Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Contención de Ransomware

5 pasos para frenar el malware con segmentación de confianza cero

Illumio Editorial
,
November 1, 2021
23 min. lectura

Los ciberataques están aumentando en frecuencia y sofisticación, poniendo en riesgo la seguridad de las organizaciones. En el último año, más de un tercio de las empresas en todo el mundo se han visto afectados por un ataque de ransomware o una violación de datos que bloqueó el acceso a los datos.

Según una encuesta realizada a más de 500 profesionales de seguridad realizada por la firma de investigación IDC, las empresas reportaron que el malware avanzado era el contribuyente más frecuente a las brechas de seguridad.

Para protegerse contra amenazas avanzadas, las organizaciones de TI deben realizar una variedad de inversiones en seguridad. Estos incluyen productos de seguridad tradicionales, como software antivirus para detectar malware. También deben invertir en capacitación en seguridad para los empleados.

Pero hay otro paso crítico: adoptar un Segmentación de confianza cero estrategia.

Para segmentar la red, implementa controles de políticas de “lista de permitidos” en los endpoints, lo que permite únicamente tipos específicos de tráfico requerido para las operaciones legítimas del negocio. Este enfoque reconoce que los ataques son inevitables. En una gran organización con miles o incluso cientos de miles de endpoints, el malware pasará, en algún lugar, de alguna manera.

La mejor defensa se convierte entonces en bloquear el malware para que no viaje de un punto final a otro, una técnica que se conoce como “movimiento lateral”.

Con la segmentación Zero Trust aplicada a los endpoints, el malware y el ransomware no podrán propagarse y causar daños materiales. No arrasará a la empresa, ni siquiera a un solo departamento. En su lugar, se contendrá en una sola computadora portátil.

Cómo adoptar un enfoque de cinco pasos para imponer la confianza cero en los endpoints

En un reciente Tecnología IDC Destacada, Michael Suby, jefe de investigación de seguridad de IDC, recomendó el siguiente proceso de cinco pasos para frenar la propagación de ataques de malware y ransomware tomando una Cero Confianza (“lista de permitidos”) enfoque.

Paso 1: Visualizar los flujos de tráfico

El objetivo de restringir el tráfico de punto final es evitar que el malware se propague fácilmente a través de la red. Para administrar el tráfico de endpoints, esta estrategia aprovecha los firewalls integrados en los sistemas operativos del host.

Al controlar estos firewalls con un agente ligero, los equipos de TI pueden restringir el acceso a los datos solo al acceso requerido para el negocio. En otras palabras, pueden permitir que los empleados y sus endpoints accedan a las aplicaciones y datos que necesitan, y que no accedan a nada más.

Para determinar qué acceso necesitan los empleados, IDC dice que las organizaciones de TI deben monitorear los flujos de tráfico, preferiblemente durante aproximadamente 30 días, para tener en cuenta las fluctuaciones normales en el uso de datos y aplicaciones. El monitoreo debe ser integral, realizar un seguimiento de los flujos de datos en las instalaciones, en ubicaciones remotas y hacia y desde la nube.

Para obtener mejores resultados, aproveche el software basado en host y el reporting de infraestructura de red, en lugar de intentar monitorear todo el tráfico en todas las ubicaciones para todos los dispositivos desde un solo servidor.

Paso 2: Agrupar puntos finales

Crear políticas para permitir y no permitir el tráfico puede volverse complejo rápidamente. Para agilizar este trabajo, agrupe los endpoints por sus características comunes y desarrollar políticas de lista de permitidos en consecuencia. Las agrupaciones de endpoints pueden incluir:

  • Ubicación (por ejemplo: oficina de NY, remoto, etc.)
  • Tipo de dispositivo (por ejemplo: portátil)
  • Afiliaciones de empleados (por ejemplo: departamentos, roles, etc.)
  • Horas de funcionamiento (por ejemplo: horas de trabajo estándar o horas no laborales)

Al asignar endpoints a estas agrupaciones, los administradores de TI pueden simplificar el trabajo de creación y ajuste de políticas en los siguientes pasos.

Paso 3: Definir y probar las políticas de lista de permitidos

El siguiente paso es definir políticas que permitan el tráfico utilizando puertos de red específicos, direcciones y protocolos para aquellos requeridos para soportar las operaciones diarias del negocio. Es una buena idea comenzar con las políticas más restrictivas y monitorear cómo afectarían al tráfico si se aplican. Como principio general, desea limitar el tráfico tanto como sea posible para dar al malware el menor número posible de aperturas para el movimiento.

Paso 4: Aplicar políticas de lista de permitidos

El siguiente paso es hacer cumplir las políticas de lista de permitidos, permitiendo únicamente el tráfico identificado específicamente por una política. Teóricamente, este paso podría requerir que los administradores de TI diseñen reglas complejas de firewall a mano e implementen cada conjunto de reglas en los grupos de endpoint apropiados.

Pero con una solución como Illumio Edge y Núcleo de Illumio, no es necesario que los administradores escriban o administren reglas de firewall directamente. En su lugar, pueden definir las políticas de lista de permitidos que desean, e Illumio traduce automáticamente esas políticas en reglas detalladas de firewall que son fáciles de implementar en los endpoints, así como en las cargas de trabajo en la nube y centros de datos.

Paso 5: Refinar las políticas de lista de permitidos

El paso final en este proceso es continuar monitoreando y refinando las políticas de listas de permitidos según sea necesario, restringiendo el acceso tanto como sea posible sin interferir nunca con las operaciones del negocio.

Beneficios de frenar el malware con segmentación de confianza cero

Los beneficios de este enfoque utilizando soluciones como Illumio Edge e Illumio Core son sustanciales:

  • Mejor visibilidad del tráfico de punto final y las amenazas potenciales.
  • Reducción del daño causado por malware, ransomware y otros ataques cibernéticos.
  • Automatización que hace que la definición, implementación y refinación de políticas de listas de permitidos sea rápida y fácil.
  • Escalabilidad adecuada para las redes empresariales más grandes.
  • Integración con sistemas SIEM y otras herramientas de seguridad de TI, de modo que las políticas de lista de permitidos puedan funcionar como parte de un enfoque más amplio y de múltiples capas para la seguridad de TI.

Para obtener más información sobre estos pasos y la investigación de IDC, lea IDC Technology Spotlight, Refrene la propagación del malware con visibilidad integral y control de políticas de lista de permitidos.

Temas relacionados

No se han encontrado artículos.

Artículos relacionados

El ransomware duele: así es como Zero Trust puede ayudar a mitigar el riesgo
Contención de Ransomware

El ransomware duele: así es como Zero Trust puede ayudar a mitigar el riesgo

Cómo la segmentación Zero Trust de Illumio, basada en una visibilidad integral, puede ayudar cuando se trata de mitigar los riesgos de ransomware.

Leer más
Desmitificación de técnicas de ransomware usando Ensambladas.net: un ataque de varias etapas
Contención de Ransomware

Desmitificación de técnicas de ransomware usando Ensambladas.net: un ataque de varias etapas

Aprende los fundamentos de un ataque de carga útil de varias etapas utilizando un conjunto de cargas útiles por etapas.

Leer más
Contener ransomware en su origen con segmentación de confianza cero
Contención de Ransomware

Contener ransomware en su origen con segmentación de confianza cero

Descubra por qué la amenaza de ransomware es tan crítica y cómo lograr la contención del ransomware con la Segmentación de confianza cero.

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información