Por Jonathan Nguyen-Duy | 06 de diciembre de 2018

Los registros de salud electrónicos (EHR, por sus siglas en inglés) ofrecen muchos beneficios, como centralizar la información de un paciente y simplificar la comunicación. Estos beneficios solo crecerán a medida que continúen los avances técnicos en la atención médica. Por ejemplo, en una sesión de preguntas y respuestas después de su discurso principal de HIMSS, Eric Schmidt de Google habló sobre el papel fundamental que ha desempeñado la adopción de EHR en la centralización de los datos del paciente, lo que hará posible el uso de tecnologías como la inteligencia artificial y el aprendizaje automático en el espacio de la salud. . Hoy en día, más del  95%  de los hospitales utilizan EHR, y el 38% de los directores de información de los hospitales citan la integración de EHR con otros sistemas como una de las principales prioridades.

El truco para los proveedores de atención médica y otras entidades cubiertas por la Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA) es garantizar que, a medida que estos registros se utilizan más ampliamente, se comparten y son interoperables, existen controles de seguridad suficientes para garantizar el cumplimiento y el cumplimiento del paciente. intimidad. Esto es especialmente cierto a medida que surgen nuevas iniciativas para hacer que los datos sean más accesibles para los pacientes.

El  Reglamento General de Protección de Datos (GDPR)es uno de estos El reglamento define los 3 tipos de datos personales relacionados con el cuidado de la salud de los residentes de la Unión Europea que están sujetos al reglamento específico: datos genéticos, datos que se refieren a la salud física o mental y datos biométricos. El GDPR prohíbe la recolección innecesaria de datos personales por parte de las organizaciones de salud y define 4 categorías de sentido común donde se permite la recolección:

• Los datos se han dado con el consentimiento expreso del propietario.
• Los datos son necesarios para el bien de la salud pública.
• El procesamiento es necesario para los fines de la medicina preventiva u ocupacional.
• El procesamiento de los datos es necesario para los “intereses vitales” del paciente y del proveedor.

Habilitando un mayor acceso a los EHRs

Los EHR, al proporcionar una mayor visibilidad del historial médico a los propios pacientes, están demostrando un valor real. Tradicionalmente, los pacientes no han podido acceder a su archivo médico almacenado por su médico. Sin embargo, los programas recientes buscan aumentar la participación del paciente en su atención al permitirles un mayor acceso a su información médica a través de los EHR.

Uno de estos programas es MyHealthEData . Está destinado a dar a los pacientes un mayor acceso a los datos de EHR a través de varios dispositivos o aplicaciones de su elección. Los pacientes podrán recibir copias completas de sus EHR y compartirlas fácilmente con quien quieran. Este programa también hace hincapié en poner énfasis en las mejoras de interoperabilidad.

La  Ley de acceso seguro de los pacientes a los registros de atención médica, se introdujo en un esfuerzo por brindar a los pacientes un mejor acceso a historias clínicas completas a través de centros de información de registros médicos. Estos centros de información tienen registros sobre los planes de tratamiento, diagnósticos y más, mientras procesan las transacciones de miles de proveedores médicos en los Estados Unidos. Esto significa que tienen todos estos datos médicos ya compilados en una sola ubicación. Este proyecto de ley alteraría la forma en que se describen las cámaras de compensación según HIPAA, permitiéndoles divulgar los datos del paciente de acuerdo con las normas de seguridad y privacidad.

Sin embargo, todos los intentos de hacer que la información de salud sea más accesible solo tendrán éxito si los pacientes se sienten realmente seguros al recibir estos registros. Un estudio reciente encontró que el 25% de los pacientes a los que se les ofreció acceso a registros médicos en línea optaron por no recibirlos debido a preocupaciones de seguridad y privacidad. Para alentar la participación del paciente a través de EHR, los proveedores deben asegurarse de que existan controles y estrategias de seguridad que protejan la privacidad del paciente y mantengan el cumplimiento normativo.

Recomendaciones para asegurar EHRs

Los proveedores deben tener especial cuidado para asegurar la información de salud protegida (PHI) a medida que los EHR se pueden compartir para mitigar el riesgo de una violación de datos y la pérdida de la confianza del consumidor. Esto significa asegurarse de que los proveedores sigan las mejores prácticas e incorporen controles efectivos para asegurar los registros en las bases de datos de salud y en tránsito a los pacientes, independientemente de cómo soliciten acceder a ellos, como a través de una aplicación, correo electrónico o cualquier otro medio.

Sin embargo, primero, los proveedores deben determinar la madurez de su programa de seguridad, obtener el compromiso de la organización y una comunicación abierta con proveedores externos.

Realización de una  evaluación de ciberamenazas. destaca posibles brechas en la protección de la red que pueden comprometer los datos. Además, los proveedores deben construir una cultura en torno a la seguridad, educar a los empleados sobre los factores de riesgo y cómo evitarlos, y asegurarse de que siguen el protocolo cuando se trata de compartir información y dar acceso a los registros. Los proveedores también querrán revisar las pautas de HIPAA antes de implementar cualquier herramienta de EHR. Luego, cuando se trabaja con desarrolladores externos de EHR, los proveedores pueden garantizar que el cumplimiento y la seguridad se tengan en cuenta en cada iteración.

A continuación, los proveedores deben utilizar un enfoque en capas para mejorar la seguridad de EHR. Existen muchas herramientas de seguridad que se pueden usar para proteger los EHR y generar confianza entre los usuarios.

• Acceso seguro . Para garantizar que solo las partes necesarias tengan autorización para acceder a los datos privados, los proveedores de atención médica deben implementar un sistema para autenticar a los usuarios. Una solución de administración de acceso a la identidad efectiva incorporará características tales como la autenticación de 2 factores, así como la administración de invitados y de su propio dispositivo.
• Encriptación .El cifrado es crucial para garantizar que la PHI no pueda ser interceptada y leída en tránsito.
• Cortafuegos de segmentación interna .Los proveedores pueden usar cortafuegos de segmentación interna para asegurar que la PHI y los EHR se almacenen en la red. Esto aísla los datos privados detrás de una capa adicional de seguridad para garantizar que cualquier amenaza que atraviese el perímetro no pueda comprometer los datos privados de los pacientes. Esto será cada vez más importante a medida que la interoperabilidad entre dispositivos asuma un papel más importante en la atención médica.
• Seguridad de aplicaciones web .  Los ciberdelincuentes apuntan regularmente a aplicaciones web. La seguridad efectiva de las aplicaciones, como un firewall, asegurará que las aplicaciones vulnerables en los dispositivos móviles de los pacientes no puedan aprovecharse para comprometer los datos de los pacientes al usar una aplicación de EHR.
• Protección de punto final .La protección de punto final proporciona visibilidad de todos los dispositivos conectados que acceden a la red y les permite segmentarse según sus permisos de datos. Además, la seguridad de punto final permite respuestas en tiempo real a malware y ataques controlados por explotaciones.

Un futuro seguro

Los EHR son un gran activo tanto para los proveedores de atención médica como para los pacientes, ya que mejoran la eficiencia y el acceso a información importante de salud. Sin embargo, una mayor accesibilidad requiere una mayor seguridad para que los pacientes confíen más en la tecnología y los proveedores sigan cumpliendo con las múltiples regulaciones. Una estrategia de controles de seguridad en capas satisfará las necesidades de ambas partes. Las recomendaciones anteriores ayudarán a los pacientes y sus cuidadores a avanzar con confianza hacia el futuro de la atención médica.

Por Fortinet | 20 de noviembre de 2018

La transición global a un modelo económico y comercial digital se está acelerando con la rápida adopción de los servicios de redes y colaboración en la nube . Esto, a su vez, está transformando por completo los datos, la inteligencia empresarial, el trabajo en equipo y la productividad. Sin embargo, a medida que la velocidad de los negocios continúa acelerándose, y las redes continúan siendo más distribuidas y ágiles, los ciberdelincuentes están desarrollando nuevas formas de atacar y explotar la superficie de ataque en expansión de hoy en día, lo que asegura el creciente volumen de datos, aplicaciones, flujos de trabajo y dispositivos. Que las organizaciones confían ahora más que nunca.

Como líder mundial en el suministro de soluciones de ciberseguridad amplias, integradas y automatizadas, Fortinet nuevamente participa como Patrocinador de Oro en Microsoft Ignite . El evento de este año se llevará a cabo en el Centro de Convenciones del Condado de Orange del 24 al 28 de septiembre de 2018 en Orlando, Florida. La avanzada estrategia de seguridad de Fortinet, que incluye la cartera más amplia de soluciones de seguridad integradas disponibles para la plataforma Microsoft Azure Cloud Computing , así como las soluciones diseñadas específicamente para Office360, permite a las organizaciones realizar una transición segura de sus negocios para competir de manera efectiva en el mercado digital de hoy.

Estrategia de seguridad única de Fortinet

La estrategia única de soluciones de seguridad de Fortinet se centra en tres conceptos clave:

• Automatización : las operaciones de seguridad optimizadas a través de la profunda integración de Fortinet en Azure con conectores en la nube y scripts de automatización simplifican la implementación de soluciones de seguridad consistentes y potentes en la nube.
• Amplia protección y control : Fortinet ofrece el conjunto más amplio de productos de seguridad de nivel empresarial para Azure, que permite la seguridad de múltiples capas combinada con una administración y una orquestación sin interrupciones de un solo panel.
• Integración nativa : Fortinet Security Fabric permite la implementación y el cumplimiento de políticas de seguridad uniformes y sin problemas en toda la empresa distribuida, desde los puntos finales y los entornos locales hasta la nube de Azure.

Soluciones de Fortinet Showcase: Stand # 312

En el evento Ignite de este año, presentaremos varias estaciones de demostración en el stand # 312 de Fortinet que destacarán algunas de nuestras innovaciones de seguridad más emocionantes para los clientes de Microsoft, incluida la administración y organización sin problemas y la integración con un solo clic a través de nuestra avanzada tecnología de conector de nube. Resaltaremos el poder de la segmentación de la nube, combinado con soluciones de seguridad de alta disponibilidad y sincronizadas con el estado que permiten la visibilidad y el control centralizados desde el núcleo a la nube.

• Las soluciones de seguridad en la nube Azure de Fortinet destacarán el poder de la segmentación de la nube, combinada con soluciones de seguridad sincronizadas con el estado de alta disponibilidad que permiten la visibilidad y el control centralizados desde el núcleo a la nube.
• Nuestra demostración de Advanced Threat Protection destacará la protección automatizada en tiempo real, incluidas las soluciones IPS, antivirus, antimalware y sandbox que se extienden sin problemas a través de la red, la nube, los puntos finales y el correo electrónico.
• La demostración de Fortinet Security Fabric mostrará a las organizaciones cómo pueden proteger efectivamente sus entornos de nube híbrida, incluido el uso de CASB para proteger su distribución distribuida de Office365.
• También presentaremos una barra de expertos de seguridad de red donde los asistentes pueden reunirse 1: 1 con los ingenieros de seguridad de red y de red de Fortinet para hacer sus preguntas más difíciles sobre implementación, integración y tecnologías.

Como de costumbre, también tendremos una sala de reuniones segura para clientes que buscan una sesión más íntima con ejecutivos, ingenieros y gerentes de productos de Fortinet. Esta sala de reuniones estará disponible durante las horas de exposición, así que asegúrese de comunicarse con su Fortinet AM para programar una reunión.

Sesión de Hablar de Fortinet

Lior Cohen, director sénior de productos y soluciones para la seguridad en la nube de Fortinet, también ofrecerá una presentación el 26 de septiembre a las 13:40 en el Expo Theatre # 4, titulado “¿Es la seguridad en la nube un juego Sum-Zero?”

Esta sesión, que se encuentra en su guía de eventos y en la aplicación como Sesión THR2294, analizará cómo las organizaciones pueden romper el paradigma de la seguridad como un inhibidor de negocios al aprovechar la seguridad en la nube para acelerar el negocio.

A medida que la comunidad de delincuentes cibernéticos continúa expandiendo sus capacidades de explotación, la seguridad debe aplicarse de manera consistente en toda la cadena de destrucción. Para seguir el ritmo de este entorno de amenazas que cambia rápidamente, las organizaciones necesitan la capacidad de extender la seguridad a la nube sin sacrificar, visibilidad, funcionalidad o control centralizado.

Las soluciones de seguridad expansivas de Fortinet abarcan todas las redes y los entornos informáticos, incluida la provisión de la cartera más robusta de soluciones disponibles para el entorno de nube de Azure. Esperamos que se tome el tiempo de visitarnos en el evento Ignite de este año para aprender cómo puede establecer y mantener una postura de seguridad efectiva y consistente en toda su red distribuida.

Por Jon Bove | 31 de octubre de 2018

Los ciberdelincuentes, por definición, no juegan según las reglas. No están limitados por líneas de negocios organizadas por diagramas de organigramas, dominios de red cuidadosamente protegidos, soluciones de seguridad de despliegue estrecho o equipos de tecnología compartimentados. Consideran la red de su cliente como una entidad única y aprovecharán cada oportunidad para el movimiento lateral. Eso significa que pueden tener una mejor visibilidad de las operaciones y la arquitectura de la red de una organización que muchas de las personas que realmente trabajan allí. 

Este “efecto silo” es peligroso. También es demasiado frecuente.

A medida que las necesidades de ciberseguridad han evolucionado, las organizaciones han implementado soluciones de seguridad únicas en diferentes áreas de la red  y la infraestructura de la nube  que a menudo requieren una gestión individual. Como resultado, la inteligencia de amenazas está aislada, por lo que la detección de ataques sofisticados requiere el tipo de correlación manual que la mayoría de las organizaciones simplemente no tienen los recursos para soportar. Para los MSP, el mandato es derribar estos muros y proporcionar soluciones de seguridad integradas. 

En cuanto a cómo convencer a los responsables de la toma de decisiones de la línea de negocios, no busque más que el cambio a un modelo de negocio digital. Los datos son la moneda de la economía actual. Recopilarlo, generarlo, extraerlo y encontrar maneras de ponerlo a disposición de empleados y consumidores son medidas de éxito. Pero mientras los flujos de trabajo y los datos ahora se mueven libremente entre un ecosistema de red y el siguiente, la cultura institucional que construye estos sistemas todavía tiene líneas duras entre dominios y líneas de responsabilidad, y protege las zonas de control personal que se han desarrollado durante años o incluso décadas. En tal entorno, establecer protocolos de visibilidad, administración y seguridad consistentes que abarquen la red puede ser casi imposible.

Los actores malintencionados lo saben y lo utilizan en su beneficio. El informe Threat Landscape  del primer trimestre de Fortinet  revela que el número de detecciones de exploits únicos aumentó en más del 11 por ciento, a 6,623. Y, al mismo tiempo, el 73 por ciento de las empresas experimentaron una explotación grave durante el trimestre. Nuestros datos parecen indicar que los ciberdelincuentes están mejorando en la coincidencia de las hazañas con sus objetivos. Puedo dar fe de que las organizaciones con controles institucionalizados y jerarquías rígidas que aíslan al personal y restringen los recursos a equipos con silos de responsabilidad específicos tienden a ser más vulnerables a las sofisticadas estrategias de ataque de hoy. La infraestructura fracturada que resulta de este modelo permite a los atacantes ocultarse en las brechas entre los sistemas de control.

Del mismo modo, los ataques complejos y multivectoriales son difíciles de identificar cuando un equipo tiene acceso solo a un ámbito limitado de funcionalidad. Y el malware que puede imitar el tráfico legítimo es especialmente difícil de detectar cuando el equipo responsable de la seguridad no tiene control sobre los datos o recursos que otro equipo consume o entrega.

Oportunidad

Los socios enfocados en la seguridad  están en una buena posición para ayudar a los clientes a reconsiderar cómo planean mantenerse al frente de la comunidad criminal que quiere robar, secuestrar o rescatar sus datos. Usted es un observador externo imparcial que puede ver cismas que la compañía ni siquiera se da cuenta puede poner en riesgo sus datos.

Una vez que reciba su atención, hay cuatro pasos para comenzar a implementar servicios de seguridad efectivos que ayuden a cerrar la brecha entre los dispositivos de seguridad tradicionalmente aislados. 

• Integración tecnológica

    Debido a que las amenazas de hoy son tan sofisticadas, los clientes necesitan integrar soluciones de seguridad para que puedan trabajar como un sistema unificado para encontrar y responder incluso a los ataques más rápidos y sigilosos. La creación de un marco de seguridad basado en tejido basado  en API abiertas  y un sistema operativo común permite que esas tecnologías de seguridad abarquen la red distribuida como una solución de seguridad única e integrada. Al unir diferentes tecnologías de seguridad utilizando un marco común, puede ayudar a los clientes a compartir y correlacionar efectivamente la inteligencia de amenazas y colaborar para adaptarse y responder a las amenazas, independientemente de qué zona de la red o qué equipo posee y administra el activo al que se dirige.

• Inteligencia unificada

    En una estrategia de seguridad unificada, todas las soluciones deben operar utilizando el mismo conjunto de políticas, protocolos e inteligencia. La adición de un servicio común de inteligencia de amenazas a una estrategia de seguridad basada en la estructura garantiza que las diferentes herramientas de seguridad implementadas en la infraestructura estén en la misma página cuando se trata de buscar y descubrir nuevas amenazas.

• Aplicación consistente de los servicios

    Cuando ofrece un conjunto uniforme de servicios de seguridad que abarca el ecosistema de redes de sus clientes, pueden unir soluciones de seguridad diferentes y dispares aún más. Estos servicios,  como el sandboxing, la prevención de intrusos, la prevención  de brotes de virus o los controles de aplicación, le permiten utilizar un conjunto común de inteligencia y técnicas para identificar, correlacionar y responder mejor a las amenazas de manera coordinada, independientemente de dónde se detecte una amenaza. o donde se encuentran los recursos de seguridad.

• Automatización de procesos

    Los retrasos en la toma de decisiones humanas ya no se pueden tolerar, ya que el tiempo entre una violación y el compromiso de los datos o recursos continúa acortándose. Para enfrentar este desafío creciente, ofrezca motores de toma de decisiones y análisis que saquen a los humanos del circuito. Aprovechar los motores de inteligencia artificial y la automatización para realizar la gran mayoría de las decisiones y el análisis a velocidad y escala no solo reduciría la brecha en el impacto de la amenaza, sino que también permitiría a los humanos reasignar recursos para centrarse en las decisiones realmente difíciles que quedan, donde se encuentran la cognición y la intervención humanas. necesario.

La ciberdelincuencia ha evolucionado más rápido de lo  que la estrategia de seguridad fragmentaria típica puede defender contra ella. El amplio conocimiento del panorama de ataque y la capacidad de responder rápidamente en múltiples niveles son las únicas formas de proporcionar el nivel de seguridad necesario ahora. Al proporcionar dichos servicios, garantizará una aplicación consistente y una eficacia de seguridad, independientemente de cuán complejos puedan ser los entornos de red de sus clientes.

Por Derek Manky | 31 de octubre de 2018

Es hora de volver a emprender otro viaje trimestral por los paisajes salvajes de la amenaza cibernética. A medida que los profesionales de la seguridad trabajan para ponerse en la piel de los piratas informáticos para anticipar mejor de dónde provendrán los ataques, estos actores maliciosos comienzan a pensar más como desarrolladores para evadir la detección.

Y últimamente, son más precisos en su orientación, confiando menos en intentos generales para encontrar víctimas explotables. ¿Cómo pueden los equipos de seguridad de TI seguir el ritmo de los cibercriminales de desarrollo ágil que emplean y señalar las vulnerabilidades recicladas que se están utilizando? El último Informe sobre el paisaje de amenazas globales de Fortinet   arroja luz sobre la actividad criminal actual y sugiere cómo las organizaciones pueden mantenerse un paso adelante.

Agile Attacks
Los autores de malware han confiado durante mucho tiempo en el polimorfismo (la capacidad del malware para cambiar constantemente su propio código a medida que se propaga) para evadir la detección, pero con el tiempo, los sistemas de defensa de la red han hecho mejoras que los hacen más difíciles de eludir. Los autores de malware nunca han echado a perder sus laureles, recientemente han recurrido a un desarrollo ágil para hacer que su malware sea más difícil de detectar y para contrarrestar rápidamente las últimas tácticas de los productos antimalware. Para abordar estos ataques de enjambres polimórficos emergentes se requiere una defensa de colmena, donde todos los componentes de seguridad desplegados puedan verse y comunicarse entre sí, y luego trabajar de manera cooperativa para defender la red.

Los ciberdelincuentes están utilizando no solo el desarrollo ágil sino la automatización para avanzar en sus ataques. El malware está en aumento y está completamente escrito por máquinas basadas en la detección automatizada de vulnerabilidades, análisis de datos complejos y desarrollo automatizado de la mejor explotación posible basada en las características únicas de esa debilidad. Las organizaciones deben contrarrestar con la automatización propia, usar el aprendizaje automático para comprender e incluso predecir los últimos ataques de los actores malos para que puedan mantenerse por delante de estas amenazas avanzadas.

Un buen ejemplo de desarrollo ágil malicioso es la versión 4.0 de  GandCrab .

GandCrab
Los actores detrás de GandCrab son el primer grupo en aceptar la criptomoneda Dash. Parece que utilizan el enfoque de desarrollo ágil para vencer a los competidores para comercializar y resolver problemas y errores cuando surgen. Otro aspecto único de GandCrab es su modelo de ransomware-as-a-service, que se basa en un modelo de participación en los beneficios 60/40 entre los desarrolladores y los delincuentes que desean utilizar sus servicios. Y, por último, GandCrab usa .BIT, un dominio de nivel superior no reconocido por la ICANN, que se sirve a través de la infraestructura de criptomoneda Namecoin y utiliza varios servidores de nombres para ayudar a resolver el DNS y redirigir el tráfico. Las versiones de GandCrab 2.x fueron las más frecuentes durante el segundo trimestre, pero al cierre del trimestre, v3 estaba en libertad, y la serie v4 siguió a principios de julio.

Nos dimos cuenta de que cuando hay un <8hex-chars> .lock en la carpeta de APPDATA COMÚN del sistema, los archivos no se bloquearán. Esto ocurre generalmente después de que el malware determina que la distribución del teclado está en el idioma ruso, junto con otras técnicas para determinar las computadoras en los países de habla rusa. Especulamos que agregar este archivo podría ser una solución temporal. Basados ​​en nuestro análisis, los investigadores de la industria crearon una herramienta que evita que los archivos se cifren con el ransomware. Desafortunadamente, GandCrab 4.1.2 fue lanzado uno o dos días después, lo que hace que el archivo de bloqueo sea inútil.

Vulnerabilidades valiosas Los
ciberdelincuentes se están volviendo más inteligentes y más rápidos en la forma en que aprovechan las explotaciones. Además de usar servicios de red oscura como malware-como-un-servicio, están perfeccionando sus técnicas de focalización para enfocarse en exploits (por ejemplo, exploits severos) que generarán la mayor inversión. La realidad es que ninguna organización puede parchear las vulnerabilidades lo suficientemente rápido. Más bien, deben convertirse en estratégicos y centrarse en los que importan utilizando inteligencia de amenazas.

Para seguir el ritmo de los métodos de desarrollo ágil que utilizan los ciberdelincuentes, las organizaciones necesitan capacidades avanzadas de detección y protección contra amenazas que les ayuden a identificar estas vulnerabilidades actualmente dirigidas. De acuerdo con nuestra investigación, se examinaron las vulnerabilidades de la lente de la prevalencia y el volumen de detecciones relacionadas con la explotación, solo el 5.7% de las vulnerabilidades conocidas se explotaron en la naturaleza. Si la gran mayoría de las vulnerabilidades no se explotarán, las organizaciones deberían considerar adoptar un enfoque mucho más proactivo y estratégico para remediar la vulnerabilidad.

Pintar un nuevo entorno de seguridad
Esto requiere inteligencia avanzada sobre amenazas que se comparte a toda velocidad y escala en todos los elementos de seguridad, y un espacio aislado que proporciona inteligencia en capas e integrada. Este enfoque reduce las ventanas de detección necesarias y proporciona la reparación automática requerida para las explotaciones de multivectores actuales. La Cyber ​​Threat Alliance , un grupo de compañías de seguridad que comparte información avanzada sobre amenazas, fue creada por esta razón.

Si bien muchas organizaciones están trabajando arduamente para recopilar la mayor cantidad de datos posible de una variedad de fuentes, incluida la suya, gran parte del trabajo en el procesamiento, la correlación y la conversión en políticas todavía se realiza de forma manual. Esto hace que sea muy difícil responder rápidamente a una amenaza activa. Idealmente, el procesamiento y la correlación de la inteligencia de amenazas que resulta en una política efectiva debe ser automatizado.

La ciberseguridad efectiva también requiere diligencia en los parches. Con los datos sobre qué vulnerabilidades se están explotando actualmente, los equipos de seguridad de TI pueden ser estratégicos con su tiempo y endurecer, ocultar, aislar o proteger sistemas y dispositivos vulnerables. Si son demasiado viejos para parchear, reemplazarlos.

La segmentación de la red, y la microsegmentación, también es una necesidad. Estos pasos garantizan que cualquier daño causado por una infracción permanezca localizado. Además de esta forma pasiva de segmentación, implemente macrosegmentación para una defensa dinámica y adaptable contra el ataque sin fin de nuevos ataques inteligentes.

Los ciberdelincuentes son implacables, utilizan y adaptan la última tecnología para ejercer su oficio. Los equipos de seguridad de TI pueden vencerlos en su propio juego mediante el uso de la información y las recomendaciones descritas anteriormente.

Por Jonathan Nguyen-Duy | 16 de octubre de 2018

Empresas y agencias gubernamentales de todos los tamaños están experimentando ataques cibernéticos que están creciendo en frecuencia y complejidad. Los ciberdelincuentes, los estados nacionales y muchos otros actores malos están desarrollando nuevas tácticas, herramientas y procedimientos para eludir las soluciones modernas de ciberseguridad. Cada vez vemos más ataques dirigidos que emplean malware personalizado y la disponibilidad de herramientas y servicios del mercado web oscuro que cubren todos los aspectos de la cadena de ciberataques. De hecho, un informe reciente del Panorama de amenazas globales de Fortinet muestra que prácticamente ninguna empresa es inmune, con el 96% de las empresas experimentando al menos una explotación grave.

Para abordar estas nuevas amenazas mientras se mantienen las operaciones, el crecimiento del negocio, la ejecución de la misión y la implementación de la transformación digital, las organizaciones están descubriendo que el éxito requiere un enfoque equilibrado tanto en los requisitos comerciales como de seguridad. Este desarrollo se refleja en los cambiantes roles y responsabilidades del Director de Seguridad de la Información (CISO) . Las agencias del sector público y las empresas privadas ahora están buscando CISO con la experiencia técnica profunda, el liderazgo organizativo y la visión empresarial necesaria para alcanzar los objetivos comerciales.

Una nueva encuesta de empleadores y solicitantes de CISO

Esta tendencia se analiza en un estudio publicado por Fortinet sobre el rol cambiante del CISO. Este es el primero de una serie de informes analíticos sobre ocupaciones de seguridad que examinaron más de mil anuncios de trabajos de ciberseguridad y currículos de organizaciones de todo el mundo que utilizan el procesamiento de lenguaje natural (NLP). Con el análisis realizado por la firma de ciencias de datos Datalere, este informe inicial explora cómo las organizaciones están redefiniendo los roles y las responsabilidades de sus CISOs al expandir los criterios de trabajo para incluir el liderazgo organizacional, la gestión empresarial y otras habilidades tradicionales “blandas”.

Lo que aprendimos es que el papel del CISO está experimentando una desviación dramática del enfoque tradicional y singular de la seguridad de la red. Hoy en día, las organizaciones esperan que sus CISO funcionen en una variedad de iniciativas empresariales mientras supervisan las iniciativas de seguridad, respaldan la transformación digital e impulsan el crecimiento empresarial.

De acuerdo con nuestra investigación, las organizaciones están buscando CISO que posean una combinación de habilidades, experiencia y capacitación, con habilidades suaves que se dividen en cuatro cuadrantes: liderazgo, comunicaciones / interpersonales, analíticas y características personales. Cuando se trata de habilidades difíciles, las organizaciones siguen buscando CISO con experiencia y capacitación sobre los problemas tradicionales de seguridad, privacidad y cumplimiento. En cuanto a las habilidades sociales, las habilidades de liderazgo se enumeran con más del doble de frecuencia que en los otros tres cuadrantes combinados.

A medida que la seguridad se vuelve más integral para el éxito empresarial, a los CISO se les asignan responsabilidades de liderazgo multifuncional para asegurar la alineación de los objetivos comerciales con las estrategias de seguridad y TI, y para administrar el riesgo en lugar de simplemente implementar tecnologías de seguridad táctica. Esta nueva generación de CISO tiene responsabilidades que se extienden más allá de los dominios técnicos tradicionales para servir como pioneros tecnológicos para la transformación digital.

Las brechas entre los empleadores de seguridad cibernética y los solicitantes de empleo CISO

A medida que revisamos las habilidades de habilidades duras y blandas deseadas que las organizaciones CISO identifican como necesarias, notamos un cambio interesante que ilustra cómo están cambiando las responsabilidades de CISO de hoy. Los empleadores ahora están enfatizando las habilidades sociales con un 30 por ciento más de frecuencia que los solicitantes de CISO que incluyen esas habilidades en sus currículos y solicitudes. Este desarrollo sugiere que los solicitantes han sido lentos en reconocer el cambio en las prioridades de contratación de seguridad de nivel C.

¿Por qué está cambiando el rol del director de seguridad de la información?

Las empresas y organizaciones están luchando contra las demandas del mercado digital actual y sus ciudadanos y consumidores conectados. La transformación digital está cambiando la composición de C-suites. Para los CISO, esto significa valorar el logro de los objetivos comerciales y de ingresos de la misma manera que los objetivos de cumplimiento y gestión de riesgos.

Nuestra investigación sugiere que a medida que las empresas buscan contratar la próxima generación de CISO, el rol se está volviendo más expansivo para incluir responsabilidades de liderazgo, gestión y estrategia. Dado el rápido ritmo de la innovación y el cambio impulsados ​​por la transformación digital, los CISO deben tener una gran experiencia técnica combinada con habilidades de gestión transformacional. Tanto los consumidores como los reguladores ven cada vez más la seguridad como una parte integral de la experiencia del cliente, que exige seguridad y privacidad sólidas en toda la empresa. En el futuro, CISO debe ser facilitadores de la innovación y el crecimiento, así como de la seguridad, el cumplimiento y la privacidad.

Estas tendencias emergentes no han pasado desapercibidas por los actores de amenazas que están buscando costuras en las nuevas corrientes de trabajo empresariales para explotar. Una nueva combinación de explotaciones de vulnerabilidades conocidas y ataques personalizados de día cero se enfrentan ahora a estos nuevos CISO. Los CISO de hoy deben poder asegurar de manera efectiva la expansión de las redes contra esta creciente amenaza y al mismo tiempo cumplir con los objetivos comerciales en evolución que definen su nuevo rol.

Dirección de seguridad de red para el moderno CISO

La transformación digital y el ritmo acelerado de la innovación, la complejidad y las amenazas significa que la seguridad debe operar a la nueva velocidad del negocio o volverse irrelevante. Deben ser maestros de tecnología, gestión de riesgos y habilitación empresarial. Para lograr esto, los CISO necesitan una arquitectura de seguridad amplia e integrada que permita la automatización de visibilidad y control profundos a velocidad y escala. Este enfoque basado en el tejido permite la transformación digital a través de una profunda integración de tecnología mejorada con las últimas técnicas de análisis, detección y prevención de amenazas, correlación de eventos y amenazas, y respuesta coordinada, lo que permite a los CISO centrarse en la habilitación de negocios sin atascarse con la administración de la seguridad cibernética reactiva constante Retos del pasado.

Por John Maddison | 10 de septiembre de 2018

Las organizaciones están acelerando la adopción de estrategias de desarrollo ágiles a medida que responden a las demandas de los nuevos requisitos del mercado digital. La necesidad de actualizar y refinar continuamente las aplicaciones de los usuarios finales, el desarrollo de herramientas internas para extraer de manera más efectiva información crítica en entornos Big Data, especialmente aquellos que abarcan múltiples ecosistemas de red, y la rápida adopción de nuevas tecnologías, como IoT o Los dispositivos basados ​​en OT han generado un enfoque más flexible e iterativo para el desarrollo de software y hardware.

Este enfoque presenta un desafío crítico desde una perspectiva de seguridad. Las aplicaciones y otras soluciones que tienen acceso a recursos críticos están en constante cambio, a menudo se actualizan cada 2 o 4 semanas. La velocidad a la que las organizaciones están introduciendo estas actualizaciones, especialmente las que los equipos de ingeniería independientes a veces implementan de forma aislada, aumenta el potencial para la introducción de vulnerabilidades críticas. Desafortunadamente, pocas organizaciones han implementado un proceso paralelo de pruebas y validación para proporcionar un análisis exhaustivo y continuo para detectar y eliminar esas vulnerabilidades.

Este enfoque es especialmente preocupante ya que los equipos de desarrollo agregan cada vez más automatización a estas soluciones. La aplicación continua de actualizaciones en un entorno de producción complejo que, en sí mismo, se somete a una implementación regular y la realineación de recursos debido a la transformación digital hace que las pruebas y la validación sean cada vez más difíciles. Automatizar los procesos críticos además de eso agrega una capa de complejidad que puede ser virtualmente imposible de asegurar.

Irónicamente, una defensa no intencional contra este tipo de vulnerabilidades es la velocidad a la que las organizaciones introducen el cambio. Las ventanas de vulnerabilidad se pueden medir en solo semanas o días. Sin embargo, los cibercriminales están respondiendoa esto agregando automatización a su malware para monitorear constantemente y enfocarse en esas vulnerabilidades. Además de cosas como la detección de evasión, las últimas amenazas también tienen una amplia variedad de vulnerabilidades disponibles que se pueden actualizar automáticamente utilizando comunicaciones bidireccionales entre el ataque y un controlador. A medida que estas herramientas implementen cada vez más la automatización, los controladores tradicionales basados ​​en humanos que actualmente necesitan dirigir cada fase de un ataque manualmente serán reemplazados por sistemas cada vez más inteligentes que pueden recopilar inteligencia en tiempo real de los objetivos y luego proporcionar actualizaciones al malware para explotar vulnerabilidades recientemente descubiertas casi en tiempo real.

Para abordar estos desafíos, los equipos de seguridad también necesitan adoptar un enfoque más ágil que les permita no solo ver y defenderse de los ataques, sino también predecir dónde es más probable que ocurran los ataques. Este tipo de estrategia de seguridad inteligente basada en iteraciones requiere una infraestructura de seguridad defensiva y basada en la prevención que pueda establecer una línea base de comportamiento normal y luego monitorear continuamente ese entorno para detectar e inspeccionar el cambio, independientemente de dónde ocurra. 

Este enfoque no se puede lograr utilizando soluciones de seguridad tradicionales basadas en puntos que funcionan casi en aislamiento. Requiere una estrategia integral integrada que abarque todos los ecosistemas, incluidos los dispositivos de extremo extremo y de IoT altamente móviles, las oficinas remotas conectadas a través de SD-WAN y los entornos de múltiples nubes que comprenden tanto infraestructura como soluciones basadas en servicios. Este enfoque integrado y basado en el tejido es esencial si los equipos de seguridad desean poder rastrear y monitorear las aplicaciones y servicios en evolución a medida que se extienden a través de los usuarios, dispositivos y segmentos de red. Es un requisito esencial para cualquier análisis integral basado en el comportamiento que tenga alguna posibilidad de detectar y responder a las nuevas amenazas que la organización puede estar introduciendo inadvertidamente a través de estrategias modernas de desarrollo e implementación. 

Un tejido de seguridad integrado y automáticamente reactivo es también la base de la próxima generación de soluciones de seguridad basadas en la intención que puede combatir la comunidad de desarrollo de malware cada vez más sofisticada de hoy en día. Los ciberdelincuentes ya han adoptado una estrategia ágil que les permite seleccionar y conectar exploits y herramientas que están siendo desarrollados por diferentes equipos y que están disponibles en el mercado de las redes oscuras. El cibercrimen no solo es un servicio disponible para el atacante menos sofisticado, sino que los delincuentes más avanzados están creando crimeware flexible y adaptable, como VPNFilter u Hide ‘N Seek, que pueden actualizarse automáticamente con nuevos exploits y toolkits a medida que estén disponibles. Y pueden operar de manera mucho más eficiente que sus objetivos ya que no están obligados por la misma necesidad de identificar y cerrar vulnerabilidades

Para lograr esto, los equipos de seguridad deben construir seguridad basada en Identidad alrededor de varios pilares esenciales. Esto comienza con la segmentación dinámica para aislar recursos y detectar malware que se mueve lateralmente a través de una red distribuida. A continuación, el control de acceso avanzado no solo debe vincularse a los usuarios y dispositivos, sino también a las aplicaciones. Y también debe combinarse con un componente basado en confianza que puede revocar el acceso de inmediato cuando ocurren comportamientos inapropiados o inesperados. Por supuesto, esto depende de análisis en tiempo real que no solo pueden ver y monitorear todos los dispositivos y comportamientos a través de la red distribuida, sino que también pueden recopilar y correlacionar esos datos en un único sistema centralizado. Y, por último, requiere la capacidad de imponer acciones coordinadas en tiempo real contra cualquier anomalía. 

Este tipo de respuesta automatizada necesita ir más allá de la capacidad de las soluciones NGFW de hoy para cerrar un puerto o cerrar una corriente de tráfico. En los entornos digitales de hoy en día, tales acciones pueden tener importantes consecuencias no deseadas. En su lugar, las soluciones de seguridad y redes deben ser capaces de coordinar una respuesta que también puede incluir una segmentación dinámica de una parte de la red, aislar y poner en cuarentena dispositivos no autorizados, desviar el tráfico de recursos críticos o críticos e imponer protocolos de supervisión e intervención de forma automática que son conscientes de las implicaciones de cualquier acción que puedan tomar.

Finalmente, un enfoque basado en la tela no puede ser estático. Al igual que el software ágil y la infraestructura que protege, un marco de seguridad integrado debe ser capaz de adaptarse a medida que la infraestructura que está protegiendo evoluciona dinámicamente. A medida que las organizaciones implementan nuevas soluciones basadas en la nube, expanden su entorno distribuido a través de la implementación de la conectividad SD-WAN y comienzan a interconectarse con entornos externos, como las infraestructuras públicas, la seguridad debe poder adaptarse automáticamente. Esto requiere construir una estrategia de seguridad en torno a los estándares abiertos, la interoperabilidad y las soluciones diseñadas para ejecutarse de manera consistente y sin problemas en múltiples ecosistemas de red, ya sean físicos o virtuales, y locales o remotos.

La transformación digital no solo afecta a las redes. El software ágil y el desarrollo de aplicaciones agregan una capa de abstracción y complejidad que las herramientas de seguridad modernas simplemente no pueden asegurar, y que los ciberdelincuentes han demostrado estar más que dispuestos y en condiciones de explotar. Requiere un replanteamiento radical de cómo y dónde se implementa la seguridad, incluida la integración profunda y la adaptabilidad y respuesta automatizadas, junto con una conciencia de las implicaciones de cualquier acción de seguridad para que la protección no interrumpa la inmediatez que requiere el mercado digital de hoy en día.

Por Matt Pley | 29 de agosto de 2018

Las organizaciones se están moviendo a las infraestructuras de nube pública para hacer negocios más rápido con más clientes. Con el aumento en el tráfico, sin embargo, surge la necesidad de una mayor capacidad de inspección que podría desacelerar las cosas en nombre de la seguridad de los datos. Dado que el rendimiento es un requisito básico para competir en el mercado digital, la seguridad no puede ser un cuello de botella.

Pero, ¿cómo se puede escalar el rendimiento de seguridad para cumplir con las crecientes demandas de rendimiento de los entornos de nube actuales? Puede pensar que su solución de seguridad no tiene importancia cuando se ejecuta en infraestructuras idénticas basadas en la nube, pero lo hace. Esto es lo que debe tener en cuenta para maximizar el rendimiento en la nube mientras mantiene sus datos seguros.

Hay dos opciones para abordar el problema de cumplir con el rendimiento elástico: ampliar y ampliar.

Escalar

“Escalar” se refiere a aumentar el rendimiento ajustando el número de instancias separadas de una solución. El escalado permite a los usuarios de la nube implementar automáticamente más capacidad de firewall a medida que cambian las cargas de tráfico. Las cargas de tráfico pueden cambiar drásticamente y la infraestructura de la nube se puede adaptar dinámicamente, por lo que los entornos en la nube son ideales. Algunas organizaciones que realizan muchas actividades estacionales o impulsadas por eventos incluso temporalmente colocan sus aplicaciones y servicios en un entorno de nube para cumplir con picos de demanda inusualmente altos y temporales, y luego los devuelven a sus servidores habituales más adelante. La seguridad debe ser capaz de escalar sin problemas junto con estos cambios.

La capacidad de ampliación no solo se trata de rendimiento, sino también del precio del rendimiento. Es fundamental que compare el rendimiento de las soluciones antes de construirlas en su infraestructura en la nube. La implementación de soluciones de mayor rendimiento significa que no tiene que comprar instancias adicionales de firewall en el mercado tan a menudo como lo haría con una solución más lenta.

Esto es crítico para administrar los gastos al mismo tiempo que cumple con los requisitos de capacidad, especialmente cuando se trata de tráfico altamente variable.

Ampliar

“Ampliación” se refiere a aumentar el rendimiento ajustando el tamaño de una sola instancia del hardware virtual. Una de las consideraciones más importantes para determinar qué tan grande es la máquina virtual que necesita para ejecutar de manera efectiva su solución de seguridad es el rendimiento por núcleo. Si necesita una VM de CPU grande y multinúcleo, ¿cuánto rendimiento obtiene realmente por cada núcleo que está pagando?

Examinar detenidamente la ampliación de la capacidad es un ejemplo perfecto de cómo las cosas pueden parecer iguales en la superficie, es decir, todos los proveedores pueden ejecutar sus soluciones en la misma máquina virtual, pero realmente pueden ser bastante diferentes en su aplicación práctica. La verdad es que las arquitecturas utilizadas por diferentes proveedores pueden variar ampliamente. Un ejemplo de esto es que muchos proveedores dedican un núcleo completo para administración, lo que significa que cuando compra un sistema de dos núcleos para ejecutar su servicio, solo la mitad de esos recursos están disponibles para procesar tráfico y datos. Este es realmente un problema arquitectónico. Otro ejemplo similar es cuando un proveedor fija una sola sesión (IKE SA) en un solo núcleo en lugar de poder distribuir el tráfico IPSec entre múltiples núcleos. Este enfoque de diseño arquitectónico también produce rendimientos decrecientes para cada núcleo adicional más allá de uno.

No todas las soluciones de seguridad en la nube son iguales

Al seleccionar un proveedor de seguridad para su entorno de nube o multi-nube, la parte difícil es asegurarse de que está comparando manzanas con manzanas. Además de una solución que puede funcionar sin problemas en diferentes entornos de nube, también debe ser capaz de evaluar el rendimiento real. Afortunadamente, los CSP (proveedores de servicios en la nube) tienen programas de evaluación en los que cualquier persona puede ejecutar pruebas de rendimiento contra cualquier entorno que pueda crear en sus nubes públicas. Tener esta base como guía le ahorrará tiempo y dinero.

Es fácil suponer que no hay ventaja de rendimiento entre los proveedores cuando se mueve a la nube, ya que todo se ejecuta en el mismo hardware. Pero el rendimiento es el resultado de mucho más que el hardware en el que se ejecuta una red. El rendimiento también depende de una serie de técnicas de ingeniería eficaces centradas en la optimización, la paralelización y la descarga de hardware.

Optimización: optimización completa de pila, no solo optimización de hardware. Algunos han argumentado que los proveedores de hardware pierden su ventaja de rendimiento en un entorno de nube. Pero la verdad es que los ingenieros tienen que optimizar drásticamente el software para lograr el rendimiento necesario en un chip. Ese tipo de optimización en la pila es algo que muchos proveedores de software nunca hacen. Sin embargo, el software optimizado puede diferenciar significativamente a un proveedor de otro en la nube porque puede afectar directamente el rendimiento.

Paralelisación:  los sistemas operativos de seguridad cargados en un entorno de nube deben poder aprovechar toda una gama de recursos, incluidas las máquinas virtuales multinúcleo, para lograr el rendimiento necesario. Para maximizar el rendimiento potencial, los ingenieros utilizan una técnica conocida como paralelización. Básicamente, toda informática prefiere una arquitectura paralela construida alrededor de factores de dos (2, 4, 8, 16, 32). Esto permite la máxima eficiencia, y es una razón importante por la que un proveedor puede lograr un mayor rendimiento que otro en el mismo entorno de nube.

Sin embargo, debido a las limitaciones arquitectónicas del software, muchos proveedores deben dedicar 1 de cada 4 núcleos disponibles para controlar la administración del avión. Lo que significa que en una solución de 8 núcleos, sus datos solo se procesan en seis núcleos. Esto rompe el modelo de paralelismo y puede tener un impacto serio en la eficiencia y el rendimiento.

Este tipo de limitación arquitectónica también significa simplemente que hay menos núcleos disponibles para inspección y procesamiento. Si necesita (y paga) una solución de VM de 8 núcleos para su solución de firewall en la nube, pero solo tiene seis núcleos disponibles para la inspección de datos, ha afectado seriamente su capacidad para distribuir y procesar esos datos de manera eficiente. Por eso debe asegurarse de que su solución pueda paralelizar el rendimiento en todas las CPU o recursos disponibles.

Descarga de hardware: no todo el procesamiento puede ser manejado por las máquinas virtuales a las que están asignados. Para flujos de datos de gran ancho de banda, la virtualización de E / S de raíz única (SR-IOV) proporciona una red acelerada. SR-IOV pasa por alto el manejo del paquete kernel del hipervisor, la interfaz para-virtual (legacy) y utiliza la interfaz de función virtual (VF), asignando así la vNIC de la máquina virtual invitada directamente a la NIC física. Mientras esta opción esté disponible para todos los proveedores, la capacidad de aprovechar esta función, especialmente cuando se combina con la optimización y las eficiencias de paralelización, puede tener un impacto significativo en el rendimiento y la función de la solución de un proveedor en particular.

El rendimiento es una consideración fundamental al seleccionar cualquier solución de seguridad basada en la nube. La elección de soluciones de seguridad escalables y de alto rendimiento permite a las organizaciones cumplir con las crecientes demandas de rendimiento de los entornos de nube actuales. Además, las soluciones de mayor rendimiento también son más rentables. Pero no todas  las  soluciones de seguridad en la nube están construidas de la misma manera. Un análisis cuidadoso le permitirá seleccionar la solución que mejor se adapte al desempeño y los requisitos presupuestarios de su organización.

Por FortiGuard SE Team | 21 de agosto de 2018

De las 103.786 vulnerabilidades publicadas en la Lista CVE desde su inicio, 5.898 (5.7%) fueron explotadas en la naturaleza, de acuerdo con una investigación de nuestro recientemente publicado Threat Landscape Report . Con más de 100.000 exploits conocidos, la mayoría de las organizaciones no pueden parchear vulnerabilidades lo suficientemente rápido como para mantenerse al día. Esto indica que los ciberdelincuentes no solo están desarrollando nuevas tecnologías y estrategias para explotar a las víctimas potenciales, sino que también se están volviendo más selectivos en la forma en que aprovechan esos exploits, centrándose en aquellos que generarán la mayor ganancia por dinero.

Dicha información puede ser extremadamente valiosa cuando se trata de priorizar las vulnerabilidades de parchado. Si los delincuentes no están explotando la gran mayoría de las vulnerabilidades, entonces arreglar todo, más allá de ser imposible, no es el enfoque correcto. En cambio, es esencial incorporar el conocimiento de lo que están explotando a través de los servicios de inteligencia de amenaza como los proporcionados por FortiGuard Labs en el proceso de toma de decisiones. Luego, las organizaciones pueden combinar dicha inteligencia de amenazas con Security Rating Services que brindan información en tiempo real sobre la preparación de seguridad en todos los elementos de seguridad para adoptar un enfoque mucho más proactivo y estratégico para la corrección de vulnerabilidades.

Esta conclusión es solo uno de los aspectos más destacados del último Informe sobre el paisaje de amenazas de Fortinet . El equipo de FortiGuard Labs procesa más de 65 billones de eventos de seguridad por año utilizando técnicas avanzadas y tecnologías patentadas, incluido uno de los sistemas de autoaprendizaje más avanzados del mundo, para extraer inteligencia de amenazas oportuna y relevante, buscar vías de ataque y descubrir amenazas emergentes . A continuación, Fortinet recopila y publica los resultados trimestrales, destacando los puntos clave para organizaciones de todos los tamaños e industrias.

Otros puntos destacados del informe de este trimestre incluyen:

Prácticamente ninguna empresa es inmune a las vulnerabilidades graves : casi ninguna empresa es inmune a las tendencias de ataque en evolución de los ciberdelincuentes. FortiGuard Labs detectó que el 96% de las empresas experimentaron al menos un exploit grave. Además, casi una cuarta parte de las empresas vieron software malicioso cryptomining, y solo seis variantes de malware se extendieron a más del 10% de todas las organizaciones. FortiGuard Labs también encontró 30 nuevos ataques de día cero durante el trimestre.

Cryptomining se traslada a dispositivos IoT en el hogar : los ciberdelincuentes agregaron dispositivos IoT a su arsenal de herramientas utilizadas para extraer criptomonedas, incluidos los dispositivos multimedia domésticos. Son un objetivo especialmente atractivo debido a su rica fuente de potencia de cálculo, que puede utilizarse con fines maliciosos. Otro factor crítico es el hecho de que estos dispositivos tienden a estar siempre conectados y conectados, lo que permite a los atacantes cargarlos con malware que está continuamente involucrado en la criptomoneda.

Las tendencias de Botnet demuestran la creatividad cibercriminal : los ciberdelincuentes están maximizando el impacto de las botnets al cargarlas con múltiples acciones maliciosas. WICKED , una nueva variante de botnet de Mirai, agregó al menos tres exploits a su conjunto de herramientas para apuntar mejor a los dispositivos de IoT no parcheados. VPNFilter , el ataque avanzado patrocinado por el estado nacional que se dirige a los entornos SCADA / ICS, surgió como una amenaza significativa porque no solo realiza la filtración de datos sino que también puede hacer que los dispositivos sean completamente inoperables, individual o simultáneamente como grupo. Y la variante Anubis de la familia Bankbot presentó varias innovaciones, que incluyen ransomware, keylogger, funciones RAT, interceptación de SMS, pantalla de bloqueo y reenvío de llamadas.

Los desarrolladores de malware aprovechan el desarrollo ágil : las recientes tendencias de ataque muestran que los autores de malware recurren a prácticas de desarrollo ágiles para hacer que su malware sea aún más difícil de detectar, así como para contrarrestar las últimas tácticas de productos antimalware. GandCrab ha tenido muchos lanzamientos nuevos este año, y sus desarrolladores continúan actualizando este malware a un ritmo rápido. Junto con la automatización, el desarrollo ágil ayuda a los autores de malware a lanzar nuevos ataques altamente evasivos, requiriendo que las organizaciones adopten capacidades de protección y detección de amenazas cada vez más avanzadas para ayudarlos a identificar estos exploits.

Sectores de educación y gobierno usan SaaS : de todos los sectores analizados, el gobierno lidera el paquete en cuanto al uso de aplicaciones SaaS (108% más que la media) y ocupa el segundo lugar en educación en el número total de aplicaciones utilizadas diariamente (22,5% y 69% más alto que la media, respectivamente.) Una diversidad más amplia de aplicaciones, así como un número posiblemente mayor de aplicaciones SaaS desplegadas como parte de Shadow IT, son las causas probables de estos resultados. Dichas organizaciones requieren un enfoque de seguridad que descompone los silos entre cada aplicación, especialmente en entornos de múltiples nubes, para permitir la transparencia transparente y la aplicación de controles de seguridad consistentes en toda la red distribuida.

Los ataques contra dispositivos SCADA no son los más comunes, pero podrían ser los más críticos : las redes de TI y OT están convergiendo. Si su organización utiliza SCADA u otras soluciones de ICS, especialmente si están expuestas a redes internas o externas, el primer paso es evaluar los riesgos comerciales y operativos a fondo. Las estrategias resultantes deberían incluir la definición de zonas, conductos, límites y niveles de seguridad para limitar y asegurar las comunicaciones entre entornos OT y non-OT.

Hacer frente a estos desafíos requiere que las organizaciones confíen en capacidades avanzadas de detección y prevención de amenazas, tales como sandboxing y machine learning para descubrir exploits desconocidos hasta el momento. Este enfoque es aún más crítico a medida que los desarrolladores de malware adoptan las mejores prácticas de desarrollo ágiles para hacer pivotar rápida y fácilmente los recursos para abordar nuevas vulnerabilidades o frustrar los nuevos parches de seguridad. Finalmente, un enfoque de seguridad totalmente integrado que abarque la superficie de ataque, así como también entre cada elemento de seguridad, como un único tejido holístico no es negociable. Tal enfoque permite que la inteligencia de amenaza se comparta en tiempo real virtual para detener exploits polimórficos y multi-vector reduciendo las ventanas de detección, prevención y remediación.

Otros enfoques incluyen:

Use Threat Intelligence como su Tablero de navegación : Ante las tendencias de amenazas identificadas en este último Informe de amenazas, un elemento vital de cualquier estrategia exitosa es la inteligencia de amenazas. Como es prácticamente imposible corregir cada vulnerabilidad y mantenerse al día con cada ataque, los equipos de seguridad necesitan un panel de navegación que les ayude a priorizar su enfoque en aquellos elementos que marcarán la diferencia más significativa con respecto a la mitigación de amenazas. El Security Rating Service integrado en Fortinet Security Fabric es una gran herramienta complementaria que las organizaciones pueden aprovechar en concierto con esta información de inteligencia de amenazas.

Desbloquee la prevención y detección de amenazas avanzadas : con el rápido crecimiento de exploits severos combinados con atacantes que aprovechan cada vez más el desarrollo ágil para crear amenazas nuevas y desconocidas rápidamente, las organizaciones deben adoptar capacidades avanzadas de prevención y detección de amenazas. Estos incluyen tecnologías y estrategias de aprendizaje automático e inteligencia artificial que los equipos de TI pueden integrar en toda la arquitectura de seguridad. Este enfoque permite a los equipos de seguridad automatizar los procesos para reducir la ventana de detección, prevención y corrección.

Extienda la segmentación a la red doméstica : se ha escrito mucho sobre la importancia de la segmentación en la red corporativa. A medida que más trabajadores optan por horarios de trabajo flexibles y ubicaciones, trabajan cada vez más, al menos una parte del tiempo, desde sus oficinas en el hogar. Debido al creciente número de nuevos vectores de ataque que se dirigen a dispositivos IoT en el hogar, las organizaciones de seguridad deben extender su estrategia de segmentación de la red corporativa a las redes domésticas de los empleados.

Los riesgos de seguridad continúan creciendo, y comprender los riesgos que enfrenta y las tácticas que usan sus enemigos cibernéticos es fundamental para desarrollar e implementar una estrategia de seguridad efectiva y adaptable. El Informe de Amenazas de Fortinet para el segundo trimestre de 2018 es un recurso valioso para cualquier organización que busque mantenerse a la vanguardia de los últimos desafíos de amenazas de la actualidad.

El sector de la salud ha sido visto durante mucho tiempo como un objetivo lucrativo para los ciberdelincuentes. A medida que el panorama actual de amenazas continúa evolucionando, los ciberdelincuentes están aprovechando las capacidades nuevas y viejas para explotar las vulnerabilidades de la red de la manera más eficiente posible. Para mantener una postura de seguridad efectiva en este complejo ecosistema cibernético, los equipos de ciberseguridad de salud deben estar al tanto de las amenazas actuales más prevalentes dentro del sector de la salud, así como las medidas de seguridad y las capacidades necesarias para abordarlas adecuadamente.

Dada la gran cantidad de valiosa información de salud protegida (PHI), personal y de propiedad de las organizaciones e instalaciones de salud, tiene sentido que el sector representara más de la mitad de todos los ataques cibernéticos en 2017. Hoy en día, los ciberdelincuentes están buscando atención médica el sector como una forma fácil de aprovechar los datos, extorsionar a las redes para pedir rescate, lixiviar los elementos de la red para obtener ganancias financieras, y más.

Tal como lo revela nuestro último informe Global Threat Landscape Report para la Q1 , los ciberdelincuentes están adoptando una variedad de capacidades que abarcan toda la cadena de asesinatos, desde el reconocimiento y la militarización hasta el comando y el control posteriores al ataque. Si estas amenazas explotan con éxito las vulnerabilidades de la red, las consecuencias pueden ser graves.

Amenazas de ciberseguridad que enfrenta el sector de la salud

El aumento actual de las capacidades de ciberataque está impulsando al sector sanitario a superar los $ 65 mil millones en seguridad de TI en los próximos cinco años. Sin embargo, no debería sorprender que a medida que el gasto en seguridad cibernética siga aumentando, los esfuerzos de los ciberdelincuentes para adaptarse y encontrar nuevas formas de aprovechar las vulnerabilidades crezcan en conjunto. Recientemente, hemos notado una variedad de amenazas que deberían estar en el radar del personal de TI de atención médica:

Variantes de malware sin archivos:

A diferencia de los ataques de malware tradicional que requieren que los ciberdelincuentes instalen un ejecutable malicioso en el disco para infectar una máquina, el malware sin archivos permite que un cibercriminal aproveche herramientas que ya están en muchos equipos como PowerShell y WMI para infectar directamente en la memoria. Además de mantener la persistencia, estos scripts se pueden instalar en la configuración de registro de ejecución automática, lo que garantiza que el malware se cargue cada vez que se reinicie la máquina infectada. El uso de estas técnicas hace que sea cada vez más difícil de detectar.

Cryptomining Malware: Cryptomining Malware, también conocido como cryptojacking, se enfoca en inyectar maliciosamente exploits en los buscadores de computadoras o distribuir malware entre servidores y dispositivos IoT con el objetivo de filtrar los recursos de la CPU. Los ciberdelincuentes luego usan estos recursos para extraer criptomonedas para obtener ganancias financieras. Estos ataques pueden causar fallas en el sistema, poca eficiencia de la red y una fuerte caída en la velocidad de la máquina para aquellos dentro de la red infectada.

El malware Cryptomining también está mostrando un aumento en la capacidad de propagación tipo gusano, aprovechando las hazañas de EternalBlue que llegaron a los titulares para su uso en los ataques de ransomware WannaCry a gran escala . Conocida como WannaMine, esta forma única de malware cryptomining tiene la capacidad de moverse lateralmente a través de una red, identificando y explotando vulnerabilidades y sistemas heredados que no han sido adecuadamente parcheados.

Hazañas persistentes: el panorama actual de las amenazas también indica que los ataques cibernéticos son cada vez más persistentes, y continúan actuando dentro de una red infectada después de reiniciar el sistema. Los ciberdelincuentes ahora están aprovechando los ASEP, Reemplazo de servicios, Tareas programadas y ataques de orden de búsqueda de DLL para seguir siendo funcionales, por lo que es necesario limpiar adecuadamente una red después de un ataque identificado.

Ataques de diseño: a diferencia de muchas formas de ciberataques donde los ciberdelincuentes incorporan un enfoque de “rociar y orar”, generalmente relacionado con una gran campaña de phishing con la esperanza de encontrar un usuario que haga clic en un enlace o archivo adjunto, los ataques de diseñador son altamente sofisticados y se dirigen a la red específica seguridad y vulnerabilidades de una organización. Los ciberdelincuentes ahora investigan exhaustivamente sus objetivos, aprovechando el escaneo de vulnerabilidades externo y los métodos de detección automatizados para identificar información empresarial básica, datos de alto valor y áreas donde se pueden obtener valiosas credenciales de red.

Como se demostró en las variantes de malware SamSam y Orangeworm , estos ataques de “manos en el teclado” se llevan a cabo metódicamente. Esta variante de malware, particularmente eficaz en la explotación de sistemas heredados prevalecientes en el sector sanitario, tiene la capacidad de eludir la detección basada en hash y propagarse rápidamente dentro de una red infectada.  

Medición y priorización de las defensas para mitigar las amenazas cibernéticas

Para que la industria de la salud pueda protegerse eficazmente de las ciberamenazas en evolución y mitigar el impacto de los ataques exitosos, es importante practicar una conciencia cibernética efectiva. Para organizar mejor los esfuerzos para una conciencia cibernética efectiva, es importante considerar los siguientes pilares organizacionales:

·       Metas de la misión empresarial: identificar los procesos comerciales críticos, y cuál de ellos ayuda a alcanzar los objetivos comerciales, lo ayuda a comprender qué es importante para el funcionamiento diario de la empresa. Desde allí, puede priorizar sus esfuerzos de seguridad para mitigar efectivamente la posibilidad de que un ataque cibernético pueda afectarlos.

·       Activos cibernéticos: dado el alcance de las redes dentro de una organización de atención médica, y la gran cantidad de activos dentro de la red, es importante tener la capacidad de comprender efectivamente qué activos están dentro de su red en un momento dado. Al aprovechar los controles de inventario y la inteligencia artificial , los profesionales de TI pueden identificar todos los activos y todas las vulnerabilidades relacionadas, especialmente los activos críticos para facilitar los objetivos comerciales.

·       Infraestructura de red: después de identificar todos los activos cibernéticos clave necesarios para facilitar e impulsar los objetivos comerciales, es fundamental que los profesionales de TI identifiquen cómo esos activos están conectados dentro y a través de la infraestructura de red distribuida. Esto proporciona una visión crítica de las avenidas de ataque que los ciberdelincuentes pueden utilizar para atravesar y explotar las vulnerabilidades que puedan existir dentro de la red.

·       Amenazas cibernéticas: por último, es importante comprender las amenazas cibernéticas a las que el entorno de red es más vulnerable. El personal de TI también debería centrarse en comprender a los actores amenazados que estarían motivados para robar datos dentro de la red, y los tipos de métodos y herramientas que generalmente utilizan para lograr sus objetivos. Esto proporciona una visión crítica no solo de las áreas de red y las entradas más atractivas para los ciberdelincuentes, sino que también proporciona una descripción general de alto nivel del alcance de la postura de seguridad de una organización frente a estas amenazas específicas.

Una vez establecidos los cimientos de la conciencia cibernética, es importante medir activamente su postura de seguridad existente con pruebas defensivas. Esto incluye evaluaciones de seguridad que garantizan que los controles se implementen correctamente, pruebas de penetración que examinan el alcance, las herramientas y las técnicas de amenazas cibernéticas actuales, y la búsqueda de amenazas para determinar si las amenazas están presentes activamente dentro de una red.

Desafortunadamente, muchas estrategias de prueba defensivas están limitadas a estrategias y procedimientos conocidos de amenazas cibernéticas, y como resultado, a menudo no representan ataques del mundo real. Esto se debe a que las partes que realizan pruebas de pluma, por ejemplo, tienden a usar las herramientas y técnicas con las que se sienten cómodos, lo que significa que no pueden medir las capacidades actuales de ataque y las amenazas contra el sistema de salud que se analiza.

Para ayudar a llenar este vacío, la organización sin ánimo de lucro Mitre Corporation lanzó un recurso ATT & CK Matrix que recopila las técnicas reales utilizadas por los ciberdelincuentes en un solo lugar. Esta información permite a las organizaciones verificar sus controles contra escenarios de ataque documentados, ayudando a proporcionar información real sobre la postura de seguridad de las organizaciones e instalaciones de salud.