Búsqueda de Ciberamenazas

Vayan donde vayan tus empleados, ahí estás tú

Con opciones de teletrabajo cada vez más flexibles (para siempre o solo durante las vacaciones), la seguridad tiene que ayudar a seguir el ritmo

Vivo en el centro de una ciudad y, desde luego, la hora de comer ya no es como antes. Aunque algunas personas han vuelto a trabajar en una oficina, parece que la mayoría no lo ha hecho. Mirando hacia atrás, la pandemia habrá sido probablemente un punto de inflexión para muchas cosas en todo el mundo y los ritmos de vida laboral centrados en la oficina serán algo que nunca volverá a ser como antes.

Con esta mayor flexibilidad, los empleados no solo trabajan desde casa gracias routers Wi-Fi de consumo; también pasan parte del día en el parque o en la cafetería, o quizás incluso se toman unas “vacaciones trabajando”. Los encargados de proteger los activos de la empresa tienen que asumir que estos endpoints están siempre en territorio hostil.

Incluso antes de la pandemia, las organizaciones que trabajaban para mejorar su seguridad a menudo intentaban “empujar a la izquierda”. ¿Qué es empujar a la izquierda? En su nivel más básico, significa acercar las cosas al principio. Tiene su origen en el desarrollo de software, donde las fases del proceso de desarrollo se conceptualizan de izquierda a derecha, siendo la izquierda el principio. En seguridad aplicada también utilizamos el término “empujar a la izquierda”, pero en lugar de referirnos al proceso de desarrollo de software nos referimos a la cadena de ataque, que se mueve desde el reconocimiento a la izquierda hasta la acción (exfiltración u otro objetivo del atacante) a la derecha.

Durante muchos años, las estrategias de seguridad más completas han implicado la defensa en profundidad. La idea es que no todas las tecnologías son adecuadas para detectar un determinado tipo de amenaza, por lo que es mejor desplegarlas en capas. Estas capas suelen corresponder directamente en cuanto hacia ” la izquierda” se encuentran en la cadena de ataque. Si puedes detectar algo en la frontera de la red a través de tu firewall, correo electrónico o filtros web, habrás contenido la amenaza antes de que tenga algún impacto negativo en las operaciones.

Lo ideal es detectar y bloquear a un atacante lo más a la izquierda posible, es decir, lo antes posible. Empujar las detecciones hacia la izquierda también alerta a los analistas de seguridad de que puede haber una intrusión en curso, lo que inicia una caza de amenazas más centrada para anticipar las brechas en las defensas que el atacante puede estar intentando explotar.

Para los empleados en la oficina, puedes centralizar el control de estas defensas y proporcionar una protección óptima. La cuestión es, ¿eres capaz de proporcionar la misma protección a los trabajadores remotos independientemente de su ubicación? ¿Puedes controlar y responder a las amenazas que se detectan en esos activos cuando están fuera de la oficina? Como muchos han observado, esto no funcionó tan bien como nos hubiera gustado cuando todos entramos en el confinamiento, muchos de nosotros sin un plan.

Aunque supervisar la red cuando tienes el control de ella sigue teniendo muchas ventajas, como la reducción de la sobrecarga de los endpoints y la capacidad de mantener las amenazas a distancia de los activos sensibles, tenemos que asegurarnos de que podemos llevarnos con nosotros la mayor parte posible de esta protección cuando estamos fuera de casa.

Debemos asegurarnos no solo de que la protección está optimizada, sino también de que no perdemos nuestra capacidad de supervisar, detectar y responder a los ataques dirigidos contra estos activos remotos. La mayoría de las organizaciones han pasado a utilizar soluciones EDR/XDR (o tienen previsto hacerlo en un futuro muy próximo), lo cual es un gran comienzo, pero no todas las soluciones son completas.

En la era del tele trabajo, los usuarios remotos insuficientemente protegidos pueden encontrarse con un montón de problemas (URL y descargas maliciosas, y ataques a las redes, por nombrar solo los más habituales) que en los Tiempos de Antaño habrían sido manejados por las máquinas que custodiaban el “fuerte” corporativo. Los principales componentes que faltan cuando los usuarios están “fuera del fuerte” son el filtrado HTTPS y la inspección de contenidos web del tipo que suele implementarse en los firewalls de nueva generación. Cuando añades estas tecnologías a la protección previa a la ejecución, la detección de comportamientos, los modelos de aprendizaje automático, los firewalls de cliente, la DLP, el control de aplicaciones y la XDR, empiezas a ver una pila completa de defensas que los atacantes tienen que superar, aunque los propios endpoints estén ahora en libertad de acción.

Para que iniciativas como el acceso de confianza cero a la red (ZTNA) sean eficaces, no solo debemos envolver las aplicaciones con las que interactuamos, sino también los endpoints que se conectan a ellas. Comprobaciones sencillas como si el sistema operativo está actualizado y si tiene instalado software de seguridad pueden ser un buen comienzo, pero no toda la protección es igual.

Dado que la mayoría de los dispositivos están conectados a Internet siempre que se utilizan, podemos aprovechar el poder de la nube para ayudar a proporcionar protección y supervisión ubicuas. Las soluciones de seguridad modernas deben asumir que el dispositivo o teléfono está en un entorno hostil en todo momento. La antigua idea de dentro y fuera no solo está desfasada, sino que es francamente peligrosa.