RSA 2018 – Arquitecturas de seguridad y mejores prácticas

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

Es un axioma de hoy decir que todas las instituciones financieras invierten en tecnologías de seguridad para proteger sus datos corporativos confidenciales.

Factiblemente sea potencialmente justo decir que la mayoría, si no todas, las categorías de productos de seguridad se implementan en las instituciones más grandes: firewalls, IDS de red, protección de endpoints, proxys web, DLP, UBA, encriptación de datos, etc.

No obstante, aún se producen infracciones y pérdida de datos.

Las mejores prácticas actuales quizás aún no sean las mejores defensas.

Considere el tiempo de detección de 260 días promedio en cualquier corporación en cualquier latitud.

Los atacantes operan en un marco de tiempo medido en días y meses.

¿Qué hacen en todo ese tiempo?

Se mueven lateralmente, explorando, aprendiendo sobre el medio ambiente y buscando a su presa. Sin embargo, permanecen sin ser detectados.

El objetivo, de la seguridad de hoy es reducir el tiempo de detección a minutos al centrarme en lo que hace el atacante durante la prueba de “colocar la junta”.

¡Están tocando datos dentro de la empresa!

Las tecnologías de engaño basadas en Honeynet pueden proporcionan una detección rápida cuando los atacantes están atrapados en estos sistemas (y con suerte evitar la detección falsa de usuarios legítimos o la configuración incorrecta de una conexión a Internet).

Las mejores tecnologías de honeynet deben evitar “respuestas” obvias que se revelen al atacante.

Deben presentar lo que parecen ser datos realistas, ya llevamos algunos años en este blog hablando al respecto, sobre estas técnicas nacidas en Israel.

De hecho, una estrategia de engaño de datos puede funcionar mejor mediante el despliegue de materiales engañosos dentro de las redes operativas de la empresa.

El diseño moderno de la arquitectura de seguridad generalmente se enfoca en el control de acceso y la prevención de pérdidas.

Los atacantes por diversos medios obtienen acceso de todos modos.

Los datos abiertos y no encriptados dentro de la empresa siguen siendo vulnerables a la inspección de los atacantes y su posterior exfiltración.

Los datos engañosos y falsos implementados junto con la red operacional y entre los datos abiertos internos pueden ser nuestra mejor oportunidad para la detección temprana.

 

 

Por Josep Verdura – Analista de Seguridad de Vintegris