Prepárate con Threat Management and Defense

11 Mar 2018

Cuando las ciberamenazas atacaban solo a determinados departamentos de una empresa, las medidas preventivas y el sentido común podían servir como protección de confianza. Pero ahora, la transformación de la era digital ha cambiado por completo los procesos comerciales, introduciendo tecnologías de la información prácticamente en todas partes, lo que ha provocado que cada vez más sistemas se conecten a redes de información y que se introduzcan nuevos servicios, tecnologías y herramientas digitales. Todo ello nos obliga a mejorar la seguridad de la información.

Ya no basta con las soluciones de seguridad. Por supuesto, no estamos afirmando que los mecanismos de protección no sean útiles, de hecho, siguen aplastando a la gran mayoría de las amenazas masivas. Sin embargo, cuanto más grande sea tu negocio, a más intrusos atraerá y las técnicas estándar no siempre funcionan ante los ataques complejos y avanzados.

¿Dónde está la complejidad de los ataques dirigidos?

La principal diferencia entre los ataques dirigidos y los ataques masivos reside en el enfoque. Antes de llevar a cabo su jugada, los ciberdelincuentes invierten una gran cantidad de tiempo en recopilar información y analizar la infraestructura de tu negocio. Son pacientes, pues son necesarios varios meses para implementar algo en la red, aunque no siempre tiene que tratarse de una amenaza, de hecho, podría ser un módulo de comunicación oculto con protocolos comunes, en cuyo caso se inhabilitaría el sistema de control para diferenciarlo de una aplicación del usuario legítimo.

Algunos módulos se activan en el último momento, cuando los ciberdelincuentes tienen que acceder a la red, realizar una transacción maliciosa o sabotear un proceso. Si cuentas con una solución de protección, es muy probable que esta responda a la anomalía y evite el incidente. Pero incluso en ese caso, solo veras la punta del iceberg. Lo peor de todo esto es que la mayor parte del trabajo de los intrusos permanece invisible (sobre todo si se han preparado bien antes).

¿Por qué tienes que saber cómo actúan los ciberdelincuentes?

Es muy probable que te preguntes en qué te beneficia conocer cómo se han infiltrado los intrusos en tu infraestructura, sobre todo cuando se ha evitado el incidente, pero lo cierto es que existen beneficios y, por ello, se debería investigar cada incidente.

Primero, hay que identificar la raíz del problema para no volver a caer en la misma trampa. Si vas a dejar todo tal cual estaba y confiar solo en las medidas de protección, los cibercriminales podrían volver a intentarlo con una metodología nueva.

Segundo, saber cómo han entrado los intrusos te permitirá poder reaccionar a conciencia y, lo que es más importante, de inmediato. Puede que la filtración no se haya producido por vulnerabilidades en el software o en el hardware. Los ciberdelincuentes pueden haber conseguido el acceso a tu infraestructura a través de un trabajador, ya sea a sabiendas o no. La amenaza podría proceder de redes de subcontratistas o proveedores de servicios que tengan acceso a tus sistemas por razones comerciales.

No hace falta decir que los atacantes podrían tener otros implantes en tu red y el incidente podría ser parte de su estrategia o una maniobra de distracción.

¿Qué podemos hacer?

Para proteger tu infraestructura de un ataque dirigido y avanzado, tienes que reforzar tus mecanismos de seguridad con un sistema que te permita analizar lo sucedido con anterioridad. Los ciberdelincuentes pueden eliminar información y ocultar sus actividades, pero si tienes un sistema EDR (siglas en inglés de Endpoint Detection and Response), los investigadores podrán llegar fácilmente a la raíz del incidente, sin interrumpir la continuidad de los procesos comerciales.

Como solución, te ofrecemos la herramienta Threat Management and Defense, una versión combinada de nuestro Kaspersky Anti Targeted Attack y la nueva solución Kaspersky Endpoint Detection and Response con servicios especializados, que te permitirá implementar un enfoque estratégico para enfrentar las ciberamenazas.

Kaspersky Anti Targeted Attack usa tecnologías probadas y eficaces basadas en el aprendizaje automático, esto te permite encontrar anomalías en el tráfico de la red, aislar procesos sospechosos y buscar las correlaciones entre los eventos. Kaspersky Endpoint Detection and Response sirve para agregar y visualizar los datos recopilados, algo fundamental en la investigación de incidentes. Y, gracias a los servicios, puedes recibir ayuda en caso de incidentes especialmente difíciles, formar al personal de tu centro de control o concienciar a los empleados de tu empresa.

Para descubrir la plataforma Threat Management and Defense, visita esta página web.