[14/12/2022] El ransomware fue de nuevo el principal tipo de ataque en el 2021, con la industria manufacturera reemplazando a los servicios financieros como la principal industria en el punto de mira de los atacantes, representando el 23,2% de los ataques globales remediados el año pasado por X-Force de IBM Security, según el informe Threat Intelligence Index 2022 de la compañía.
Con noticias como ésta, no es de extrañar que "el ransomware sea la amenaza que más me quita el sueño", afirma Jon Hocut, director de seguridad de la información de Brooks, el conocido fabricante de zapatillas de correr. No ayuda que la infraestructura informática de Brooks "creciera con el tiempo, durante bastante tiempo, antes de que la seguridad se convirtiera en un problema primordial", afirma. Por lo tanto, la empresa buscaba una solución de ciberseguridad para hacer frente a los ciberataques con rapidez, sin tener que reconstruir primero toda la red.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Brooks cree que ha encontrado esta solución en Illumio Core, una plataforma de segmentación de confianza cero (ZTS) de Illumio que puede implantarse por etapas en toda una red corporativa, protegiendo primero las áreas más vulnerables, como si se instalaran cerraduras en la cámara acorazada de un banco y en la sala de cajas de seguridad, mientras se deja para otro momento la sala de registros de clientes.
"La misión de Illumio al más alto nivel es evitar que las brechas se conviertan en ciberdesastres", afirma PJ Kirner, CTO y cofundador de Illumio. "Nuestra plataforma de segmentación de confianza cero ayuda a las personas a limitar el impacto de las que se producen, al tiempo que proporciona visibilidad y control de toda la red."
Illumio Core: un enfoque pragmático de la confianza cero
La lógica de "no confiar en nadie" de la confianza cero exige que los usuarios autentiquen sus identidades siempre que soliciten acceso a datos o aplicaciones a través de la red. Pero "la segmentación de confianza cero va más allá de aislar diferentes partes de la red", afirma David Holmes, analista senior de Forrester Research. "Las soluciones de segmentación de confianza cero aíslan cada computadora participante, permitiendo únicamente las conexiones y accesos específicos declarados explícitamente en primer lugar. Esta es la razón por la que empresas como Brooks están haciendo lo correcto al invertir tanto capital como recursos técnicos en la segmentación de confianza cero, ya que resuelve no solo el ransomware, sino en general cualquier otra brecha orientada a la red".
El enfoque pragmático de Illumio respecto a la segmentación de confianza cero la aplica primero a las áreas más vulnerables -las que los hackers tienen más probabilidades de atacar- y se preocupa del resto más tarde. Es un enfoque que funciona, según un estudio realizado para Illumio por la empresa de seguridad ofensiva Bishop Fox, que organizó ciberataques contra una red protegida con Illumio Core. Basándose en los resultados de esos ataques fallidos, "la segmentación de confianza cero puede aplicarse para aislar eficazmente los hosts comprometidos durante un ataque activo", concluye el informe de Bishop Fox. "ZTS (también) se puede utilizar de forma proactiva para cercar entornos y aplicaciones enteras, reduciendo drásticamente las vías disponibles para la explotación a través del movimiento lateral".
Cómo aplica Brooks el ZTS
En línea con "hacer primero lo que más importa", Brooks ha aplicado Illumio Core para bloquear el acceso no autorizado a cientos de sus servidores Windows y recursos en la nube. Se supone que la mayoría del personal no debe acceder a ellos como parte de su trabajo, por lo que bloquear proactivamente las solicitudes de acceso hasta que puedan ser revisadas por el personal de seguridad de TI es una solución de ciberseguridad simple pero efectiva.
"Hemos separado a nuestros usuarios de nuestros servidores y nuestros recursos, con el objetivo de permitir solo el tráfico mínimo necesario de ida y vuelta", explica Hocut. "Puede que estos servidores necesiten hablar entre sí de muchas formas y en muchos puertos diferentes. Pero los usuarios desde sus portátiles no necesitan hablar a través de esos puertos, y por eso les impedimos hacerlo sin permiso explícito".
Son estos portátiles, manejados por empleados no informáticos con acceso a la red, los que tienen más probabilidades de convertirse en objetivo de los piratas informáticos a través del phishing y otros ataques similares. Así que, cuando se trata de hacer más segura la infraestructura de TI de Brooks utilizando ZTS, "lo primero que hay que hacer es tomar las portátiles que tienen más probabilidades de verse comprometidos y separarlas de todo", anota Hocut. "No se trata de confianza cero en toda la empresa, sino de menos confianza. Sigue diciendo: 'bueno, confiaremos en que los servidores se comuniquen entre sí'. Pero mantendremos las máquinas más probablemente comprometidas lejos de las máquinas más valiosas, y controlaremos ese tráfico tanto como sea posible".
La plataforma Illumio Core documenta todas las solicitudes de acceso, lo que permite al equipo de TI de Brooks analizar este registro histórico para detectar posibles intentos de violación, tendencias en las solicitudes de acceso y otros signos potenciales de ataques de hackers en el pasado. Todos estos datos se están utilizando para ajustar las políticas y procedimientos de ciberseguridad de la empresa, y dar forma a su enfoque de la gestión de ZTS y su expansión por toda la red en el futuro.
La implantación del ZTS ha sido relativamente sencilla
Brooks solo necesitó cuatro meses durante la segunda mitad del 2022 para implantar Illumio Core ZTS en su red. "Hoy en día, solo estamos supervisando las alertas y haciendo un seguimiento de ellas", anota Ryan Fried, ingeniero de seguridad senior de Brooks. "Es fácil simplemente dejar pasar las alertas y bloquear el tráfico de algo como RDP, pero hacemos todo lo posible para llegar al usuario, entender por qué lo estaban haciendo y luego hablar con ellos sobre los procesos alternativos que están en su lugar".
Un ejemplo: antes, un empleado de Brooks "podía realizar conexiones SQL desde su portátil a una base de datos, lo que me resultaba aterrador", afirma Fried. Ahora, después de que Illumio Core detecte y bloquee un intento de acceso de este tipo, "les dirigimos a un servidor seguro para nosotros, y desde allí iniciamos la conexión RDP o SQL".
Irónicamente, el mayor reto a la hora de implantar Illumio Core en Brooks no fue digital, sino analógico. Hocut y su equipo de seguridad tuvieron que calmar los temores de los ejecutivos de Brooks que estaban inquietos por el traslado de su acceso a la red a ZTS antes de que pudieran tomar medidas.
"Dile a alguien del equipo de recursos empresariales que vas a trastear con los firewalls que rodean el sistema ERP", señala Hocut. "No le van a invitar a tomar unas cervezas. Les va a preocupar cómo va a afectar a las operaciones". Incluso su jefe, el vicepresidente de tecnología de la información de Brooks, quería saber cómo se podía hacer el cambio a ZTS sin causar tiempos de inactividad, y mantenerlo sin causar problemas. "Tuve que ganarme la confianza de todos explicándoles que Ryan establecería un conjunto de reglas ZTS propuesto, y lo ejecutaría de forma no operativa durante un tiempo para asegurarse de que funcionaba, antes de poner Illumio Core en funcionamiento", afirma.
Probar antes de implantar es esencial
Realizar este tipo de pruebas antes de implantar cualquier sistema ZTS es imprescindible, afirma Holmes. "La segmentación de confianza cero es muy eficaz, pero requiere un trabajo previo para definir la política de segmentación correcta", explica. "Una política incorrecta provoca cortes en la red local y ajustes manuales, lo que añade una capa de complejidad a la gestión de la red. Las soluciones ZTS modernas se esfuerzan por adivinar la política correcta para usted, pero incluso los modelos que utilizan IA no son 100% precisos y es necesario realizar ajustes". Una vez realizado este trabajo, el sistema ZTS de Brooks funciona según lo prometido, proporcionando a la empresa una protección proactiva frente al ransomware y otras ciberamenazas.
De cara al futuro, Hocut planea extender Illumio Core a otras partes de la infraestructura informática de Brooks. "Queremos reforzar la granularidad de nuestros controles de red con distintos grupos de servidores para no tratar a todos por igual", afirma. "También vamos a vigilar el tráfico saliente de los servidores. Los servidores tienen funciones muy específicas, y solo deberían hablar con el mundo exterior de formas muy concretas. Y podemos utilizar Illumio para saber cuáles son esas formas actuales, suponiendo que probablemente todas sean buenas, y bloquear absolutamente todo lo demás".
Basado en el artículo de James Careless (CSO) y editado por CIO Perú