¿Por qué es este el caso? Porque el malware está en constante cambio y porque las mentes sofisticadas y dedicadas bajo estos “sombreros negros” están trabajando noche y día para diseñar una brecha de datos específico para cada organización que decide invadir. Cuando le golpea, será la primera vez que aquella firma ha sido vista.
Esta es la razón por la cual algunas agencias de investigación nacional y líderes de seguridad informática corporativa están llamando a los equipos de seguridad a comenzar a operar bajo la asunción de que ya se encuentran comprometidos. De hecho, la próxima gran amenaza puede que venga de dentro de su organización, usando credenciales válidas y filtradas. En esta nueva realidad, incluso los enfoques de defensa del perímetro más robusto llegan a pelear apenas media batalla.
Cacería de Amenazas Proactiva con Analytics y Forensics
Los shows de televisión como CSI y El Equipo Forense ilustran lo que muchos investigadores de aplicación de la ley suelen conocer como “El principio de Locard,” que dice que todo contacto deja un rastro. La misma puede ser aplicada a seguridad de red, ya que el perpetrador de cualquier crimen siempre deja algo atrás indicando su presencia. El reto es encontrar evidencia de la actividad del ataque antes de la fase inicial del ataque ha sido completada y mientras la evidencia potencial puede ser capturada de los datos volátiles en los dispositivos afectados. Usar una herramienta como EnCase® Cybersecurity que puede preservar datos para un análisis forense también asegurará que no ha sido adulterado si se precisa entregar a autoridades legales.
El objetivo prioritario de cualquier tipo de amenaza, ya sea que esa amenaza venga de espionaje corporativo mediante un agente interno malicioso o un externo de la organización, siempre serán datos sensibles. Estos datos sensibles (o copias erróneas de los mismos) está a menudo almacenado en dispositivos, como ser laptops de empleados y servidores de datos, es inmediatamente aparente que la falta de visibilidad dentro de la actividad de dispositivos es una de las más grandes vulnerabilidades de muchas corporaciones y agencias de gobierno.
Líneas Bases y Anomalías: Cómo Endpoint Analytics Puede Fortalecer la Seguridad
Crear y actualizar regularmente las líneas bases de la actividad del servidor y los dispositivos provee información a los equipos de seguridad con un punto de partida para identificar y alertar anomalías. Hay un valor gigantesco al agregar todos los datos, procesos y otras actividades ocurriendo en cientos de laptops y servidores en cualquier momento dado y crear líneas bases de comportamiento “normal”. Al contrario de dichas líneas base, cualquier desviación estadística significativa del comportamiento normal puede ser una brecha potencial en el progreso, y EnCase® Analytics puede mostrarle dichas desviaciones en un tablero visual, sin necesidad de científicos de batas blancas.
Esa inteligencia puede permitir una rápida detección y el tomado de decisiones en el transcurso de un ataque en el cual cada segundo cuenta. El reportaje de anomalías ofrece la oportunidad para un vistazo temprano a algo inusual, o fuera de norma, ocurriendo dentro de su entorno, además de proveer la oportunidad de detectar una intrusión en sus etapas más tempranas. Puede encontrar más acerca de EnCase Analytics aquí. Mientras tanto, le doy la bienvenida a sus comentarios en la parte inferior acerca de cómo está luchando contra los “sombreros negros”.
Sam Maccherola es el Vicepresidente y Administrador General EMEA/APAC para Guidance Software y está basado en el Reino Unido. Traducido del original en ingles, Why Signature-Based Cyber-Defenses are Bound to Fail
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
Dale Un "Like" a Nuestro Pagina de Facebook en Español Sobre EnCase
Dale Un "Like" a Nuestro Pagina de Facebook en Español Sobre EnCase
No hay comentarios :
Publicar un comentario