Normalmente conversamos y debatimos acerca de los riesgos que cualquier empresa debe afrontar en relación a mantener y contener cualquier tipo de ataque. Sin embargo, aunque los datos relevados en el ESET Security Report 2014 aseguran que en el 68% de las empresas la explotación de vulnerabilidades es su mayor preocupación, para 5 de cada 10 empresas también es preocupante sufrir una infección de malware dentro de su red. Esto nos lleva a preguntarnos algo: ¿qué hace un equipo de seguridad para prevenir una infección de malware o identificar si es objetivo de algún tipo de ataque?
En este post repasaremos algunas de las problemáticas y herramientas que ayudan a simplificar el trabajo de los equipos de seguridad para estar un paso delante de los atacantes y ocuparse de las amenazas que llegan a sus dominios.
El contexto
Siempre es recomendable trabajar bajo un determinado contexto, o ubicarnos dentro de un entorno en el cual visualizar las problemáticas de un equipo o área de seguridad. Es verdad, no todas las empresas cuentan con un equipo específico que se dedique a la seguridad de la organización, pero el 85% de las empresas cuentan con un área de IT, la cual, en la mayoría de los casos está encargada de esta tarea.
Cuando el rol de un empleado incluye la protección, detección y eliminación de amenazas informáticas en 20, 50, 100, 200, 500, mil o hasta diez mil equipos diferentes, es una locura pensar que realizará las tareas en cada uno de ellos. En contraparte, pensemos cuánta gente se necesitaría para mantener actualizados todos los sistemas de la empresa si no existiera una manera de hacerlo remotamente. Si, sería una pesadilla para cualquiera.
Cualquier herramienta que permita la administración, configuración y control de los equipos de organización es un beneficio para cualquier equipo de IT y cuando hablamos de seguridad existe un gran número de soluciones diferentes. El punto en el cual todas ellas convergen es en cómo usarlas como una herramienta de seguridad proactiva en lugar de una mera consola de administración. Eso es lo que vamos a discutir ahora.
Alertas, reportes y monitores
Existen tres tipos de controles básicos que cualquier equipo de seguridad o departamento de IT debería utilizar para que su vida fuera más sencilla. Veamos un poco más en detalle cada uno de ellos:
- Las alertas
Cuando sucede algún evento que requiera la atención inmediata debe existir una alarma que dispare una acción del equipo o un proceso automático. Veamos un ejemplo. El gerente de ventas de una empresa recibe un correo de un posible cliente con un detalle de lo que necesita. Cuando lo descarga y lo abre en su equipo, la solución de seguridad de la empresa detecta que es una variante de VBA/TrojanDownloader.Agent.
Al tratarse de un miembro importante de la organización, deberían existir reglas y alertas que ayuden a prevenir cualquier ataque dirigido. Gerentes, Directores, equipos de recursos humanos o personal encargado de recibir información y manejar múltiples cuentas de correo deberían tener alertas configuradas en sus soluciones de seguridad para reportar cualquier tipo de incidente relevante.
- Los reportes
No vamos a explicar en detalle qué es un reporte, pero sí a comentar un poco para qué sirven y por qué un equipo de seguridad debería contar con ellos. Los reportes ayudan a visualizar el estado de la organización. ¿Cuántas detecciones por semana tiene la empresa? ¿Cuáles son los equipos que mayores amenazas reciben durante el mes? ¿Cuáles son las amenazas más comunes que se ven en la organización?
Todas estas preguntas pueden ser contestadas al programar y planificar los reportes y es uno de sus principales usos. Con los reportes podemos identificar qué sucedió o cuáles fueron los posibles motivos de una infección y/o propagación de un código malicioso por la red de la empresa. Una vez que se definen qué reportes ejecutar y con qué periodicidad, sólo resta configurarlos y programarlos en la herramienta de gestión para detección de amenazas que tenga la organización.
Según datos de la encuesta para el ESET Security Report 2014, el 67,10% de las empresas encuestadas sufrieron una infección de malware. ¿Podrían sus equipos de seguridad responder a cuántas detecciones de la amenaza que los afectó sufrieron?
- Los monitores
El último tipo de control que vamos a discutir hoy son los monitores. Cuando hablamos de monitores estamos haciendo mención a una herramienta visual en una pantalla que es una gran ayuda para tener una visión general de lo que sucede en la empresa. En este tipo de casos, es importante que se haya definido cada cuánto tiempo un sistema (Endpoint o Server) va a enviar información a la consola central.
En lo que respecta a soluciones de seguridad, es importante saber si existen problemas con la actualización de la base de firmas, bloqueos de sitios web potencialmente maliciosos o bloqueos de escritura/lectura en USB.
Normalmente un Dashboard contiene un conjunto de monitores e indicadores que permiten visualizar el estado general de la organización y los equipos que forman parte de nuestra red, centralizando toda la información en un solo lugar. En estos casos, antes de montar indicadores porque sí se debería definir qué valores se quieren mantener bajo control y cuáles son los márgenes que se desean definir.
Ahora que ya hablamos sobre el contexto, y los controles que debería ofrecer una herramienta de control y gestión, hablemos sobre qué es lo que se tiene que preguntar un equipo de IT sobre la seguridad de su empresa. Los invito a hacerse estas preguntas y visualizar cómo la herramienta de gestión que tienen los ayuda responderlas:
- ¿Cuál es el tipo de amenaza que se detecta con mayor frecuencia en su organización?
- ¿Cuál es el área de su empresa con mayor cantidad de detecciones?
- ¿Quién es el usuario que más incidentes causó en el último mes? ¿En los últimos seis meses? ¿En el último año?
- ¿En qué horario se detectan más amenazas?
- ¿Cuáles son las amenazas web que más bloquea su solución de seguridad?
Mi idea es dejarles estos disparadores, invitarlos a preguntarse cómo y para qué utilizan sus herramientas de monitorización y desafiarlos a potenciar el uso que se le puede dar a una herramienta como ESET Remote Administrator en un entorno corporativo. Saber qué es lo que pasa en la empresa en relación a los códigos maliciosos que se detectan o las amenazas que intentan propagarse entre sus empleados ayuda a definir las políticas y medidas de seguridad más eficientes.