El “ransomware” y su mecanismo de propagación no son nuevos. La vulnerabilidad tiene más de 10 años.
Se sigue hablando de nuevas soluciones de ciberseguridad, digitalización o inteligencia artificial pero seguimos sufriendo por una amenaza “antigua”, tomando provecho de vulnerabilidades conocidas (como parches o actualizaciones de sistemas operativos) y que –en teoría- no debería ser un riesgo.
El Ransomware es el tipo de ataque más usado, el que más pérdida de datos y dinero genera en la actualidad. Y desgraciadamente una solución de seguridad simple (como un “antivirus”) no ofrece la seguridad necesaria. A esto se suma que el ransomware puede infectar silenciosamente una red y seguir violando la seguridad (por ejemplo copiando discretamente archivos) hasta que (eventualmente) se visibiliza a través de una encriptación y una solicitud de rescate. Hay estadísticas globales que indican que más de la mitad (56%) de las empresas medianas han sufrido pérdidas (de datos, información, imagen o dinero) por un promedio de US$ 500 000 el último año. Otra de las pérdidas de las que se habla poco es el tiempo de inactividad y horas / hombre perdidas que un ataque por Ransmoware genera en las empresas.
Actualmente hay en el mundo alrededor de 3 000 proveedores de sistemas de seguridad lo que genera para los usuarios el problema de elegir, y los atacantes son cada vez más sofisticados. Desafortunadamente no hay una sola solución “todo en uno”.
Qué ofrece Cisco
Hoy en día el mercado tarda un promedio de 100 días en detectar una amenaza desconocida. Cisco puede ofrecer la identificación de una amenaza nunca antes vista en 4.5 horas. De cada 10 amenazas potenciales detectadas en el mundo, una es real, y típicamente no puede ser remediada por el cliente o usuario. Sabe de su existencia, la puede ver, pero no puede hacer nada para solucionar o mitigar el daño potencial. Cisco reduce el tiempo de detección y el tiempo de reacción trabajando sobre tres pilares:
Pilar 1: Visibilidad profunda
La visibilidad de TODO el tráfico de red. No solamente la red de switching o Accesspoints, también la nube, el trabajo remoto, sensores y objetos. En el caso peruano Cisco sugiere especial atención a empresas extractivas como las mineras que tienen equipos con protocolos antiguos pero que ya han sido añadidos a las redes y es necesario tener herramientas que miren este aspecto de la operación. Solamente se puede reducir el tiempo de detección si es que se visibiliza todo, lo que es normal y lo que no. Cisco introduce acá el análisis del riesgo del comportamiento, machine learning e inteligencia artificial.
Sobre la inteligencia artificial, se cree que las máquinas van a poder tomar decisiones sin la intervención humana pero desde la selección e implementación de una tecnología de IA en particular ya existe el sesgo humano de quien selecciona la herramienta. El origen de los problemas es que los usuarios aún no saben administrar la inteligencia artificial correctamente. La única respuesta no es inteligencia artificial: Un 40% de los problemas de ciberseguridad se solucionan con productos, el 60% se solucionan con procesos y capacitación al personal.
Pilar 2: Segmentación
Buscando reducir la superficie de ataque segmentando la red. Una vez que se detecta una vulnerabilidad o ataque se aísla los componentes y se busca el origen o “paciente cero”. La respuesta típica a los últimos ataques de ransomware ha sido enviar a los empleados a su casa y que no tengan acceso a las redes corporativas, pero desgraciadamente eso no soluciona el problema. La segmentación que plantea Cisco alcanza inclusive a la nube (cloud) a través de la gestión de usuarios, reduciendo los perfiles de acceso, suspendiendo certificados digitales. Cualquier acceso a la red (física o virtual) debe ser controlado y segmentado.
La segmentación se complementa con un análisis retroactivo para determinar el área o usuario desde el que se produjo la brecha de seguridad, y esto pasa necesariamente por una política clara de credenciales y permisos.
Pilar 3: Inteligencia de amenazas
El pilar más importante para Cisco es la inteligencia humana aplicada a la detección de amenazas. Este pilar es posible gracias a Cisco Talos, la organización no gubernamental más grande del mundo en términos de cantidad de amenazas analizadas.
Por ejemplo Cisco Talos analiza cada día:
- 20 millones de web request
- Telemetría de recopilación 100 TB cada 24 horas
- Dos millones de muestras de malware diarias
- 10 millones de request de navegación por internet.
- 187 millones de request de DNS (mensual)
- Casi un tercio del tráfico de todo el correo electrónico corporativo del mundo.
El foco de Talos es detectar y diagnosticar nuevas amenazas lo más rápido posible. Los clientes de Cisco pueden acceder de esta manera a actualizaciones y advertencias de seguridad cada 4 o 5 minutos, y tratándose de un trabajo desde la arquitectura de los sistemas la protección no se limita a un solo aspecto o vector sino que protege toda la organización en todos los aspectos (inclusive trabajando con componentes de otras marcas o proveedores).
Hoy en día, Cisco es de lejos la empresa de ciberseguridad más grande del mundo, siendo parte integral y transversal a todo su portafolio de productos y servicios.
