Casos de Éxito México Seguridad 

Seguridad debe basarse en las personas: Proofpoint

Canales TI 0 Comments

 

Ryan Kalember, Vicepresidente senior de estratega en Ciberseguridad en Proofpoint, afirma que el mercado de seguridad ha cambiado mucho en los últimos dos años debido a que ahora es más fácil atacar a una persona que a una empresa, pues el ransomware ataca el correo electrónico más que los servidores, eso requiere un cambio de estrategia.

En entrevista conjunta con su mayorista exclusivo en México, MAPS, aseguró que al dirigir los ataques avanzados hacia personas a través de phishing y malware, éstos no aprovechan las vulnerabilidades existentes para desplegarse, sino que el 99 % requiere que la persona active los macros. Para que las medidas antimalware actuales tengan sentido, el personal de seguridad debe prestar atención a los correos personales.

En este momento, los antivirus tradicionales no funcionan como debe ser, ya que un ataque de ransomware tendrá correos diferentes y archivos adjuntos con nombres distintos, así que no se pueden identificar todos.

Normalmente, un equipo de seguridad que quiere parar un ataque debe identificar los canales de entrada, y los firewalls y antivirus no funcionan para ello porque los ataques son nuevos, así que para encontrar el killchain no es suficiente conocer la reputación del correo electrónico, es preciso usar sandboxes y otras herramientas porque los macros son muy difíciles de analizar.

En Proofpoint se han hecho muchas cosas para hacer frente a este panorama. Pues ahora se debe entender el problema de una persona y los ataques a los que se expone en su PC, móvil y redes sociales; así que ahora ni la red ni la infraestructura son lo más importante, sino la persona, sus credenciales y las cosas a las que esta persona puede acceder. Hay que ver los riesgos desde ese punto de vista, asegura.

De esta forma se puede detectar el ataque antes de que suceda, porque es alguna persona la que va a activarla. Y no estamos hablando de políticas, pues son difíciles de implementar y no se pueden bloquear todos macros de Internet, ya que hay documentos con macros que son parte de procesos legítimos, no funciona de esa forma.

A diferencia, es preciso entender los enlaces de los archivos y del malware que envían los impostores para diferenciarlos de los que no tienen nada. Cuando se entienden los riesgos de una persona, se entiende lo que va a ver el enemigo e implementar controles más efectivos en las primeras etapas para tener control.

El principal cambio tecnológico que ello implica son las técnicas que se usan para buscar ataques, con las técnicas correctas se pueden detectar todos los ataques, pero al monitorear la red o un endpoint es muy difícil ver el ataque impostor, hay que poner la tecnología en el lugar correcto que es entre la persona y el ataque a través de un Gateway de correo o de redes sociales para ver todo el tráfico real.

Por ello, Proofpoint recomienda entender las amenazas, de donde vienen y de qué tipo son, pues los firewalls no pueden ayudar para el phishing ni tampoco en ataques impostores, pero sí en ataques DDOS, por eso primero hay que entender las amenazas actuales.

A futuro
El analista afirma que en el futuro las amenazas mantendrán su escalada en cuanto a alcances y sofisticación. De hecho, explica que el mundo de la seguridad es como una carrera interminable del gato y el ratón en donde los criminales evolucionan al mismo ritmo que la tecnología. Como ejemplo, dice que el Ransomware es un tipo de amenaza que no va a desaparecer; al contrario, los ataques nuevos probablemente manipularan personas en diferentes maneras.

Ya hay phishing SMS pero se espera que crezca y aproveche la forma en que trabajamos, además los objetivos empiezan a cambiar hacia el mundo de software as a service donde se han infectado ya extensiones de servicios nube, los cuales pueden usar nuevas técnicas para robar datos y convertirse en gusanos.

Sin embargo, cifrar todo el contenido de Internet no es el paso a seguir pues no es suficiente, se debe proteger antes al usuario y la contraseña que permitan ver esos datos. No es posible resolver todos los riesgos con herramientas viejas como cifrado. Además, esa práctica puede romper el desarrollo normal de la tecnología actual como aplicaciones SaaS.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

PHP Code Snippets Powered By : XYZScripts.com