Llegamos a ustedes gracias a:



Noticias

Cisco fabrica defensa táctica contra el ransomware

[20/10/2016] Cisco ha echado un vistazo a sus capacidades de seguridad y a las de sus socios y ha elaborado una guía para enfrentar el ransomware.

Ransomware Defense puede incorporar varios productos de Cisco y enfrentar los diferentes niveles de preocupación que los clientes puedan tener acerca del ransomware, afirmó Dan Hubbard, CTO del negocio de seguridad de Cisco.

Ofrece una respuesta rápida y táctica, una respuesta más estratégica que involucra a un equipo de evaluación que idea un plan que involucra a los productos de Cisco y a los de terceros que los clientes puede que ya tengan, y finalmente, una respuesta para los clientes más grandes y sofisticados para orquestar la segmentación automática de la red para aislar a las máquinas infectadas por el ransomware, afirma.

La primera está compuesta por Umbrella Roaming de Cisco, que protege a los dispositivos para que no accedan a sitios maliciosos conocidos, y Advanced Malware Protection (AMP). En caso de ransomware, el servicio Umbrella puede bloquearlo para que no alcance a los servidores de comando y control que podrían derivar llaves con las cuales cifrar los archivos de la víctima. AMP, que se puede conectar a routers, switches, firewalls, appliances de correo electrónico y de Web, detectaría y bloquearía el ransomware conocido.

El segundo nivel es más estratégico y requiere usar el cliente de movilidad segura Cisco AnyConnect que da visibilidad a la actividad del usuario y el dispositivo y ofrece protección contra malware. Este nivel también requiere consultar con un equipo de asesores de Cisco que evalúan las defensas de la red y elaboran un plan para enfrentar el ransomware. Ese plan puede incluir la incorporación de equipos de otros proveedores mediante APIs, afirmó Hubbard.

Por último, los clientes más sofisticados de Cisco ofrecen una combinación de StealthWatch e Integrated Services Engine que juntos pueden establecer políticas cuando se encuentra ransomware y automáticamente aislar las máquinas infectadas en segmentos de red utilizando la estructura de switches de Cisco.

Hubbard afirma que los clientes señalan que el ransomware es una de sus principales preocupaciones, y Cisco reunió a un equipo para idear la mejor manera de lidiar con el problema. "No salimos y dijimos vamos a crear un producto contra el ransomware, afirmó. "Si lo hubiéramos hecho por cada amenaza que existe tendríamos 9.000 SKU, y esa probablemente no es una manera realista de salir al mercado.

En cambio, afirmó que Cisco vio cuáles de sus productos combatían bien el ransomware tácticamente, y aquellos que abordaban el problema estratégicamente. Luego buscó una arquitectura que permitía a los productos trabajar juntos en lugar de hacerlo aisladamente.

La mayoría de las infecciones por ransomware vienen a través del correo electrónico que contiene o enlaces maliciosos o adjuntos maliciosos. Los usuarios hacen clic en ellos y descargan el malware. Evitar ese paso es una táctica que utiliza Cisco.

Otra es detectar actividad típica de ransomware, particularmente su búsqueda de los servidores de comando y control para crear las claves necesarias para cifrar los archivos de las víctimas. Si esa conexión se interrumpe, el malware no tiene las herramientas que necesita para llevar a cabo su misión. Mientras tanto, como está sin poder realizar acciones, los administradores de seguridad reciben una alerta para llegar y limpiar los equipos afectados.

Del mismo modo, cuando se ha identificado un ransomware en una máquina, ésta se puede aislar de la red corporativa para poder contener el daño, afirmó.