Por: JUDITH PÉREZ FAJARDO (judith@gpscom.com)
En la actualidad los usuarios empresariales buscan acceder a las aplicaciones en una red sin límites: Internet. En ellos nos enfocaremos. En el concepto de cero confianza, Internet se considera hostil y los usuarios acceden a recursos de múltiples dispositivos y desde diferentes ubicaciones. Con esto en mente, es fundamental que las organizaciones puedan identificar:
Nuevamente, estamos tratando de obtener una mejor comprensión de los usuarios “supuestamente de confianza” para las aplicaciones en función de quién es el usuario, a qué están autorizados a acceder y cuál es el puntaje del dispositivo de acuerdo con la base de datos de políticas para hacer una determinación de autorización. Al hacernos estas preguntas (y muchas más) y mediante controles de políticas, las empresas pueden reducir su exposición al riesgo para acceder a estas aplicaciones y recursos.
Sin embargo, realizar este ejercicio de preguntas no solo es excelente para entender a los usuarios que estamos estableciendo algún tipo de confianza para acceder a los recursos, sino que también se puede usar para obtener una comprensión y una postura de seguridad para proteger a los usuarios corporativos de TI y los recursos que están accediendo. Estos se presentan en forma de amenazas avanzadas como phishing, malware, comando y control (C & C) y estrategias de exfiltración de datos con el objetivo de llegar a lo profundo de los recursos corporativos de TI a través de uno de los medios más comunes: el punto final.
Existen muchas filosofías, tecnologías y soluciones de seguridad en el mercado que brindan protección para endpoints. Una búsqueda rápida de Google en la protección de endpoints generará muchas compañías. Gartner publica su informe Magic Quadrant (MQ) sobre una base anual que analiza las empresas líderes en diversos espacios y la protección de endpoints es una de esas categorías.
Si bien no existe una solución mágica que aborde todas las cuestiones de seguridad. Los grupos de TI y seguridad dentro de las organizaciones empresariales deben adoptar un enfoque de Zero Trust para identificar estas amenazas a fin de abordar y mitigar esas amenazas.
Mirando más de cerca el proceso que usa un actor de amenazas al relevar lo que está disponible, podemos referirnos a la cadena de seguridad.
El usuario malintencionado primero comienza con un poco de reconocimiento. Estudian el comportamiento del usuario, algunas falacias comunes a los recursos corporativos y la protección, ya sea que las alertas de parches lanzados recientemente tarden en implementarse dentro de las organizaciones, etc. Luego, se crean y desarrollan los paquetes maliciosos. A continuación, se debe usar un mecanismo o vehículo para entregar el software malicioso al objetivo. Internet abierto es el vehículo más común y más disponible, por lo que este es el método preferido. Una vez que el paquete ha llegado exitosamente al punto final, el código busca recursos / puertas abiertos o débiles para instalar el paquete. Esto se hace de forma tan encubierta como sea posible, muchas veces sin que el usuario sepa que se está instalando software malicioso en su máquina.
Este no es un proceso rápido. Los agentes de amenazas miran bajo el radar de la seguridad corporativa el mayor tiempo posible buscando no alertar a los sistemas de monitoreo de su actividad maliciosa con la tarea de descubrir algunos dispositivos vulnerables en la red. Una vez que la máquina se ve comprometida, o al menos parcialmente cuando el software malicioso puede realizar algunos comandos remotos, el software puede intentar llamar o devolver la llamada a los servidores de amenazas en la red.
Hay una gran cantidad de empresas de protección de endpoints que proporcionan software como protección antivirus para continuar actualizando y buscar firmas que coincidan con las amenazas conocidas, y esta es una buena línea de defensa. Sin embargo, hay otra línea, o mejor aún, primera línea de defensa que a menudo se pasa por alto. Y eso es … DNS.
Como sabemos, DNS es el protocolo que ha existido desde los primeros días de Internet y se usa para traducir nombres de host a algunas direcciones IP para computadoras, enrutadores / conmutadores, teléfonos y cualquier otro dispositivo con conexión IP para llegar a un destino. La razón por la que se pasa por alto es porque DNS suele ser lo primero que ocurre cuando un dispositivo desea conectarse a otro destino. Se realiza una búsqueda de DNS, o se realizó una búsqueda de DNS y está en caché (para ayudar a acelerar el rendimiento) para convertirla a alguna dirección IP. Yendo a la ilustración anterior de la cadena asesina, una vez que el malware está en el punto final, nuevamente ese endpoint no es solo computadoras, sino también Internet of Things (IoT), amenazas avanzadas como ataques de phishing e intentos de malware para llamar a casa comando sobre DNS.
La protección DNS debe ser la primera línea de defensa de TI corporativa en cualquier red, por ejemplo, oficinas corporativas, sucursales, IoT y usuarios / trabajadores remotos. TI debe tener ópticas en este ángulo para comprender no el rendimiento del DNS para los “buenos” usuarios, sino también para tener conocimiento de usuarios / software maliciosos que podrían estar utilizando el mismo vehículo para infligir algo menos deseable.
Por lo tanto, se puede lograr una postura de defensa segura en profundidad con un enfoque de capas múltiples para la seguridad que combina protección DNS, protección de punto final y una inteligencia de amenazas que se ajusta continuamente a ataques recientemente formados con frecuencia.