesidades del negocio.
  • Existe menos riesgo de depender de un solo proveedor, ya que cualquier producto de seguridad de la arquitectura se puede reemplazar con otro, del mismo proveedor o de uno distinto.
  • En la decisión de compra y la gestión de una solución puntual hay menos gente involucrada.

No obstante, este enfoque de elegir distintas soluciones líderes del sector también tiene desventajas significativas:

  • Implementar en cada capa la solución tecnológica líder en seguridad es engorroso. Al integrar varias tecnologías de seguridad de varios proveedores distintos en la capa de detección y respuesta, la interoperatividad se vuelve un desafío.
  • La arquitectura de seguridad actual está cambiando, pasando de ser una estrategia preventiva a ser un enfoque de detección y respuesta, con un diseño basado en que, tarde o temprano, la red se verá comprometida. Añadir la tecnología de seguridad líder para cada problema hace que aumente el coste y se complique la gestión.
  • La escasez de habilidades de seguridad es otro gran problema del sector de la ciberseguridad, y se ve exacerbado por las estrategias que consisten en elegir distintas soluciones líderes. Ese «collage» de productos aumenta la complejidad y hace que también aumente el número de personas capacitadas que son necesarias para gestionar las operaciones de seguridad.
  • Si las soluciones líderes no están bien gestionadas, el coste de propiedad puede ser significativo, especialmente para una PYME. Por no mencionar que gestionar a varios proveedores de seguridad y cuidar las relaciones con ellos puede requerir una inversión de tiempo sustancial.

Ventajas y desventajas de tener una plataforma de seguridad de un solo proveedor

Estas son algunas ventajas de la estrategia de contar con una plataforma de seguridad:

  • Una de las mayores ventajas de los proveedores de plataformas de seguridad consiste en que la operación está interconectada: las tecnologías de endpoint, red y seguridad de nube trabajan conjuntamente para abordar las amenazas conocidas y desconocidas.
  • Habilitar la inteligencia artificial y la automatización puede ser más sencillo si todo se maneja desde la misma interfaz y si se trabaja en una malla de seguridad.
  • Con una estrategia de arquitectura de seguridad basada en asumir que se producirá el compromiso, los proveedores de plataformas de seguridad reducen el TCO, al proporcionar en su plataforma capacidades EDR (respuesta para endpoints) y XDR (respuesta de detección ampliada). Los clientes pueden utilizar esas herramientas del proveedor para detectar las amenazas, responder a ellas e implementar inteligencia artificial para detectar amenazas avanzadas.
  • Los proveedores de plataformas de seguridad ofrecen tecnologías disruptivas, como SASE, CASB y XDR, que son soluciones de seguridad nativas de nube que trabajan juntas para abordar el riesgo de las amenazas avanzadas.

Pero esta estrategia también tiene desventajas:

  • Depender de un solo proveedor puede ser un problema.
  • La funcionalidad de la seguridad de algunas funciones puede verse comprometida en cuanto a la facilidad de uso, si se compara esa función con un producto de seguridad especializado, por ejemplo, soluciones XDR dedicadas y soluciones SIEM o SOAR.
  • Los proveedores de la plataforma podrían no ofrecer todas las soluciones de seguridad que la organización está buscando, es decir, podría ser necesario utilizar una estrategia híbrida con un proveedor para la plataforma de seguridad y otro para alguna solución líder en el sector, con el fin de mitigar el riesgo.
  • Para seleccionar el proveedor de la plataforma de seguridad, puede que sea necesario involucrar a un mayor número de personas interesadas y del equipo directivo.

En el pasado, puede haber escuchado a más CIO comentar que depender de un solo proveedor era un problema, pero actualmente eso no se escucha con tanta frecuencia.

El motivo es que las ventajas de las plataformas de seguridad de un solo proveedor compensan las desventajas con creces. Desde hace tres o cuatro años, eso supone un enorme cambio en el sector: el movimiento hacia el trabajo híbrido ha reducido significativamente la diferencia entre esas dos estrategias.

La convergencia de la tecnología de seguridad se está acelerando en distintas disciplinas. La consolidación del proveedor de seguridad se apoya en un enorme cambio en la arquitectura de los sistemas, lo que, a su vez, se debe al cambio hacia el trabajo híbrido que se ve en las plantillas actuales.

El enfoque de una plataforma de seguridad consolidada es el futuro, impulsado por la necesidad de reducir la complejidad, potenciar los puntos en común y minimizar los gastos de gestión. La consolidación de la tecnología no se limita a un área ni a un conjunto de tecnologías estrechamente interrelacionadas; esas consolidaciones suceden en paralelo en muchas áreas de la seguridad.

Todavía puede haber algunos clientes —como los que tienen completos centros de operaciones de seguridad y equipos de respuesta a incidentes, que todavía tienen muchas aplicaciones alojados en centros de datos físicos— para quienes la estrategia de elegir las soluciones líderes en el sector pueden ser lo más idóneo (no obstante, incluso en este caso, para reducir el TCO, es necesario tener en cuenta la evaluación de seguridad y el ROI).

Pero para muchos clientes, especialmente, para aquellos que tienen empresas distribuidas que cubren varias oficinas y para aquellos que tienen muchas aplicaciones nativas de nube, lo más acertado es tener un proveedor de plataforma única que ofrece SASE, CASB, NGFW y soluciones de protección de endpoints.

En los últimos 4 años, en SonicWall hemos acelerado nuestras innovaciones de productos y hemos alineado nuestra estrategia de productos con varias de las tendencias clave del sector. Ahora tenemos plataformas tecnológicas para abordar las necesidades de seguridad de la mayoría de los clientes corporativos.

Durante los últimos cuatro años, SonicWall ha introducido un número incontable de innovaciones y de nuevos productos de seguridad. Nuestra cartera de productos ahora incluye ofertas escalables que sirven para empresas de todos los tamaños y proporciona un rendimiento líder en el sector, a un menor TCO y con una capacidad de detección de malware inigualable en el sector.

Las ofertas de SonicWall son adecuadas, tanto para una estrategia basada en distintas soluciones líderes como para una estrategia de proveedor único. Para obtener más información sobre la plataforma de seguridad de SonicWall, visite nuestra página Web: https://www.sonicwall.com/ex-mx/capture-cloud-platform/.

Por qué las organizaciones deberían adoptar WiFi 6 cuanto antes

/0 Comentarios/en /por

Las organizaciones evolucionan. Unas más deprisa, y otras más lentas. Pero, a lo largo de los últimos tres años, el ritmo de cambio para todas se ha hiperacelerado.

A comienzos de 2020, muy pocas personas podrían haber previsto los cambios que se iban a desencadenar en todo el mundo. Y menos personas todavía habrían adivinado el impacto a largo plazo que la pandemia de COVID-19 tendría en la forma en que los ocho mil millones de habitantes del mundo vivirían y trabajarían.

Antes de la pandemia, solo alrededor de un 2 % de los empleados trabajaban en remoto. En mayo de 2020, ese número había subido hasta el 70 %, según la Society for Human Resource Management. Este giro ha sido posible porque las organizaciones pudieron ajustar su infraestructura para satisfacer las nuevas demandas laborales, y la tecnología inalámbrica desempeñó un papel importante en esa solución.

No obstante, la importancia de la tecnología inalámbrica va más allá de posibilitar que los empleados trabajen desde sus casas.  Según un estudio realizado, el 87 % de las organizaciones creen que adoptar funciones inalámbricas avanzadas puede ser una ventaja competitiva, ya que les permite innovar y aumentar su agilidad. Y el 86 % de los ejecutivos de networking cree que adoptar una tecnología inalámbrica avanzada transformará su organización.

Pero la tecnología inalámbrica no solo influye en cómo trabajamos: ha cambiado la forma en que compramos, vemos películas, escuchamos música, viajamos en el coche o pasamos tiempo con la familia y los amigos (que pueden, en algunos casos, estar en otro continente). Y todos y cada uno de nosotros esperamos que la experiencia sea buena cada vez que utilizamos una conexión inalámbrica. Pero eso es mucho pedir, sobre todo, si tenemos en cuenta el ingente número de dispositivos que hay en el mundo y el continuo crecimiento del ancho de banda consumido.

La necesidad de una tecnología inalámbrica segura y de alto rendimiento nunca había sido mayor, y Wi-Fi 6 es un paso gigante hacia esa realidad. Los puntos de acceso SonicWave 641 y SonicWave 681 proporcionan la combinación de rendimiento y seguridad que todos necesitamos.

¿Qué es Wi-Fi 6?

Wi-Fi 6, también llamada 802.11ax, es la sucesora de Wi-Fi 5 (802.11ac Wave 2). Aunque el objetivo principal de Wi-Fi 6 es ampliar el rendimiento en entornos complejos, existen beneficios adicionales:

  • El soporte multiusuario de OFDMA puede hacer que los puntos de acceso Wi-Fi 6 sean más eficientes que el OFDM monousuario. El resultado es una menor latencia.
  • Wi-Fi 6 utiliza WPA3, que proporciona funciones avanzadas de seguridad para permitir una autenticación más robusta.
  • La codificación BSS por colores señala el tráfico que comparte frecuencia para determinar si esta se puede compartir. El resultado es una menor interferencia y un servicio más sistemático en los entornos complejos.
  • Target Wake Time (TWT) permite a los dispositivos determinar con qué frecuencia se despertarán o recibirán datos, lo que se traduce en una mayor duración de las baterías.
  • La funcionalidad MU-MIMO (multiusuario, múltiple entrada, múltiple salida) de Wi-Fi 6 permite varios usuarios dentro de un único entorno de red. Gracias a eso, varios usuarios pueden subir y descargar datos al mismo tiempo, lo que, a su vez, se traduce en menos tiempo de espera y una mayor velocidad de la red.

Algunas de esas características se han diseñado para mejorar el rendimiento, mientras que otras se han diseñado para mejorar la seguridad. Cualquiera de ellas puede suponer una diferencia positiva para la red inalámbrica de una organización.  Sin embargo, cuando se combinan, las mejoras de funcionalidad que proporciona Wi-Fi 6 pueden convertirse en un avance significativo en la red inalámbrica de cualquier organización.

SonicWave 641 y SonicWave 681

SonicWave 641 y SonicWave 681 de SonicWall son puntos de acceso Wi-Fi 6 que proporcionan un rendimiento inalámbrico y una seguridad superiores al estándar 802.11ac.

Pero con SonicWave 641 y SonicWave 681 existen beneficios adicionales, como SonicWall Capture Security Center, un sistema escalable de gestión de seguridad en la nube que le ayuda a controlar los activos y a defender toda su red frente a los ciberataques.

Los puntos de acceso de las series SonicWave 600 también se integran con Wireless Network Manager, un sistema intuitivo de gestión de red centralizada que utiliza la nube para facilitar la gestión de entornos complejos de seguridad e inalámbricos, con un portal de gestión de consola única.

WiFi Planner es una herramienta de análisis de emplazamientos que permite diseñar e implementar de forma óptima una red inalámbrica para obtener la máxima cobertura con el menor número de puntos de acceso, lo que se traduce en un menor TCO.

Y la aplicación móvil SonicExpress le permite registrarse y utilizar fácilmente Wireless Network Manager para configurar, gestionar y monitorizar los dispositivos inalámbricos SonicWall.

Tener una red inalámbrica sólida no es un capricho, sino una necesidad. Lo que las organizaciones actuales necesitan es el alto rendimiento y la gran seguridad que proporcionan los puntos de acceso SonicWave 641 y SonicWave 681.

Para saber más sobre los puntos de acceso SonicWave 641 y SonicWave 681, así como sobre toda la cartera de productos inalámbricos de SonicWall, visite www.sonicwall.com/secure-wireless.

Inteligencia de amenazas del primer semestre de 2022: Las fuerzas geopolíticas están redefiniendo rápidamente los frentes de la ciberdefensa

/0 Comentarios/en /por

La ciberseguridad y la geopolítica siempre han estado vinculadas de forma inseparable, como hemos podido comprobar cada vez con mayor claridad durante los últimos seis meses en nuestro análisis del panorama de las amenazas. Según los datos de la Actualización semestral del Informe de Ciberamenazas 2022 de SonicWall, EEUU, Reino Unido y otros focos del cibercrimen están registrando descensos en la actividad de los cibercriminales, mientras que numerosas regiones tradicionalmente menos afectadas están observando un repunte de las amenazas.

“Actualmente, en el panorama internacional de las amenazas se está observando una migración activa que está cambiando profundamente los retos no solo en Europa, sino también en Estados Unidos,” afirmó el experto en amenazas emergentes de SonicWall Immanuel Chavoya. “Los cibercriminales se están esforzando más que nunca por mantenerse un paso por delante de la industria de la ciberseguridad. Además, a diferencia de muchas de las empresas a las que atacan, a menudo no les faltan habilidades, motivación, experiencia ni fondos en sus organizaciones.”

Sin embargo, en la primera mitad de 2022 no solo están cambiando los blancos, sino también las tendencias. El malware y el ransomware han invertido el rumbo y, por primera vez en años, estamos observando aumentos en el malware y descensos en el ransomware. Los datos de las amenazas han revelado asimismo el auge en algunas tendencias, como los picos que estamos viendo en el malware de IoT y en otros tipos de amenazas. A continuación, presentamos algunos de los principales hallazgos:

El malware ha vuelto

Tras protagonizar una tendencia a la baja durante varios trimestres, el malware ha aumentado un 11% en todo el mundo durante la primera mitad de 2022. Si bien la caída del ransomware ha contribuido a atenuar este aumento, el ascenso del cryptojacking y las tasas disparadas de malware de IoT han sido más que suficientes para impulsar una subida de dos dígitos.

Muy pocas tendencias de las ciberamenazas son universales, y el aumento del malware no es ninguna excepción. No obstante, el hecho de que lugares donde suelen registrarse numerosos ataques de malware, como EEUU, Reino Unido y Alemania, hayan experimentado descensos, podría indicar que estos focos mundiales están empezando a cambiar.

El Ransomware cae casi un cuarto

Aunque el ransomware ha aumentado drásticamente en los últimos dos años, durante la primera mitad de 2022, el volumen mundial de los ataques ha caído un 23%. Este esperadísimo retroceso parece producirse en gran parte como resultado de factores geopolíticos, ya que los grupos de ransomware en Rusia se esfuerzan por mantener su ritmo pese al actual conflicto con Ucrania.

Lamentablemente, teniendo en cuenta las actuales tendencias mundiales a largo plazo, no se espera que esta tregua dure mucho tiempo.

“A medida que los cibercriminales diversifican sus tácticas y tratan de ampliar sus vectores de ataque, esperamos que el volumen mundial de ransomware ascienda, no solo en los próximos seis meses, si no en los próximos años,” afirmó el Presidente y CEO de SonicWall Bill Conner. “Con tanta agitación en el plano geopolítico, el cibercrimen se está volviendo cada vez más sofisticado y variado en lo que se refiere a herramientas, amenazas, blancos y ubicaciones.”

Sin embargo, el ransomware también está cambiando, y algunas zonas están registrando cifras que difieren considerablemente de las habituales. En Norteamérica, donde normalmente se produce la mayor parte de los ataques de ransomware, se ha registrado un descenso del 42% en el volumen de ataques, mientras que en Europa se ha producido un aumento del 63%.

Las detecciones de RTDMI aumentan drásticamente

En los primeros seis meses de 2022, la tecnología patentada Real-Time Deep Memory Inspection™ (RTDMI) de SonicWall ha descubierto 270.228 variantes de malware nunca antes vistas, lo cual supone un aumento del 45% con respecto al mismo periodo de 2021.

Incluida con el servicio de sandbox Capture Advanced Threat Protection, esta tecnología recurre al aprendizaje automático para maximizar su efectividad a la hora de identificar amenazas nuevas y avanzadas, y continúa mejorando cada año: desde su introducción a principios de 2018, la cantidad de nuevas variantes descubiertas por la tecnología RTDMI ha aumentado un 2.079%.

El malware de IoT aumenta un 77%

Con más dispositivos de IoT conectados a Internet que nunca, no es de extrañar que los cibercriminales oportunistas estén optando cada vez más por los ataques de malware de IoT. Desde el principio del año, el volumen de malware de IoT ha aumentado un 77% hasta alcanzar los 57 millones – la mayor cifra desde que SonicWall empezó a hacer un seguimiento de estos ataques, y casi tantos como se registraron en todo el año 2021.

El aumento de las amenazas cifradas llega a los tres dígitos

En el primer semestre de 2022, las amenazas cifradas han subido un 132% con respecto al mismo periodo del año pasado. Esto se debe a que en el segundo trimestre se produjo una cantidad de ataques más elevada de lo habitual: el volumen de ataques aumentó tanto en mayo que se convirtió en el mes con el segundo mayor volumen de amenazas cifradas jamás registrado por SonicWall.

Los documentos de Office siguen ocasionando problemas de ciberseguridad

/0 Comentarios/en /por

Ha vuelto Emotet. Los archivos de Word, Excel y otros formatos de Office 365 siguen siendo vectores críticos de las ciberamenazas. ¿Cómo lo evitamos?

Aunque casi con una semana de retraso, Tom finalmente recibió el presupuesto de Tetome Supply.

Estaba deseando echarle un vistazo, pero sabía, gracias a los cursos trimestrales sobre ciberseguridad, que debía tener cuidado. Así que estudió cuidadosamente la dirección de correo y el nombre del remitente y se aseguró de que el archivo adjunto era un documento Word y no un archivo .exe. Se sintió más seguro por el texto del mensaje, en el que el remitente le daba las gracias por su paciencia y le preguntaba por su nuevo perrito.

Tom se tomaba el primer café de la mañana mientras echaba un vistazo a los titulares del día en su teléfono. Apareció un mensaje en el monitor que le informaba de que el .doc se había creado en iOS y que tenía que habilitar la edición y el contenido. Finalmente, pudo ver el contenido del documento, pero también puso en marcha una reacción en cadena.

Por lo que Tom veía, el documento solo contenía la información sobre el precio. Nada indicaba que Emotet se había descargado desde una web comprometida, a través de un comando Powershell. Ni que se había utilizado Trickbot como respaldo para Emotet.

Ya era demasiado tarde. Unos días más tarde, cuando Tom abrió su portátil, una nota le informaba de que todos sus archivos estaban cifrados y que los hackers no los desbloquearían hasta que les pagase 150.000 dólares en bitcoins. La nota iba firmada por Ryuk.

No es momento de relajarse.

Durante la primera mitad de 2019, los PDF maliciosos superaron a los archivos maliciosos de Office 365, con una diferencia de 36.488 a 25.461. Después, en 2020, el número de PDF descendió un 8% respecto al mismo período de 2019, mientras que el número de archivos maliciosos de Microsoft Office subía como la espuma a 70.184, una subida del 176%.

La revista Wired dijo de Emotet que es el malware más peligroso del mundo. Por eso, no es sorprendente que en enero de 2021 las fuerzas de seguridad de los principales países se unieran para desbaratar la infraestructura de Emotet, que se incrustaba en los servidores y equipos de más de 90 países. Como resultado de la operación se detuvieron algunos delincuentes y se confiscaron equipos, dinero en efectivo e incluso barras de oro que las bandas habían acumulado.

Es verdad que descendió el uso de los archivos de Microsoft Office en los ataques. Según el Informe de Ciberamenazas 2022 de SonicWall, los PDF volvieron a ser el vector preferido para los ataques, y su uso con fines maliciosos aumentó el 52%, mientras que el uso de archivos Microsoft Office maliciosos se redujo en un 64%. Esa tendencia suponía una inversión marcada y, aun así, todavía no podíamos suspirar de alivio.

A graph showing the rise of never-seen-before malware variants.

Vuelven los ataques de Emotet

Según unos informes recientes de Bleeping Computer, Threatpost y el SansTechnology Institute, en los 10 meses siguientes desde su publicitado desmantelamiento en enero de 2021, Emotet volvió para vengarse. Los ciberdelincuentes están distribuyendo de forma activa documentos de Microsoft Office infectados, archivos ZIP y otros archivos cargados con código Emotet.

Aunque todavía es demasiado pronto para observar una tendencia, de forma anecdótica podemos decir que se ven cambios significativos, como el cifrado de los activos de malware y una nueva estrategia que incluye ataques de phishing dirigidos con avisos de envío, documentación fiscal, informes de contabilidad, incluso invitaciones a fiestas y ataques mediante la cadena de respuestas de los mensajes.

En menos de 10 meses, los anteriores esfuerzos por controlar Emotet se han desvanecido, y hemos vuelto a la casilla de salida.

Cómo protegerse de archivos maliciosos de Office 365

Bastan unas cuantas sencillas medidas para protegerse a sí mismo y a otros usuarios de su red contra amenazas complejas. Puede empezar por cambiar la configuración de Office 365 para deshabilitar los scripts y las macros y asegurarse de que sus endpoints y sistemas operativos tengan las últimas actualizaciones para Windows.

Puede definir como política de la empresa el no enviar documentos y otros archivos por correo electrónico. Asimismo, puede mantenerse al día con la distribución periódica de parches y actualizaciones de Windows. Todos estamos ocupados, pero cuando dejamos que las actualizaciones se espacien, estamos literalmente permitiendo que los ataques exploten esas vulnerabilidades para tener éxito.

Asimismo, podemos reforzar aún más nuestra resistencia ante los ataques. 2021 fue otro año importante para la tecnología patentada por SonicWall Real-Time Deep Memory Inspection™ (RTDMI), que detectó 442.151 variantes de malware completamente nuevas en 2021, un 65% más que en 2020, con un promedio de 1.211 al día.

A graph showing new malicious file type detections in 2021.

Capture ATP, 100 % capturas y 0 % falsos positivos

Lo mejor de RTDMI es que está integrado en Capture Advanced Threat Protection (ATP) de SonicWall. Además, en unas pruebas trimestrales independientes realizadas por ICSA Labs, RTDMI identificó el 100 % de las amenazas maliciosas, sin dar un solo falso positivo durante cinco trimestres seguidos.

Capture ATP con RTDMI utiliza soluciones propietarias para la inspección de memoria, seguimiento de instrucciones en la CPU y prestaciones de aprendizaje automático para detectar y parar ciberataques nunca antes vistos, incluidas aquellas amenazas que no presentan un comportamiento malicioso y que ocultan su comportamiento mediante el cifrado, precisamente los ataques que los sandboxes tradicionales muy probablemente pasarían por alto.

Esto es particularmente importante en casos como el de Tom, ya que tanto Trickbot como Emotet utilizan el cifrado para ocultar sus acciones. Asimismo, Emotet se da cuenta cuando es ejecutado dentro de una máquina virtual (VM) y permanece inactivo si detecta un entorno sandbox.

La ciberseguridad en la Quinta Revolución Industrial

/0 Comentarios/en , /por

Participe en una conversación sobre los efectos de los cambios rápidos en la sociedad y los negocios, que han impulsado el desarrollo de una ciberseguridad mejor y más efectiva.

Imagine cómo sería su vida sin ordenadores ni otros dispositivos digitales que ahora damos por supuestos. Si hiciera inventario, ¿cuántos dispositivos tiene en su empresa y en su casa? ¿Y cuántos lleva encima ahora mismo? Ahora piense en la experiencia de generaciones anteriores: entretenimiento, viajes, comunicaciones, e incluso cosas tan sencillas como leer un periódico o un libro.

Las revoluciones industriales cambian vidas y brindan excelentes oportunidades de crecimiento tanto para los individuos como para la sociedad. Hasta el momento, hemos vivido cinco. La primera de ellas empezó alrededor de 1750, y la quinta hace tan solo unos años. Por tanto, tenemos gran experiencia tanto en reconocer sus efectos como en aprovechar sus ventajas. Además, somos expertos en evolucionar a partir de las enormes disrupciones que causan.

La Primera y la Segunda revolución: La evolución de las industrias

La Primera Revolución Industrial fue el presagio de una enorme ola de innovación. Las fábricas brotaron rápidamente en las grandes ciudades y se empezaron a fabricar más productos que nunca. Sin embargo, a medida que aumentaba la productividad, el número de puestos de trabajo disminuía, y la calidad de vida de determinados segmentos de la sociedad cayó en picado. Finalmente, la sociedad (y la economía) solventaron la falta de trabajo con nuevos puestos que servían a las nuevas industrias pesadas. Las empresas necesitaban más trabajadores cualificados para construir las máquinas que producían más máquinas. Como resultado, regresaron los puestos bien remunerados, y la sociedad se recuperó.

Después, sin embargo, vino la Segunda Revolución Industrial, también conocida como Revolución Tecnológica, porque dio lugar a una fase de rápidos descubrimientos científicos y de estandarización industrial. Desde finales del S. XIX hasta buena parte de principios del S. XX, la producción en masa transformó las fábricas en catalizadoras de la productividad. Como resultado, mientras sufríamos una nueva fase de pérdidas de trabajo y agitación social, también vimos un aumento del número de trabajadores cualificados y puestos de trabajo mejor remunerados, que permitieron a los trabajadores disfrutar de mejores hogares y de una mayor movilidad.

La Tercera y la Cuarta revolución: La evolución de la sociedad moderna

La Tercera Revolución Industrial empezó a finales del S. XX, cuando la necesidad de una mejor automatización impulsó la llegada de la electrónica, posteriormente de los ordenadores, y a continuación la invención de Internet. Los avances tecnológicos marcaron el inicio de una transformación económica fundamental, que vino acompañada de una mayor volatilidad. Además, los nuevos métodos de comunicación convergieron con la rápida urbanización en todo el mundo y los nuevos regímenes energéticos, como las fuentes renovables.

Después vino la Cuarta Revolución Industrial, que algunos consideran que duró hasta poco antes de la pandemia. Los avances tecnológicos del periodo anterior facilitaron la introducción de la computación personal, los dispositivos móviles y el Internet de las cosas (IoT), que nos forzaron a redefinir los límites entre el mundo físico, el digital y el biológico. Los avances en la inteligencia artificial (IA), la robótica, la impresión 3D, la ingeniería genética, la computación cuántica y otras tecnologías se sumaron a las presiones sociales que desdibujaron las fronteras tradicionales hasta el punto de crear confusión.

La Quinta Revolución Industrial: La fusión social

Muchos pensadores globales creen que nos encontramos en plena Quinta Revolución Industrial, en la que se han inaugurado nuevos parámetros de productividad, que van más allá de la medición del rendimiento de los humanos y las máquinas en el lugar de trabajo. Estamos presenciando la fusión entre las habilidades humanas y las eficiencias de las máquinas en este contexto. Las esferas física, digital y biológica son ahora intercambiables y están entrelazadas. Por tanto, no se trata solo de conectar a las personas con máquinas, sino también de conectar los dispositivos con otras máquinas, todo ello en aras de la creatividad y la productividad humanas.

Un aspecto extraordinario de la Quinta Revolución Industrial es que se está produciendo a una velocidad sin precedentes. Por ejemplo, las redes remotas y las comunicaciones inalámbricas aumentaron enormemente como consecuencia de la pandemia de COVID, ya que el trabajo desde casa se volvió habitual para el personal occidental, con la consecuente fusión entre el trabajo y el hogar. De igual forma se fusionaron también la educación y el hogar. No obstante, otras fusiones no resultan tan fáciles de diferenciar, como la información y la desinformación, las noticias y la propaganda, las acciones políticas y el terrorismo, etc., lo cual se traduce en una fusión entre el crimen y la ciberseguridad.

Descubra y explore los efectos de la Quinta Revolución Industrial y de la ciberseguridad

Curiosamente, un porcentaje muy alto de ataques de ransomware tienen éxito porque las personas se saltan o ignoran los protocolos de ciberseguridad, simplemente porque no creen que vayan a ser víctimas de un ataque. Desafortunadamente, puede decirse lo mismo de las organizaciones que aún no han priorizado la actualización de su tecnología de seguridad. Muchos propietarios y directivos no entienden las amenazas y creen que solo las empresas más grandes sufren ataques de ransomware. Hay informes de amenazas actuales que demuestran que la tendencia a no implementar una solución de ciberseguridad más eficaz es errónea, y que es lo que está causando más problemas.

La pregunta de los 10,5 billones de dólares (coste estimado anual del cibercrimen para el año 2025) es cuánto esfuerzo vamos a invertir para corregir esta tendencia. El cibercrimen es una de las consecuencias más complejas de nuestras “revoluciones.” Debido al aumento de nuevas amenazas, la tecnología y el comportamiento están evolucionando rápidamente. Tomar responsabilidad e implementar nuevas tecnologías de ciberseguridad nos ayudará a mitigar los riesgos actuales.

Reserve su plaza y obtenga más información en nuestro próximo seminario virtual MINDHUNTER 9, que tendrá lugar en junio.

¿Qué es el cryptojacking y cómo afecta a su ciberseguridad?

/0 Comentarios/en /por

Las criptomonedas han pasado a formar parte integrante de las finanzas mundiales. Son altamente portátiles, mantienen su valor, pueden intercambiarse por productos y servicios, y cada vez son más populares entre los consumidores no especializados.

Asimismo, pueden constituir una interesante herramienta de inversión para los inversores propensos al riesgo. Por supuesto, se ganan y se pierden fortunas en un abrir y cerrar de ojos, ya que muchas criptomonedas (p.ej. Bitcoin, Ethereum, Cardano) son altamente volátiles, y sus valores a veces se disparan hasta alcanzar cifras astronómicas o caen en picado en cuestión de días o semanas. Sin embargo, hay otras formas menos arriesgadas de ganar dinero con las criptomonedas, y una de ellas es la “criptominería.”

¿Qué es la criptominería? Se lo explicamos

La criptominería es un proceso por el cual se validan las transacciones de criptomonedas en los libros de contabilidad públicos distribuidos. Cada transacción está vinculada a la anterior y a la siguiente, creando una cadena de registros con sello de tiempo. En eso consiste esencialmente una cadena de bloques.

Una de las ventajas de la criptominería es que prácticamente cualquiera puede participar sin invertir en la moneda. Por ejemplo, si mina usted Bitcoins, recibirá Bitcoins como compensación por completar bloques de transacciones verificadas que se añaden a la cadena de bloques. Procesar un bloque de moneda lleva unos 10 minutos.

Solo necesita conocimientos mínimos para conectarse a la red de las criptomonedas, una conexión fiable a Internet, uno o dos servidores decentes y una fuente de alimentación estable. Cuanta más potencia de servidor tenga a su disposición para su operación de criptominería legítima, más bloques podrá procesar y más dinero ganará.

Sin embargo, este proceso tiene un inconveniente. Los mineros solo ganan dinero cuando completan el procesamiento de datos más rápidamente que los demás, y hay cientos de mineros intentando procesar el mismo bloque al mismo tiempo. Por este motivo, los mineros constantemente buscan formas de aumentar su tasa de hash (parámetro que mide la potencia computacional de procesamiento de bloques). Cuantos más hashes se produzcan por segundo, más dinero puede ganar.

Hay gente que elude completamente el proceso legítimo y se pasa al cryptojacking.

¿Por qué el cryptojacking es una amenaza creciente?

Es muy sencillo: el cryptojacking es criptominería, solo que el minero utiliza el ordenador de otra persona sin su consentimiento. Normalmente, las víctimas no tienen la menor sospecha de que sus ordenadores están siendo utilizados para esta práctica, a menudo a través de malware introducido por phishing u otro tipo de ataque.

En abril de 2018, SonicWall empezó a hacer un seguimiento de las tendencias del cryptojacking. En ese momento, la empresa registró casi 60 millones de ataques de cryptojacking en un año. Sin embargo, tal como indica el Informe de Ciberamenazas 2022 de SonicWall, los precios de las criptomonedas alcanzaron nuevos picos en 2021, y los ataques de piratería informática ascendieron a 97 millones, lo cual representa un aumento de casi el 62% desde 2018.

Cryptojacking is on the rise

A diferencia del ransomware, que depende de la visibilidad de los mensajes y emails de phishing, los cryptojackers hacen su trabajo de forma desapercibida en segundo plano. Solo puede saber que su red o sus dispositivos se han visto afectados mediante la monitorización del gráfico del rendimiento de la CPU o si nota que el ventilador de un dispositivo funciona con mayor intensidad de lo normal.

Durante los últimos dos años, hemos observado una tendencia de los equipos de ransomware a cambiar a otras actividades, como el cryptojacking. Un motivo aparente de ese cambio es que el rendimiento de la inversión de un plan y una variedad de ransomware (que llevan meses de trabajo de desarrollo) disminuye cuando acaban en fuentes públicas, como VirusTotal.

Al igual que cualquier otra persona al frente de un negocio rentable, los cibercriminales tratan de ser ágiles y flexibles. Por ello, buscan activamente diferentes formas de cumplir sus objetivos económicos. El cryptojacking ofrece agilidad gracias a la relativa facilidad con la que puede implementarse junto con otras actividades criminales.

El atractivo de la criptominería.

Con un coste reducido y un riesgo prácticamente inexistente, los cibercriminales ven muchos incentivos para optar por la criptominería como modelo de negocio. Además, gran parte de la criptominería puede automatizarse mediante software. No obstante, la volatilidad de las criptomonedas y los crecientes precios de la energía están sometiendo a los mineros a una gran presión. En 2018, los criptomineros legítimos podían ganar $100/día. Actualmente, sin embargo, esos beneficios se han visto reducidos a la mitad, y la criptominería legítima se ha vuelto más difícil y complicada.

En consecuencia, según el Informe de Ciberamenazas de SonicWall, el cryptojacking ilegal vuelve a estar en auge. En el primer trimestre de 2021, se produjeron 34,2 millones de ataques de cryptojacking, la mayor cifra trimestral desde que SonicWall empezó su seguimiento. Y lo que es más preocupante, en diciembre, con diferencia el peor mes de 2021 en cuanto a ataques de cryptojacking, se registraron 13,6 millones. Si bien diciembre de 2021 no eclipsa la cifra alcanzada en marzo de 2020 de 15,5 millones, ocupa un claro segundo lugar, lo cual está lejos de ser un punto de partida óptimo para 2022.

¿He sido infectado por un malware de cryptojacking?

Los criptomineros, interesados en su potencia de procesamiento, deben hallar un equilibrio entre pasar desapercibidos y maximizar sus beneficios. La cantidad de recursos de CPU que tomen dependerá de sus objetivos.

Si roban menos potencia, es más difícil que los usuarios, que no sospechan nada, se den cuenta. Si roban más, obtienen más beneficios. Por supuesto, en ambos casos, el rendimiento se verá afectado. Sin embargo, si el umbral es lo suficientemente bajo, podría resultar difícil distinguir al minero de un software legítimo.

Los administradores de las empresas pueden buscar procesos desconocidos en su entorno, y los usuarios finales del software de Windows deberían iniciar Process Explorer de Sysinternals para ver qué están ejecutando. Los usuarios de Linux y macOS deberían utilizar System Monitor y Activity Monitor respectivamente por el mismo motivo.

Cómo defenderse contra cryptojackers maliciosos.

El primer paso para defenderse contra los criptomineros es detener este tipo de malware en la pasarela mediante firewalls o soluciones de seguridad del correo electrónico (seguridad del perímetro), que es una de las mejores formas de eliminar las amenazas conocidas basadas en archivos.

Puesto que también los cryptojackers tienden a reutilizar código antiguo, es relativamente fácil detectarlos. SonicWall prevé sin embargo que todavía se producirá un aumento de las variantes y técnicas nuevas de cryptojacking, ya que los cryptojackers disponen de tiempo para desarrollar más herramientas. Además, el cryptojacking aún podría convertirse en el método preferido de los perpetradores de ataques por lo sigiloso que es. Al causar un daño reducido e indirecto a las víctimas, el riesgo de ser descubierto es mínimo y se amplía la vida útil de un ataque exitoso.

Si la variedad de malware es desconocida (nueva o actualizada), eludirá los filtros estáticos de la seguridad perimetral. Si un archivo es desconocido, será enrutado a un sandbox para su inspección.

La solución multimotor SonicWall Capture Advanced Threat Protection (ATP), equipada con tecnología RTDMI™, ha demostrado ser altamente efectiva en la prevención de malware evasivo, ya que éste que puede evadir un motor, pero no el resto.

Si tiene un endpoint que no se encuentre detrás de esta configuración típica (p. ej. en itinerancia en un hotel o aeropuerto), debe implementar un producto de seguridad de endpoints que incluya detección del comportamiento.

El malware de criptominería puede operar utilizando un navegador o acceder a la red a través de un ataque sin archivos, de modo que las soluciones antiguas que vienen gratis con los ordenadores no los detectan.

Las soluciones de ciberseguridad basadas en el comportamiento, como Capture Client ATP, son capaces de detectar el malware que permite la criptominería y cerrar la operación. Entonces, el administrador puede poner en cuarentena y eliminar el malware rápidamente o, en caso de que un ataque haya dañado archivos del sistema, revertir el sistema al último buen estado conocido antes de que se ejecutara el malware.

Al contar con una combinación de defensas perimetrales y análisis del comportamiento, las organizaciones pueden combatir las formas de malware más nuevas, independientemente de la tendencia que sigan o de la intención que tengan.

Por qué la sanidad debe trabajar más (y mejor) para proteger al paciente

/0 Comentarios/en /por

Según el Department of Health and Human Services (HHS) de los Estados Unidos, en los últimos treinta días, filtraciones de datos en casi cuarenta organizaciones sanitarias de veinte estados pusieron en peligro casi 1,8 millones de registros individuales.

Desgraciadamente, esto es solo un ejemplo de lo que promete ser otro año devastador: el informe sobre filtraciones del HHS indica que, en lo que va de 2022, se han visto afectados más de 9,5 millones de registros (figura 1), después del récord del año pasado, que fue de casi 45 millones de pacientes comprometidos.

Mientras la frecuencia de los ataques al sector sanitario sigue en alza en todo el mundo, —con ataques recientes en Costa Rica, Francia y Canadá, entre muchos otros— el total global seguramente será mucho mayor.

Cómo se hackea una organización sanitaria

Los incidentes relacionados con los servidores de red y el correo electrónico siguen siendo los principales vectores y suponen más del 80 % del total (figura 2).

Figura 1

Image describing Figure 1 Chart

Figura 2

Image describing Figure 2
Image describing Figure 2

El historial de cada paciente contiene mucha información demográfica y de salud, dividida en 18 identificadores, tal y como se definen según la norma de privacidad HIPPA. Esos 18 identificadores incluyen los siguientes:

  1. Nombre
  2. Direcciones
  3. Todas las fechas: nacimiento, admisión, alta, fallecimiento, etc.
  4. Números de teléfono
  5. Número de fax
  6. Dirección de e-mail
  7. Número de la Seguridad Social
  8. Número de historial
  9. Número de asociado al seguro de salud privado
  10. Número de cuenta bancaria
  11. Número de certificado o licencia
  12. Identificadores, número de serie y matrícula del vehículo
  13. Identificador y número de serie de dispositivos
  14. URL Web
  15. Dirección IP
  16. Identificadores biométricos (huella dactilar o de voz)
  17. Foto de la cara
  18. Cualquier otra característica que pueda identificar inequívocamente a la persona.

Los delincuentes están ávidos por conseguir los registros médicos (EHR) o la información médica personal (PHR) porque son útiles para una amplia gama de aplicaciones delictivas, como robo de identidades, fraude a las aseguradoras, extorsión, etc. Como esos datos se pueden utilizar fraudulentamente de muchísimas formas, los ciberdelincuentes pueden venderlos a un precio más alto en la web oscura. Mientras, esas acciones fraudulentas causan un estrés financiero y mental a largo plazo para las personas cuya información se ha robado.

Aunque existen organismos con jurisdicción internacional que luchan contra el hackeo y que están bien equipados y financiados, los ciberdelincuentes siguen actuando con impunidad y sin miedo a que los atrapen. Dado que las tácticas, las técnicas y los procedimientos (TTP) de hackeo evolucionan y cada vez evaden mejor la detección, las instalaciones sanitarias ya no se pueden arriesgar a tener unas prestaciones de seguridad inadecuadas o mal preparadas.

Para muchas a las que han pillado con la guardia bajada, el impacto sobre los pacientes, proveedores y contribuyentes afectados ha sido catastrófico. Además de los riesgos que las filtraciones de datos suponen para las organizaciones sanitarias (HDO), también pueden afectar a la capacidad de las instalaciones para proporcionar unos cuidados de vida o muerte. En un reciente informe del Ponemon Institute, se indica que el 36 % de las organizaciones sanitarias encuestadas dijo que, debido a los ataques de ransomware, veía más complicaciones con los procedimientos médicos, y el 22 % dijo que había experimentado un aumento en la tasa de mortalidad.

Cuando las vidas dependen de la disponibilidad del sistema sanitario, la ciberseguridad sanitaria tiene que trabajar más y mejor para asegurarse de la seguridad del paciente y de poder prestar los cuidados en cualquier momento y lugar.

En qué puede ayudarle SonicWall

Durante las últimas tres décadas, SonicWall ha trabajado con los prestadores para ayudar a construir un sistema sanitario en mejor estado. Durante este tiempo, nuestras innovaciones nos han permitido cumplir con nuevas expectativas relacionadas con la mejora de la seguridad, aumentar la eficiencia operativa y reducir los costes de TI.

Hoy, SonicWall trabaja individualmente con cada organización para establecer una estrategia de defensa completa que coincida con sus objetivos de negocio y ponga a los profesionales sanitarios en una buena posición para el éxito. Al aprovechar nuestra amplia y profunda experiencia en las operaciones y los procesos del sector sanitario, SonicWall ayuda a las HDO a evitar sorpresas y a pasar más tiempo centradas en su misión principal: asegurar la salud y el bienestar de las comunidades a las que sirven.

El viaje desde «creo que estoy protegido» a «estoy seguro de que estoy protegido» comienza con la estrategia de ciberseguridad sin límites de SonicWall. Este enfoque aporta seguridad, gestión centralizada, analíticas avanzadas y una gestión de amenazas unificada en toda la cartera de soluciones de seguridad de SonicWall para formar la Capture Cloud Platform. El diagrama de arquitectura de la figura 3 muestra que las soluciones de seguridad SonicWall para red, borde, endpoint, nube, dispositivos inalámbricos, acceso Zero Trust, web, correo, dispositivos móviles e IoT se integran como una sola plataforma de seguridad.

Figura 3

Image describing architecture

Con SonicWall Capture Cloud Platform, la ciberseguridad de las organizaciones sanitarias puede trabajar más y mejor, al organizar una estrategia de defensa personalizada y por capas para satisfacer sus necesidades concretas o implementar todo el stack para establecer una estrategia de seguridad coherente en toda su infraestructura crítica. Al combinar estas soluciones de seguridad, se proporciona a las HDO la defensa por capas necesaria, junto con un framework de seguridad para obtener una gestión centralizada, gestionar los riesgos y cumplir con las leyes sobre protección de datos.

Descargue el libro blanco de SonicWall Ciberseguridad sin límites para un sector sanitario más seguro y descubra cómo reforzar la ciberseguridad del sector sanitario, y hacer que la atención proporcionada al paciente sea más eficiente, resiliente y segura.

SonicWall reconoce a sus partners y distribuidores por su excelente rendimiento en 2021

/0 Comentarios/en , /por

2021 ha sido un año excepcional para SonicWall, y gran parte de nuestro éxito se lo debemos a nuestros partners y distribuidores de EMEA. Este grupo tan dedicado ha trabajado incansablemente para ayudar a proteger a nuestros clientes durante más de una década, aprovechando las soluciones de SonicWall y su inigualable servicio de atención al cliente para protegerlos contra la creciente ola de ciberdelincuencia, y por ello les damos nuestro más sincero agradecimiento.

De un amplio grupo de nominados, se eligió un partner por región en cada categoría para ser reconocido por su sobresaliente desempeño en 2021. Estas selecciones se realizaron en base a factores como el volumen de negocio anual, la distribución del porfolio, las actividades en línea, la tasa de éxito de los proyectos y el nivel de certificación, junto con su nivel de compromiso y la calidad del trabajo en equipo con SonicWall.

“El éxito de SonicWall siempre ha dependido de la entrega de soluciones de seguridad altamente eficientes a través de sus valiosos partners y distribuidores”, comenta el vicepresidente de SonicWall para EMEA, Terry Greer-King. “Estamos encantados de reconocer a estos extraordinarios partners de SonicWall SecureFirst que proporcionan servicios de seguridad de primera clase a organizaciones de todos los tamaños. Valoramos las relaciones leales que hemos construido con nuestros partners y clientes, y estos premios son una forma de reconocer su excelente trabajo.”

Nos complace anunciar los ganadores de los Premios SonicWall FY2022 en las siguientes categorías:

España

Reino Unido

Irlanda

Noruega

Alemania

Suiza

Austria

Italia

Francia

Arabia Saudí

Emiratos Árabes Unidos

Sudáfrica

Países Bajos y Bélgica

 

SonicWall felicita a todos los galardonados y les da las gracias por sus extraordinarios logros en 2021. Juntos, podemos hacer que el año 2022 sea aún más exitoso.

¿Desea obtener más información sobre las ventajas del Programa de Partners SonicWall SecureFirst y cómo unirse a nuestro valioso equipo de partners? Haga clic aquí para conocer todos los detalles.

Disfrute de la velocidad y la seguridad del soporte para TLS 1.3

/0 Comentarios/en /por

Los mejores productosduran más. En los dos primeros años de fabricación del Ford Mustang (1965 y 1966), unos 1,3 millones de vehículos salieron de la línea de montaje en Dearborn (Míchigan), Metuchen (Nueva Jersey) y Milpitas (California). De todos ellos, es notable que, a día de hoy, 350.000 sigan en las carreteras, y si sus dueños los mantienen adecuadamente, siguen yendo del punto A al B igual de bien que cuando Johnson era presidente.

Pero, cuestiones estéticas aparte, ¿eso los convierte hoy en una buena elección para alguien que conduce a diario? En una prueba de choque realizada con cualquier vehículo moderno —o en una carrera con cualquiera de los Mustangs modernos—, un Mustang de primera generación quedaría completamente sobrepasado. En los modelos antiguos, las medidas de seguridad que hoy damos por descontadas, como los airbags, el asistente de mantenimiento de carril, la detección de punto ciego y los frenos antibloqueo, brillan por su ausencia. Esos coches pueden ir muy bien para sacarlos algún domingo a dar una vueltecita por la ciudad, pero ¿llevaría en ellos a su familia?

Cuando un producto puede ser la diferencia entre convertirse en algo muy valioso o propiciar un absoluto desastre, ese producto tiene que ser lo más seguro posible. Eso también es aplicable a otra innovación que ha salido de Milpitas: Los firewalls de SonicWall. Para saber si su elección actual sigue siendo la opción correcta, es útil echar un vistazo a las innovaciones que han aparecido desde entonces, y si suponen simplemente una mejora gradual o un avance gigantesco. En el caso del soporte de cifrado TLS 1.3, no hay duda de que se trata de lo segundo.

TLS 1.3 es la última versión de seguridad de la capa de transporte, que ofrece un cifrado fiable para las comunicaciones digitales a través de internet. Y, al igual que ha sucedido con el Mustang, las innovaciones modernas han dado un salto enorme en dos áreas: la seguridad y el rendimiento.

TLS 1.3: La seguridad es lo primero

Desde que la tecnología SSL original se introdujo en 1994, con cada nueva versión hemos intentado resolver los problemas de las versiones anteriores, manteniendo la compatibilidad con las versiones antiguas. Pero, por desgracia, mantener una compatibilidad hacia atrás significaba que se conservaban muchos procedimientos de cifrado innecesarios o vulnerables.

Esos procedimientos de cifrado antiguos hacían que lo cifrado fuera susceptible de ataque, ya que ofrecía a los delincuentes un vector a través del que esquivar los nuevos avances en seguridad, en favor de una protección más antigua y débil. Algunos de los procedimientos de cifrado que persistieron hasta TLS 1.2 eran tan débiles que permitían que un atacante descifrara el contenido de los datos sin necesidad de tener la clave.

Con TLS 1.3 esa filosofía da un giro fundamental. Debido al fuerte aumento en ataques como Lucky13, BEAST, POODLE, Logjam y FREAK, que dependen de esas vulnerabilidades para transmitirse, la Internet Engineering Task Force (IETF) decidió eliminar esos procedimientos de cifrado, y el TLS 1.3 resultante es mucho más seguro gracias a eso.

También es más privado. En anteriores versiones, incluida la 1.2, las firmas digitales no se utilizaban para asegurar la integridad del protocolo de enlace, sino que se limitaban a proteger la parte de ese protocolo después de la negociación del conjunto de cifrado o cipher suite, lo que permitía a los atacantes manipular la negociación y tener acceso a toda la conversación.

En TLS 1.3, el protocolo de enlace está cifrado, y solo el remitente y el destinatario pueden descifrar el tráfico. Esto no solo hace que sea virtualmente imposible para alguien externo escuchar las comunicaciones entre cliente y servidor y que sea mucho más difícil para los atacantes lanzar ataques de intermediario, sino que también protege las comunicaciones existentes, incluso si las comunicaciones futuras quedan comprometidas.

TLS 1.3: Una seguridad  más rápida

Con TLS 1.3, el proceso del protocolo de enlace no solo es más seguro, sino también más rápido. El protocolo de enlace de cuatro pasos necesario para TLS 1.2 necesitaba dos intercambios de ida y vuelta entre los sistemas, con la consiguiente latencia y consumo de ancho de banda y energía.

Esas ralentizaciones afectaban especialmente al número creciente de dispositivos de la internet de las cosas (IoT), que tienen problemas para gestionar las conexiones que necesitan mucho ancho de banda o mucha energía, pero que también tienden a necesitar el cifrado, sobre todo, debido a una débil seguridad integrada.

No obstante, con un solo intercambio de claves y bastantes menos procedimientos de cifrado soportados, TLS 13 utiliza un ancho de banda considerablemente menor. Y como solo necesita una ida y vuelta para completar el protocolo de enlace, es significativamente más rápido. La característica de tiempo de ida y vuelta cero (0-RTT) de TLS 1.3 es incluso más rápida: en posteriores visitas, ofrece un tiempo de latencia igual al de un HTTP sin cifrar.

¿Está su firewall a la altura?

Los expertos calculan que entre el 80 y el 90 % de todo el tráfico de red actual está cifrado. Pero muchos firewalls antiguos no tienen en absoluto la capacidad ni la potencia de procesamiento para detectar, inspeccionar y mitigar los ciberataques enviados a través del tráfico HTTP, no digamos ya, para utilizar TLS 1.3, lo que hace que sean unas autopistas estupendas para que los hackers implementen y ejecuten su malware.

Según el Informe de Ciberamenazas 2022 de SonicWall, desde 2020 a 2021, el malware enviado a través de HTTP ascendió espectacularmente un 167 %. Dicho eso, SonicWall registró 10,1 millones de ataques cifrados en 2021, casi tantos como en 2018, 2019 y 2020 en conjunto.

Teniendo en cuenta que una media del 7 % de clientes acusan un ataque cifrado cada mes, la probabilidad de que su organización se convierta en un objetivo este año es enorme. Pero si su firewall no puede inspeccionar el tráfico cifrado y si tampoco puede inspeccionar TLS 1.3, nunca lo sabrá hasta que no sea demasiado tarde.

SonicWall soporta cifrado TLS 1.3

Los firewalls SonicWall Gen 7 tienen mucho que ofrecer: Combinan una mayor densidad de puertos y un mayor rendimiento de prevención de amenazas con un completo análisis de malware, una simplicidad sin comparación y un rendimiento líder en el sector. Pero una de las características que realmente diferencian los Gen 7 (y sus predecesores, capaces de ejecutar SonicOS Gen 6.5) es que soportan el cifrado TLS 1.3.

Los NGFW con SonicOS Gen 6.5 y posteriores ofrecen inspección TLS completa, descifrado de datos, verificación de amenazas potenciales y recifrado para una transmisión segura, todo ello mientras garantizan que pueda seguir disfrutando de un rendimiento óptimo y una visibilidad completa.

Al fin y al cabo, los cortafuegos —igual que el Mustang clásico– no tienen detección de puntos ciegos para manejar el tráfico cifrado de hoy en día. Por ello, las soluciones más antiguas quedan rápidamente obsoletas cuando se comparan con tecnologías nuevas. No permita que los firewalls de ayer multipliquen el riesgo de vulnerabilidades en su red: actualice a SonicWall Gen 7 hoy.

Entienda el framework y las evaluaciones de MITRE ATT&CK – Parte 2

/0 Comentarios/en /por

(Nota: En la Parte 1, explicamos el framework MITRE ATT&CK y cómo se evalúan los productos por su eficacia y eficiencia de detección. Échele un vistazo aquí si todavía no lo ha visto.)

Con el aumento prácticamente generalizado de los ataques, asegurarse de que su sistema de seguridad esté actualizado es más importante que nunca. Sin embargo, como CISO, evaluar las soluciones de ciberseguridad de varios proveedores puede suponer un reto. ¿Cómo puede saber que realmente recibe la solución por la que ha pagado? Aquí tiene algunos consejos importantes:

  • Desconfíe de los errores, retrasos y cambios de configuración excesivos: Los proveedores que tienen numerosos retrasos se llevan el mérito por detecciones que realizan utilizando medios que normalmente se salen del flujo de trabajo habitual de la herramienta — lo cual significa que sus empleados tendrán que hacer lo mismo. Los proveedores con gran cantidad de cambios de configuración sintieron la necesidad de modificar sus prestaciones de detección durante la prueba. Intente averiguar si estos cambios son comprensibles o si la prueba fue manipulada.
  • Desconfíe de las altas cifras de Telemetría y bajas cifras de Técnicas: Los proveedores que presumen de altas cifras de Telemetría pero no tienen muchas Técnicas cuentan con una herramienta que no automatiza la correlación de los eventos. Esto significa que sus empleados deberán hacerlo manualmente o que pueden producirse retrasos e imprecisiones considerables a la hora de unir los puntos. Estos retrasos llevan a retrasos en la respuesta, que a su vez aumentan el riesgo.
  • Desconfíe de los proveedores que inventan sus propios sistemas de puntuación: Hemos visto a muchos proveedores disimular malos resultados con estadísticas y cifras que parecen positivas pero que en realidad no tienen ningún sentido. Estadísticas como “Contexto por Alerta” y “Detección del 100%” (cuando al mirar con más detalle se aprecia que claramente son detecciones fallidas) son un sinsentido. Lea la letra pequeña.

Capture Client y el Framework MITRE ATT&CK

SonicWall Capture Client está basado en SentinelOne, que proporciona la mejor protección autónoma de endpoints de su categoría, con antivirus de nueva generación, EDR (detección y respuesta para endpoints), y Visibilidad profunda. SentinelOne ha participado en las Evaluaciones de MITRE ATT&CK desde 2018, y en las de 2022 ha estado entre los mejores (emulando los grupos de amenazas Wizard Spider y Sandworm). A continuación ofrecemos un breve resumen de por qué SentinelOne es líder en protección contra los ataques, por delante de todos los demás proveedores.

  1. La protección autónoma detiene y resuelve los ataques de forma instantánea
    Los equipos de seguridad exigen soluciones capaces de seguir el ritmo de los cibercriminales. MITRE Protection determina la capacidad del proveedor de analizar rápidamente las detecciones y ejecutar resoluciones automatizadas para proteger los sistemas.
    Protección del 100%: (9 de 9 pruebas de MITRE ATT&CK)

    Fuente: www.sentinelone.com
  2. Las detecciones más útiles son las analíticas
    Las detecciones analíticas son detecciones contextuales creadas a partir de un conjunto de datos más amplio y combinan detecciones técnicas y tácticas.
    Detección del 100%: (19 de 19 pasos de ataques)
    99% – Máxima cobertura de análisis: (108 de 109 detecciones)
    Fuente: www.sentinelone.com
  3. Los retrasos en la detección minan la efectividad de la ciberseguridad
    El tiempo es un factor crítico tanto a la hora de detectar como de neutralizar un ataque. Las organizaciones que quieren reducir su exposición necesitan detecciones en tiempo real y resolución automatizada como parte de su programa de seguridad.
    100% en tiempo real (0 retrasos)
    Fuente: www.sentinelone.com
  4. La visibilidad asegura que ninguna amenaza pase desapercibida
    La visibilidad es el pilar de las prestaciones EDR y constituye un parámetro central de los resultados de MITRE Engenuity. Para entender lo que ocurre en la red y cazar amenazas con precisión, la tecnología de ciberseguridad debe ofrecer visibilidad. Los datos deben ser precisos y proporcionar una visión de extremo a extremo de lo que ha ocurrido, dónde ha ocurrido y quién ha sido, independientemente de la conectividad o el tipo de dispositivo.

Conclusión

Las evaluaciones de MITRE Engenuity ATT&CK siguen impulsando la industria de la seguridad, proporcionando al ámbito de la tecnología EDR una visibilidad y unas pruebas independientes muy necesarias. Como líder o profesional de seguridad, es importante ir más allá de las meras cifras y adoptar una visión integral de qué proveedores pueden proporcionar alta visibilidad y detecciones de alta calidad al tiempo que reducen la carga de su equipo de seguridad. A los CISOs, estos principios centrados en el producto les parecerán compatibles con el espíritu de los objetivos de MITRE Engenuity:

  1. La visibilidad y la cobertura de EDR son básicas y fundamentales: La base de una solución de EDR superior radica en su capacidad de consumir y correlacionar datos de forma económica y a escala aprovechando las ventajas de la nube. Cada dato pertinente debería ser capturado — con pocos errores o ninguno — para proporcionar amplitud de visibilidad al equipo de operaciones de seguridad. Los datos, específicamente los datos que capturan todos los eventos, son el pilar de la tecnología EDR y deberían ser considerados básicos y fundamentales y un parámetro clave de MITRE Engenuity.
  2. El contexto y la correlación creados automáticamente son indispensables: La correlación es el proceso de crear relaciones entre los puntos de datos individuales. Preferiblemente, la correlación debe ser realizada automáticamente por máquinas y a la velocidad de las máquinas, para que un analista no tenga que dedicar tiempo valioso a unir los datos manualmente. Además, esta correlación debería ser accesible en su contexto original durante largos periodos de tiempo por si fuera necesaria.
  3. La consolidación de las alertas en la consola es crítica: El principio de “centrarse en lo esencial” plantea un reto al centro de operaciones de seguridad y a los equipos IR modernos, que sufren una sobrecarga de información. En lugar de recibir alertas por cada dato de telemetría de un incidente y de sobrecargar al equipo del centro de operaciones de seguridad, ya saturado, asegúrese de que la solución agrupe automáticamente los puntos de datos en alertas consolidadas. Idealmente, una solución debe ser capaz de correlacionar la actividad relacionada en alertas unificadas para proporcionar una visión a nivel de campaña. Esto reduce el esfuerzo manual, ayuda contra la fatiga por las alertas y tiene la ventaja de que se requieren muchos menos conocimientos a la hora de responder a las alertas. Todo esto se traduce en mejores resultados para el centro de operaciones de seguridad en forma de tiempos de contención más breves y de una reducción general de los tiempos de respuesta.

Para ver de primera mano cómo Capture Client ofrece la mejor protección y detección de su categoría, acceda a una prueba gratuita haciendo clic aquí.