Asume una brecha con seguridad de punto final de confianza cero
“Teníamos la seguridad en su lugar, entonces, ¿cómo fue ransomware ¿pasar?” — una pregunta conmovedora que a menudo ha iniciado muchas reuniones de crisis en las salas de juntas después de una gran violación cibernética. En un momento tan crucial en el tiempo para muchas empresas, hay mucho en juego: reputación de marca, multas de cumplimiento, pérdida de confianza de los inversores, fluctuación del precio de las acciones e incluso consideraciones de pago de rescate.

Y en realidad, esta pregunta está lejos de estar fuera de lugar. Las soluciones de seguridad perimetral y de punto final son omnipresentes en todas las redes del negocio. Esto plantea entonces la pregunta: ¿Cómo sigue pasando el ransomware y, lo que es más importante, por qué todavía es capaz de propagarse rápidamente, causando estragos a un ritmo tan alarmante?
En este artículo, examinaremos estas preguntas. También repensaremos los enfoques tradicionales que han dominado la seguridad de punto final historia hasta ahora.
La historia: Mismo guión, diferentes actores
En muchos casos, el enfoque de los actores de amenazas hace que sea una trama familiar con un final terriblemente predecible, y por lo general va algo como esto:
- Diríjase a la fruta de bajo nivel, como el punto de enlace (credenciales) de un usuario final o un servidor front-end web
- Utilice una combinación de sondeo directo e indirecto e ingeniería social para el compromiso inicial
- Descubra a qué más se puede acceder y pivotar desde la máquina comprometida
- Escalar privilegios para poder trasladarse a otras máquinas
- Continúe propagándose a los sistemas de alto valor y luego complete objetivos maliciosos
- Enjuague y repita
En esta historia, todo el mundo es un objetivo.
Tomemos, por ejemplo, el desarrollador contratado que trabaja de forma remota para entregar una pieza crítica de software empresarial para un cliente. Por lo general, trabajan con plazos muy ajustados, por lo que a veces están bajo presión para posiblemente tomar atajos para completar los proyectos antes de sus fechas límite. Este tipo de usuario de punto final es un candidato ideal para un ataque a la cadena de suministro porque si se ve comprometido, su punto final se puede usar para infiltrarse en la canalización de control de código fuente (CI/CD). Otro ejemplo de usuarios objetivo son los ejecutivos de ventas y marketing que suelen estar de viaje participando en reuniones y eventos. También están en riesgo de sufrir ataques de ingeniería social y phishing porque tienen más probabilidades de estar accediendo a redes públicas y desprotegidas.
Dichos usuarios y sus endpoints, una vez comprometidos, permiten que el actor de amenazas tenga un punto de pivote para continuar con su ataque. Luego intentarán ingresar a cuentas de mayor privilegio y trasladarse a otras máquinas antes de llegar finalmente a sistemas importantes como los sistemas de bases de datos, sistemas de administración de documentos o sistemas de administración de relaciones con los clientes. Estos son a menudo los activos de alto valor que contienen información comercial y personal valiosa para la organización.
El status quo: la fatiga de la defensa cibernética
Los actores de amenazas no tienen escasez de técnicas de su lado, desde malware sin archivos que aprovecha la inyección de código sofisticado y cargas útiles de ransomware altamente evasivas hasta vulnerabilidades antiguas que aún son efectivas debido a la dependencia de las organizaciones en sistemas heredados que albergan código comercial muy antiguo, pero importante, que puede no ser muy fácil de reemplazar. A veces parece que los atacantes tienen la ventaja.
Y bien pueden hacerlo porque los defensores enfrentan un aluvión de actores de amenazas con un arsenal cada vez mayor de capacidades maliciosas. Como dice el refrán, los defensores tienen que hacerlo bien todo el tiempo mientras que los atacantes tienen que hacerlo bien solo una vez. Debido a esto, los defensores enfrentan la mayor parte de la presión la mayor parte del tiempo.
No para profundizar más en el punto, pero aquí hay un ejemplo de la carga útil de Brute Ratel y el mapa MITRE TTP asociado para mostrar a qué se están enfrentando los defensores de una sola carga útil. Y hay muchas variantes diferentes de malware con dicha capacidad.

En la imagen, el puntito en el extremo izquierdo es la carga útil de Brute Ratel. A la derecha están las diferentes tácticas y técnicas que esta única carga útil puede emplear para infectar un sistema, evadir la detección y llevar a cabo sus objetivos maliciosos.
Esto demuestra parte de la razón por la cual los casos de brechas y ransomware continúan aumentando incluso a través de una impresionante evolución de las herramientas de seguridad de punto final: Antivirus (AV), Next Generation AV (NGAV), Endpoint Protection Platforms (EPP), Endpoint Detection and Response (EDR), etc. Estas herramientas combinadas con una lista aún más larga de características de protección: análisis de firmas, control de aplicación/procesos, heurística, análisis conductual, prevención de exploit, sandboxing, y la lista va on — que se supone que resuelven el problema real que ahora parece haber sido exacerbado. La proliferación de ransomware en los últimos años ha demostrado la gravedad del problema.
Entonces, ¿por qué el malware todavía puede pasar?
Puede haber varias razones para ello. En algunos casos, la seguridad existente, tradicionalmente sistemas basados en la detección, pasó por alto la amenaza por completo. Esto podría deberse a una vulnerabilidad de día cero o a técnicas altamente evasivas. También podría ser que un módulo de seguridad necesario no se haya configurado correctamente o que el módulo correcto ni siquiera se haya implementado en absoluto debido a restricciones presupuestarias o falsos positivos que bloquean los casos de uso diario del negocio.
En un contexto de una lista casi interminable de capacidades de ataque, como la amenaza de vulnerabilidades del usuario final y del lado del proveedor y la complejidad cada vez mayor en las redes modernas (entornos híbridos), algo va a salir mal. Y es por eso que suele hacerlo.
Ciberresiliencia: seguridad de punto final de confianza cero
Entonces, ¿qué sigue? ¡Entra al paradigma de seguridad cooperativa! Esta es la seguridad de punto final de detección tradicional que se combina con el nuevo enfoque de seguridad de punto final Zero Trust.
Se trata de un nuevo paradigma de seguridad basado en la seguridad proactiva y Principios de confianza cero trabajando junto con las herramientas de seguridad existentes sin necesidad de cambios en la red y los sistemas. Esta capacidad utiliza datos de punto final multiplataforma que son analizados centralmente por un cerebro central inteligente y escalable.

Comienza con una implementación no disruptiva que ocurre en minutos. Luego, proporciona una visión de las comunicaciones este-oeste además de las típicamente monitoreadas norte-sur. Esto es necesario porque las organizaciones deben tener la capacidad de ver y rastrear las comunicaciones en diferentes sistemas operativos, plataformas y ubicaciones simultáneamente. Y todo esto es posible sin ningún sistema adicional y cambios en la red. Aquí, vemos un ejemplo de todos los diferentes endpoints y cargas de trabajo de servidor, incluidos los activos de nube pública de forma lógica (sin cambios de red) agrupados por sus nombres de ubicación designados.

Dado que los endpoints no existen en el vacío, se comunican con muchos sistemas diferentes. Incluso pueden tratar de comunicarse con otros puntos finales, aunque en algunos casos esta comunicación no es realmente necesaria o deseable debido a un alto riesgo de movimiento lateral. Esto hace que tener visibilidad en la comunicación de punto final sea una capacidad muy importante.

Los endpoints también se comunican con servidores y cargas de trabajo. Algunos de estos pueden estar bajo el control de la organización en sus centros de datos, mientras que otros pueden ser servicios SaaS en la nube de terceros. Es necesario obtener visibilidad de dicha comunicación para comprender todos los riesgos de esos endpoints y los servidores a los que se conectan.

La visibilidad, como se explicó anteriormente, es un precursor necesario para la aplicación siempre activa que proporciona contención a raíz de una falla de detección por parte de la seguridad de punto final tradicional y EDR. Las capacidades de aplicación incluyen políticas basadas en identidad y dominio para acabar con las comunicaciones de devolución de llamadas de malware, reglas basadas en procesos para nanosegmentación, y control de la comunicación con firewall y políticas basadas en amenazas de vulnerabilidad. Este enfoque también significa que si hay Políticas de confianza cero o deny-list limites, la política de seguridad se define y aprovisiona en función de la inteligencia de tráfico. Esta inteligencia debería estar sobre qué sistemas tenemos, qué hacen, y luego en base a eso, cómo protegerlos adecuadamente. El conocimiento de la ubicación también mejora la flexibilidad de las políticas dentro y fuera de la red corporativa. Todo esto debe aplicarse de manera uniforme en diferentes plataformas — Windows, Linux, Mac, Unix, Cloud y Containers.
Lograr estos objetivos desde el punto de vista de un defensor requiere equipos y herramientas para colaborar de manera efectiva. Una organización que asume una violación probablemente se centre en la resiliencia cibernética en lugar de solo en la detección. Ponen tanta importancia a las estrategias de contención como a la detección.
Illumio Endpoint complementa las herramientas de detección existentes
Como parte del Plataforma de Segmentación Illumio Zero Trust, Endpoint de Illumio ha sido diseñado para complementar las herramientas de seguridad de detección existentes y, al mismo tiempo, llenar los mayores vacíos en visibilidad y capacidades de prevención de movimientos laterales.
Este tipo de enfoque de contención fue puesto recientemente a prueba por Obispo Fox. A través de múltiples emulaciones de ataque, encontraron que las brechas se detectaban hasta 4 veces más rápido con Illumio Segmentación de confianza cero porque los atacantes tuvieron que eludir estos métodos de contención, creando más ruido para que las herramientas de detección detectaran.
En general, la segmentación en los puntos finales conduce a un resultado positivo postura de seguridad ¡eso, en colaboración con las inversiones de seguridad existentes, lo convierte en una excelente historia de punto final!
¿Quieres saber más sobre Illumio Endpoint? Póngase en contacto con nosotros hoy para una consulta gratuita y una demostración.