En la última década, la tecnología que admite entornos de e-learning en entornos de educación superior ha evolucionado rápidamente. Esto ha permitido una serie de beneficios para la educación, como una enseñanza más eficiente y el intercambio de información, lecciones personalizadas para que los estudiantes progresen a su propio ritmo y un gran ahorro de costos. Para llevar las tecnologías basadas en la nube a la educación superior, los estudiantes acceden a estas herramientas desde sus computadoras portátiles o dispositivos móviles.

Mientras tanto, las oficinas administrativas han experimentado un rápido crecimiento de las tecnologías de soporte basadas en la nube, como la inscripción, el reclutamiento y los sistemas de administración financiera. Las aplicaciones de Software-as-a-Service (SaaS) se utilizan principalmente para la colaboración, la entrega de contenido, la comunicación y el acceso a materiales de aprendizaje. Las ventajas económicas, la velocidad, la agilidad, la flexibilidad y la elasticidad son las principales razones por las que la educación superior  adopta cada vez más SaaS .

Los colegios y universidades están recurriendo a las nubes públicas para obtener flexibilidad y ahorrar costos. Los administradores de TI de mayor nivel necesitan almacenar y compartir grandes cantidades de datos. A medida que las tecnologías de análisis y Big Data facilitan análisis cada vez más complejos, el volumen de información de estudiantes y de investigación en educación superior continúa disparándose. Los gerentes de TI eligen cada vez más aumentar los centros de datos locales con almacenamiento en la nube pública altamente escalable. Estas soluciones ofrecen una implementación más rápida y son más eficientes y rentables.

Desafíos de seguridad de los entornos de múltiples nubes

Hemos discutido las ventajas de utilizar las tecnologías SaaS e IaaS, pero la seguridad sigue siendo un desafío significativo. Agregar aplicaciones y entornos en la nube a su red expande la superficie de ataque e introduce brechas en la seguridad. Con la  mediana de aplicaciones SaaS en educación en 59 y las aplicaciones IaaS en 40 , hay muchos vectores de ataque para realizar un seguimiento.

Los principales desafíos de seguridad que enfrentan las instituciones educativas que ejecutan nubes múltiples incluyen:

• Poca visibilidad : cada proveedor de la nube aborda la seguridad de una manera diferente, lo que hace que la política coherente y la visibilidad significativa sean muy difíciles.
• Sin integración o coordinación : las medidas de seguridad a menudo son fragmentarias y aisladas.
• Seguridad reactiva : en esta era de amenazas de día cero y ventanas de intrusión a la brecha cada vez más reducidas, las escuelas no pueden permitirse ser reactiva en su enfoque de seguridad.

Los equipos de TI que carecen de integración de productos de seguridad tendrán dificultades para entender si protegen adecuadamente a los estudiantes y los datos. Además, la recopilación de información de diferentes sistemas para crear un informe de cumplimiento general consume mucho tiempo.

Cómo mantener la seguridad de su universidad

Con aplicaciones y datos distribuidos en varias nubes, ¿cómo puede mantener segura a su escuela? Aquí hay cinco mejores prácticas.

1. Controle el acceso a la red.  Debido al gran volumen de usuarios que entran y salen de la red de una escuela, es crucial identificar quién tiene acceso y a qué recursos. Para una ciberseguridad efectiva, use soluciones que puedan identificar fácilmente a los usuarios y luego asignar dinámicamente el acceso a los segmentos de la red en consecuencia.

2. Centralice su control. Es probable que tenga muchas soluciones puntuales para abordar múltiples vectores de ataque. Sin embargo, debido a que cada una de estas soluciones puntuales proporciona una inteligencia diferente y grados variables de visibilidad de los datos, depender de la información de cada una de estas herramientas en silos puede ser oneroso para los recursos.

Sus equipos de TI se beneficiarían de una visibilidad centralizada de un solo panel de vidrio en el movimiento de datos a través de la red para administrar de manera efectiva los controles de seguridad de la red. Esto también ofrecería una vista simplificada de las alertas de seguridad en diferentes dispositivos de seguridad. Esto es integral, ya que los equipos de TI generalmente no tienen el personal necesario para correlacionar de forma cruzada estos datos y monitorear cada solución ellos mismos.

3. Consolida tus puntos finales. Con más aplicaciones, tecnologías y dispositivos de IoT que se agregan a la red, cada punto final independiente se convierte en una entrada potencial a la red. Cuando consolida estas entradas potenciales uniéndolas a través de un único marco de seguridad de red integrado, reduce drásticamente su superficie de ataque potencial y simplifica sus esfuerzos de ciberseguridad mientras los coordina de manera más eficiente en toda la red.

4. Obtenga inteligencia de amenazas. Los ciberataques se pueden diseminar a través de una multitud de vectores de ataque como correos electrónicos, aplicaciones web o enlaces y archivos adjuntos maliciosos. Ransomware es una gran amenaza en el ámbito de la educación, pero las universidades también son regularmente atacadas con ataques de phishing y ataques DDoS que usan botnets para lograr sus medios. Las escuelas también son blanco de vulnerabilidades de día cero, o fallas en su hardware y software, que son difíciles de detectar hasta que es demasiado tarde y se ha producido una infracción. Para mitigar cada uno de estos tipos de ataques, implemente inteligencia de amenazas tanto global como local para actualizar su infraestructura de seguridad.

5. Elige la automatización. La tecnología correcta es crítica, pero también lo son las personas que la supervisan. Además de la infraestructura de TI y las soluciones de seguridad, contrate equipos de TI que puedan implementar cada pieza de tecnología y garantizar que funcione de manera efectiva. Construir esta infraestructura y equipo con un presupuesto limitado es un desafío, especialmente teniendo en cuenta la brecha de habilidades de ciberseguridad que enfrentan los empleadores. Como resultado, los equipos de TI con recursos limitados a menudo ponen énfasis en la funcionalidad al tiempo que descuidan la seguridad. En el panorama actual de amenazas, la seguridad no puede ser una ocurrencia tardía.

Debido a que los recursos de TI son limitados, despliegue una infraestructura de seguridad integrada y automatizada que permita una respuesta rápida a cada incidente, sin tener que esperar a que los datos sean recopilados y atendidos por un miembro del equipo ocupado. Además, estas capacidades resultan en una disminución de los costos de ciberseguridad, ya que las soluciones integradas son más rentables que las soluciones puntuales dispares o emplean un equipo de TI lo suficientemente grande para administrar la red de forma manual.

Cuando está bien estructurada, la seguridad de la red permite la transformación digital y el aprendizaje electrónico, permitiendo que su institución obtenga los beneficios de las nuevas tecnologías.

La tecnología inalámbrica se ha integrado tanto en nuestra vida personal y profesional, que no podemos imaginar la vida sin ella. Las empresas dependen en gran medida de él para realizar sus operaciones, los proveedores de redes móviles lo usan para transferir voz y datos a grandes distancias, y le proporciona al usuario promedio acceso a Internet en todo momento mientras viaja.

Sin embargo, si bien todos damos por sentado el acceso inalámbrico , ¿somos conscientes de los riesgos de seguridad cuando lo usamos?

En este blog, hablamos con John Battam, que es el Ingeniero de sistemas de consultoría en Fortinet Australia y se centra en el negocio inalámbrico de Fortinet en la región de Asia y el Pacífico. John se especializa en la entrega de soluciones inalámbricas , y cómo la demanda de infraestructuras inalámbricas continúa, su papel es desarrollar nuevos enfoques para garantizar que pueda cumplir con las demandas del mañana.

¿Cómo ha crecido y evolucionado Wireless a lo largo de los años?

Desde una perspectiva de red inalámbrica, 802.11 (Wi-Fi) ha crecido desde una tecnología a la que los líderes de la industria se burlaron a finales de los años noventa como algo que nunca despegará. Sin embargo, hoy en día es el método de conectividad principal para casi todos los dispositivos que se conectan al límite de todas las redes modernas de hogares, mercados medianos y empresas. Ha sido una evolución increíble, ya que ha creado el mundo sin cables que disfrutamos hoy.

¿Por qué generalmente se ha pasado por alto la seguridad digital de la conexión inalámbrica?

En general, los estándares inalámbricos no representan un alto nivel de seguridad. Si bien hoy en día existen métodos de cifrado más seguros, muchas versiones más débiles, como WPA y WEP, aún se utilizan internacionalmente. Esto se debe principalmente a que ciertos dispositivos más antiguos no son compatibles con los métodos más nuevos que son mucho más seguros.

Tome WPA2-PSK (Wi-Fi Protected Access 2 – Clave precompartida), que usa CCMP / AES: este es un proceso de cifrado de 128 bits y es muy seguro. Sin embargo, incluso con este mejor sistema, todos comparten la misma clave precompartida (PSK), lo que abre otras puertas a las vulnerabilidades.

Un PSK es un mecanismo de seguridad utilizado para autenticar y validar usuarios en una conexión inalámbrica. Entonces, a pesar de los elevados niveles de encriptación, si todos usan el mismo PSK y se infringe un dispositivo, todos podrían ser vulnerables.

Por ejemplo, cuando alguien deja un negocio, si no actualiza su PSK (que muchas empresas no hacen), entonces ha dejado la puerta abierta para un posible ataque de venganza.

Lo mismo puede suceder cuando el PSK es el mismo para todos los dispositivos. Un usuario que conoce el PSK puede capturar el apretón de manos de 4 vías que se produce cuando el dispositivo inalámbrico se está conectando y usarlo para ver los datos de otra persona que se transmiten por aire en la misma red inalámbrica. El apretón de manos de 4 vías se vuelve algo fácil de capturar si la red inalámbrica es vulnerable a los ataques de desauthentication. Lamentablemente, la mayoría se debe a que muchos dispositivos inalámbricos no admiten el método para evitar que esto ocurra, marcos de administración protegidos (PMF).

¿Qué problemas de seguridad inalámbrica pueden dar como resultado una violación de datos confidenciales y cómo puede un individuo o empresa evitar que esto ocurra?

El rango de problemas de seguridad es significativo.

En primer lugar, muchas empresas siguen desplegando sus redes inalámbricas utilizando métodos de cifrado débiles u obsoletos, como WEP / WPA-TKIP, debido a la compatibilidad con dispositivos anteriores. Estos métodos son relativamente fáciles de poner en peligro, y lo que es peor, si los usa su red WiFi tendrá un impacto de rendimiento significativo, con una velocidad máxima de datos de 54Mbps.

En segundo lugar, como se mencionó anteriormente, el uso de una sola PSK para todos los dispositivos puede dejar sus dispositivos expuestos a un ataque interno. Esto significa que alguien puede configurar un punto de acceso (AP) que esté transmitiendo el mismo nombre de red inalámbrica (‘SSID’) como otra fuente confiable, que crea lo que se conoce como un honeypot virtual o falso AP. Puede pensar que se está conectando, por ejemplo, a la red inalámbrica del aeropuerto o a la red inalámbrica gratuita de McDonald’s, cuando en realidad se está conectando con un tercero que pretende ser esa red inalámbrica. La mejor defensa contra esto es utilizar herramientas de detección de intrusos inalámbricos (WIDS) que vienen integradas en la mayoría de las plataformas inalámbricas de nivel empresarial.

La mayoría de las redes WiFi gratuitas son abiertas, por lo que no se realiza cifrado del tráfico. Por lo tanto, cualquier persona que use una herramienta de captura de paquetes de aire puede ver y ver todos sus datos no cifrados, como el acceso a sitios web que comienzan con HTTP donde no se utiliza el cifrado (a diferencia de HTTPS). Si está utilizando una red abierta, se recomienda utilizar un método de acceso seguro como SSL-VPN para proteger contra los aleros-cuentagotas.

Finalmente, también es importante tener en cuenta que solo porque su empresa pueda estar usando métodos de seguridad WPA2-Enteprise que también pueden ser vunerables para el estilo de diccionario y / o el hombre en el ataque medio. Los métodos de autenticación como la autenticación basada en PEAP / EAP-TTLS son altamente seguros, si la empresa tiene políticas de contraseña débiles o la política de contraseñas es demasiado compleja (lo que hace que el usuario la anote y pegue en su monitor para que todos la vean) podría provocar que un tercero acceda a la red inalámbrica y más.

Además de esto Si se utilizan métodos de autenticación inseguros como LEAP / MD5, donde la contraseña se envía a través de texto sin cifrar o en un hash fácilmente descifrable, esto también deja la puerta abierta para que ocurra una posible violación.

La mejor contramedida para estos ataques es utilizar métodos de autenticación basados ​​en certificados, que eliminan el factor de contraseña humana y obligar al cliente a validar el certificado durante la fase de autenticación.

En general, se considera que Australia está a la vanguardia de esta tecnología, dada nuestra distancia geográfica y la necesidad de confiar más en ella, ¿también estamos liderando en seguridad WiFi ?

Es bien sabido que al australiano CSIRO e ingeniero eléctrico, John O’Sullivan, se le acredita como el inventor de WiFi tal como lo conocemos. Pero si bien usamos esta tecnología en gran medida en nuestra vida cotidiana, desde las redes de comunicaciones punto a punto de largo alcance hasta el control de nuestros saldos bancarios, no creo que lideremos el camino de la seguridad en este frente.

En cambio, la investigación principal sobre la seguridad inalámbrica está sucediendo en lugares como China e India, que es donde ahora se desarrolla gran parte del desarrollo actual del estándar 802.11 y los métodos de seguridad.

¿Qué deberíamos estar haciendo para educar al público en general sobre los riesgos?

No estoy seguro de que esto sea posible. La única forma de llegar a un público masivo es a través del marketing. Desafortunadamente, muchos modelos de marketing crean malentendidos para el público en general, porque a la vez que explican conceptos amplios sobre cómo funciona la seguridad inalámbrica, a menudo contienen mucha información misteriosa que solo funciona para un uso de caso específico y que a menudo no es fácil para el general. público para implementar.

Si bien podemos enseñar al personal técnico las mejores prácticas de seguridad relacionadas con las redes inalámbricas y esperamos que transmitan este conocimiento, el mejor método sería resolver los riesgos mediante nuevos métodos de seguridad inalámbricos. Por ejemplo, con la introducción de los métodos de seguridad WPA3 y Enhanced Open, se han realizado muchas mejoras para aumentar la seguridad inalámbrica sin la interacción del usuario final.

¿Cómo recomendaría que las empresas aborden estos problemas a corto y largo plazo?

Esto realmente tiene que pasar de arriba hacia abajo.

Implementar los mejores métodos de seguridad inalámbrica a menudo no es fácil. Sin embargo, capacitar al personal interno de TI con los conocimientos y habilidades relevantes a través de cursos de capacitación industrial, como CWNP (Certified Wireless Network Professionals), es probablemente la mejor solución para las empresas que buscan trabajar con redes inalámbricas 802.11. Estos cursos proporcionan una comprensión profunda de los fundamentos combinados con las mejores prácticas para usar cuando se implementan redes inalámbricas, especialmente cuando se trata de elegir los mejores métodos de seguridad.

Si una empresa no cuenta con personal de TI suficientemente calificado, debe contactarse con profesionales de la industria para obtener asistencia y no solo asumir que, debido a que saben cómo configurar su enrutador inalámbrico, pueden establecer una red comercial o empresarial.

¿Qué sigue para la conexión inalámbrica?

Los próximos pasos reales en el espacio inalámbrico se basan en los nuevos métodos de seguridad 802.11ax, WPA3 y Enhanced Open. 

802.11ax está diseñado para abordar muchos problemas comunes con redes inalámbricas, mejorando la eficiencia y el rendimiento usando métodos como BSS Coloring y una versión multiusuario de OFDM (esquema de modulación) que es OFDMA, que es una tecnología utilizada actualmente en 4G / LTE redes móviles. Esto mejorará la experiencia del usuario e incorporará Wi-Fi como el medio de acceso a la red principal.

Desde el punto de vista de seguridad, la introducción de WPA3, el sucesor de WPA2, no permitirá protocolos obsoletos heredados, requerirá marcos de gestión protegidos (para evitar ataques de desauthentication) y agregará características a los métodos de autenticación personal y empresarial para mejorar aún más inalámbrico .

WPA3-Personal incluirá un protocolo de establecimiento de clave segura entre dispositivos, la Autenticación Simultánea de Iguales (SAE), esto proporcionará protecciones más fuertes para los usuarios contra el uso de intentos de adivinación de contraseñas y contraseñas por parte de terceros.

WPA3-Enterprise introducirá métodos de cifrado más sólidos con un conjunto de seguridad de 192 bits.

También veremos una nueva característica de “Mejorado abierto” que permite a los dispositivos admitidos configurar dinámicamente el cifrado por aire incluso en una red abierta. Esto se basa en el cifrado inalámbrico de oportunidad (OWE) que inicialmente se planeó para ser parte de WPA3.

Sin embargo, es probable que haya ciertas funciones que no estarán disponibles en el lanzamiento inicial, llamémoslo “802.11ax Wave 1”, por lo que es posible que no veamos algunas de estas funciones publicadas hasta “802.11ax Wave 2”.

¿Cómo ayuda Fortinet a las empresas a aprovechar al máximo su conexión inalámbrica?

Fortinet está agregando una nueva capa de seguridad utilizando nuestras capacidades avanzadas de automatización de protección contra amenazas, que actúan como una capa de Inteligencia Artificial para su red inalámbrica.

Las redes inalámbricas de Fortinet son capaces de detectar cuándo un cliente inalámbrico está comprometido (es decir, acceder a sitios web maliciosos) y luego tomar un conjunto definido de acciones, como bloquear o poner en cuarentena la dirección IP y / o MAC del cliente, o incluso enviar un correo electrónico a alguien que pueda tomar medidas para resolver el problema.

También se puede mostrar un mensaje en el dispositivo del usuario a través de su navegador web explicando que su dispositivo se ha visto comprometido y ahora está en cuarentena. Sin embargo, el dispositivo en cuarentena aún podrá acceder a sitios como su proveedor de antivirus para remediar el problema. Esta funcionalidad es exclusiva de Fortinet.

También ofrecemos un medio para proteger los dispositivos de IoT . Usando nuestra característica de clave compartida múltiple (MPSK), podemos proporcionar a cada dispositivo o usuario su propia frase de contraseña para acceder a la red inalámbrica. Hasta la fecha, admitimos 16,000 PSK individuales por controlador inalámbrico, que es mucho más que cualquier otro proveedor actualmente ofrece.

Por Renee Tarun| 31 de julio de 2018

Como vicepresidente de seguridad de la información, trabajo para garantizar que Fortinet funcione de forma segura y para proteger nuestros sistemas y datos contra daños. Mi otro trabajo de tiempo completo (¡y el trabajo que más amo!) Es ser “mamá” para mis dos hijos. Como padre, trabajo para mantener a mis hijos seguros dondequiera que se aventuran, incluso en línea.

Internet puede ser un recurso realmente valioso para los niños, ya que puede proporcionar material educativo, juegos divertidos y formas de conectarse con sus amigos. Sin embargo, también puede ser un campo de juego para el acoso cibernético, el contenido malicioso y los delincuentes y depredadores que buscan atacar a los niños y sus familias por cosas como identificar robos, delitos y mucho peores.

A medida que avanzamos en los meses de verano y los niños no van a la escuela, tendrán aún más oportunidades de pasar tiempo en línea.

A continuación hay algunas cosas que puede considerar para ayudar a mantener a sus hijos seguros en línea:

Hable con sus hijos sobre sus expectativas para ellos en línea. 

Considere establecer límites que pueden incluir reglas sobre cuánto tiempo se les permite estar en la computadora, qué sitios se les permite visitar, qué programas de software se pueden usar y qué tareas o actividades se les permite hacer según la edad, el conocimiento y la madurez.

Enséñeles la importancia de mantener la privacidad de la información  

Publicar información y fotos personales en Internet puede ser peligroso, ya que puede ser aprovechada por aquellos que quieren hacer daño. Además, una vez que se ha publicado la información, puede tener efectos inquietos más tarde, ya que puede ser difícil de eliminar una vez que esté en el dominio público. Asegúrese también de verificar su configuración de privacidad en los sitios de redes sociales para evitar que los desconocidos accedan a la información personal. Es posible que estos ajustes no siempre estén configurados correctamente de manera predeterminada. Asegúrese de que sus hijos entiendan:

• Nunca dé su nombre, número de teléfono, dirección de correo electrónico, contraseña, dirección, nombre de la escuela o fotografía sin su permiso.
• No responda a publicaciones maliciosas o dañinas.
• No abra correos electrónicos o archivos adjuntos de personas que no conocen.
• No te juntes con nadie que “conozcan” en línea.

Hágales saber que si ven algo, diga algo  

También debe hablar con los niños sobre los peligros de Internet para que puedan reconocer un comportamiento o actividad sospechosa. Hágales saber a sus hijos que si ven algo en un sitio web, en un correo electrónico o en una sala de chat que no parece estar bien o los hace sentir incómodos, pueden acudir a usted con sus preguntas e inquietudes.

Tenga en cuenta sus actividades informáticas 

Sepa qué está haciendo su hijo en la computadora, incluidos los sitios web que visita. Si utilizan el correo electrónico, la mensajería instantánea o las salas de chat, asegúrese de tener una idea de con quién se está comunicando y de que su hijo conoce realmente a las personas con las que está hablando.

Mantenga las computadoras en un área común 

Si su computadora está en un área común, podrá monitorear fácilmente la actividad de la computadora. Esto puede ayudar a evitar que los niños hagan cosas que no deberían hacer y también le da la oportunidad de intervenir si observa un comportamiento que podría tener consecuencias negativas.

Aproveche su proveedor de servicios de Internet (ISP) 

Algunos ISP ofrecen servicios (a veces gratuitos) diseñados específicamente para proteger a los niños en línea restringiendo el acceso a sitios web y funciones de comunicación, como correo electrónico, chat y mensajería instantánea, por edad, contenido, tiempo y otras categorías Póngase en contacto con su ISP para ver si alguno de estos servicios está disponible.

Considere la implementación de controles parentales 

Es posible que pueda configurar algunos controles parentales en su navegador web. Algunos navegadores le permiten restringir o permitir que solo se vean ciertos sitios web en su computadora, un proceso conocido como “listas blancas”, y puede proteger estas configuraciones con una contraseña. Si bien ninguna tecnología es infalible, también hay disponibles aplicaciones comerciales de software que puede instalar para agregar una capa adicional de protección al monitorear, filtrar y restringir el acceso a contenido peligroso.

Como cada situación familiar es diferente, debe hacer lo que sea mejor para su familia. Haga su propia investigación, e incluso considere consultar con un asesor para tomar las mejores decisiones en función de su situación particular.

También puede considerar compartir esta información con su familia, amigos y vecinos para que sus hijos y sus amigos permanezcan seguros a medida que acceden a Internet en diferentes dispositivos y puntos de conexión Wi-Fi durante este receso.

Por Bob Fortna | 30 de julio de 2018

El aumento de los ciberataques que atacan los datos y la infraestructura crítica de las naciones-estado es innegable, sin signos de desaceleración. Desde hackers patrocinados por el estado hasta hacktivistas y empresas delictivas, los grupos están aprovechando el poder de la automatización para implementar malware con velocidad y escala, con datos de agencias federales e infraestructura crítica en la mira.

Dada la naturaleza automatizada de muchos de estos ataques, los enfoques manuales tradicionales para la defensa ya no son suficientes. Sin embargo, hay formas en que las agencias federales pueden proteger la información crítica y la infraestructura del compromiso.

El paisaje automatizado de amenazas

La Orden Ejecutiva del año pasado  sobre el fortalecimiento de la ciberseguridad de las redes federales y la infraestructura crítica  enfatizó la migración de las agencias a la nube como una parte clave de la estrategia. La adopción de la nube, sin embargo, está demostrando ser una bendición y una maldición. Si bien la nube introduce la escalabilidad y flexibilidad que las redes tradicionales tienen problemas para ofrecer, también expande la superficie de ataque con vectores de amenazas fuera de banda, como la sombra de TI y los servicios de nube personal. Además, una dependencia cada vez mayor de los dispositivos conectados para automatizar y realizar tareas cotidianas reduce el perfil de seguridad de las agencias e invita a los visitantes no deseados.

Incluso el cifrado, destinado a fomentar la seguridad, también tiene un lado oscuro. Si bien es útil para mantener la privacidad, presenta desafíos para el monitoreo y la detección de amenazas. Las organizaciones, especialmente las que tienen una  mayor proporción de HTTPS  , no pueden permitirse ignorar las amenazas que podrían estar al acecho dentro de las comunicaciones encriptadas.

La nube y el cifrado permiten a los actores malintencionados de hoy en día lanzar ataques más rápido, más lejos y de forma más económica. Aún más preocupante es que una gran parte de la actividad de explotación de hoy en día está completamente automatizada utilizando herramientas que exploran metódicamente amplias zonas de Internet, buscando vulnerabilidades oportunistas. Estas herramientas modernas, combinadas con la creciente infraestructura de “crimen como servicio”, permiten a los atacantes operar a escala global a velocidades digitales.

La gran amenaza que representan los ataques automatizados

Los equipos de seguridad de TI federales se enfrentan a una avalancha de alertas de seguridad, y muchos simplemente no tienen los recursos o incluso la experiencia para responder a ellos. Además, los ataques modernos, especialmente los automatizados, tienen una corta vida media; los indicadores de compromiso relacionados con estos ataques se desvanecen rápidamente, lo que significa que los equipos deben ser capaces de responder cuando un ataque es visible, no después de que ha ocurrido el ataque.

Esta es una tarea compleja y difícil en agencias con soluciones de punto de red implementadas que se basan principalmente en humanos para la integración necesaria. En dichos entornos, responder a los ataques automatizados usando la automatización defensiva, la orquestación de alertas a través de dispositivos como información de seguridad y productos de gestión de eventos, entornos limitados y soluciones similares, es increíblemente importante.

Eso es a nivel de agencia. También hay una tendencia hacia actividades cibernéticas cada vez más maliciosas dirigidas a la infraestructura crítica del país -incluidos los sistemas de agua, transporte, energía, finanzas y servicios de emergencia- que es particularmente preocupante porque la interrupción de esos servicios puede tener efectos devastadores en la economía, impactar el bienestar de los ciudadanos e incluso causar la pérdida de vidas.

En su  informe del  año pasado sobre la seguridad de la infraestructura crítica, el Consejo Consultivo de Infraestructura Nacional expresó su preocupación de que los sectores público y privado siguen siendo incapaces de trasladar información procesable a las personas adecuadas a la velocidad requerida para abordar las amenazas cibernéticas. Esto se debe principalmente a que muchos de los sistemas de seguridad existentes requieren un nivel significativo de intervención humana para detectar y responder a amenazas, y la inteligencia de amenazas en tiempo real entre las organizaciones es limitada o inexistente.

Mejores prácticas para derrotar ataques automatizados

A medida que varios componentes de seguridad comienzan a trabajar juntos como un sistema integrado, a través de la comunicación y la coordinación directas, las agencias pueden comenzar a dejar que la tecnología comience a tomar algunas decisiones automatizadas. Si bien la eliminación automática de la amenaza real aún puede estar a una distancia considerable, una vez que se detecta una amenaza, los sistemas automatizados pueden ayudar a contener o aislar inmediatamente una infracción. Esto da a los equipos de respuesta a incidentes más tiempo para luchar contra el ataque.

Para darse cuenta de las ventajas potenciales de una estrategia de seguridad coordinada y automatizada, las agencias pueden adoptar e integrar cinco estrategias que unifican el control de todos los vectores de ataque para detener los ataques automatizados:

1. Cero en la visibilidad.  Utilice soluciones de inteligencia de amenazas para profundizar en la comprensión de la identidad, las tácticas y los procedimientos de los atacantes, y luego comience a defender inteligentemente de acuerdo con esa información. Sepa dónde se encuentran los activos críticos y priorice los esfuerzos de seguridad allí.

2. La gestión de parches no es negociable.  Mirai, Hajime y las amenazas más recientes como AutoSploit son más sigilosas y las generaciones más avanzadas de malware autopropagado que ejemplifican el tipo de daño que se puede hacer cuando los equipos de TI no logran parchear las vulnerabilidades conocidas.

3. Un sistema de prevención de intrusos es la primera línea de defensa automatizada.  Debido a que los fabricantes todavía no son responsables de asegurar los dispositivos de Internet de las cosas, hay miles de millones de dispositivos conectados que son vulnerables al ataque, sin parches a la vista. IPS proporciona “parches virtuales” bloqueando ataques y ataques dirigidos a dispositivos de IoT vulnerables.

4. Redundancia y segmentación es una necesidad . Algunos ransomware no solo pueden infectar datos sino también buscar e infectar copias de seguridad de datos, lo que puede ser desastroso. Los administradores de TI deben asegurarse de que las copias de seguridad de datos no solo se realicen sino que estén segmentadas y almacenadas fuera de la red.

5. Mejora el tiempo de respuesta. Una vez que las medidas anteriores estén en su lugar, los recursos deben enfocarse en aumentar el tiempo para responder. Las agencias deben aprovechar las soluciones proactivas y buscar formas de crear interoperabilidad entre diferentes sistemas de seguridad para que la información sobre un evento identificado en un dispositivo se comparta automáticamente en toda la arquitectura de seguridad distribuida. El desafío es que la mayoría de las organizaciones han implementado muchas soluciones diferentes de diferentes proveedores que no se comunican de forma nativa, comparten información sobre amenazas o incluso digieren inteligencia de amenazas y la convierten en protecciones procesables. Las agencias deben esforzarse por reducir esa complejidad integrando soluciones,

Únete y conquista

Por fuerte que sea un equipo de seguridad de TI federal , no puede mantenerse al día con ataques automatizados sin ayuda. Las nuevas generaciones de incursiones en la red deben ser detectadas y tratadas rápidamente, antes de que puedan causar daños y antes de que su rastro desaparezca. Un sistema de soluciones de seguridad integradas y orquestadas permite a las organizaciones combatir la automatización con la automatización, utilizando las propias tácticas de los cibercriminales para reducir el tiempo de detección, de modo que el análisis forense pueda comenzar inmediatamente y se pueda fortalecer el ciclo de vida de seguridad.

Esto no puede hacerse de forma aislada. Los sectores público y privado deben unirse para encontrar formas de automatizar la protección de la infraestructura crítica de la nación. El gobierno no puede resolver el problema solo. Las infraestructuras críticas son propiedad y están operadas principalmente por el sector privado, y no se puede esperar que las empresas comerciales se enfrenten a los ciberajienes de otras naciones. Al trabajar juntos en pequeñas formas, comenzando con la ampliación de la experiencia en seguridad y la realización de proyectos cibernéticos conjuntos, la industria y el gobierno pueden combinar sus fortalezas para derrotar a los malos actores.

Por John Maddison | 26 de julio de 2018

Una suposición hecha por muchos profesionales de la seguridad es que las diferencias de rendimiento entre dispositivos de seguridad física se eliminan cuando esas imágenes de software de seguridad se ejecutan en hardware en la nube idéntico. Pero la verdad es que todavía existen importantes diferencias de rendimiento entre las soluciones, y esas diferencias pueden ser críticas tanto desde el punto de vista del procesamiento como del costo.

Debido a que el rendimiento de la nube es un requisito básico para competir en el mercado digital, las organizaciones no pueden permitirse que la seguridad sea un cuello de botella. Las transacciones deben ser inspeccionadas a velocidades digitales. Por supuesto, la escalabilidad elástica ayuda a eliminar esos cuellos de botella, por lo que la nube es una plataforma ideal. Pero la escalabilidad tiene un costo. Por ejemplo, crear firewalls adicionales innecesariamente puede tener un impacto real en su costo de hacer negocios.

Parte del desafío es que la escala de rendimiento es más compleja de lo que parece. En aras de la simplicidad, dividamos la escalabilidad en dos funciones: escalar y escalar.

Escalar los recursos de la nube

Cuando hablamos de escalabilidad de la nube, generalmente nos referimos a la idea de ampliar la escala. Esta función le permite cumplir con las demandas de rendimiento al aumentar la cantidad de instancias virtuales separadas de una solución. Por ejemplo, le permite girar y desplegar automáticamente más instancias de cortafuegos a medida que el tráfico carga pico, y luego descartarlos cuando el tráfico vuelve a la normalidad. 

Sin embargo, no solo se trata de mejorar el rendimiento, sino también el precio del rendimiento. Por ejemplo, una solución de mayor rendimiento significa que no tiene que comprar instancias adicionales de firewall fuera del mercado de la nube tan a menudo como lo haría con una solución más lenta. Esto puede ser crítico para la gestión de los gastos sin dejar de cumplir los requisitos de capacidad. Y el rendimiento, incluso en software que se ejecuta en un hardware idéntico, puede verse afectado por dos cosas: el diseño y la optimización del software.

El diseño arquitectónico afecta el rendimiento

El otro tipo de escalabilidad que a menudo pasamos por alto es la ampliación. Esto se refiere al tamaño del hardware virtual en el que se ejecuta una solución de software, medida en la cantidad de núcleos que usa una VM. Las máquinas virtuales simples utilizan un solo núcleo, y aumentan a partir de ahí duplicando el número de núcleos que usa una VM (1, 2, 4, 8, etc.). Determinar qué tan grande es la VM que necesita para ejecutar de manera efectiva su solución de seguridad es una de las consideraciones más importantes que hace una organización al diseñar su entorno de nube. Sin embargo, la ampliación puede verse significativamente afectada por la eficacia con que una solución puede utilizar la potencia de procesamiento disponible, a menudo denominada rendimiento por núcleo. Si necesita una VM de CPU grande y multi-core, por ejemplo, es vital saber cuánto rendimiento puede proporcionar una solución de software para cada núcleo que está pagando.

El escalado es un ejemplo perfecto de cómo las cosas que pueden parecer iguales en la superficie, es decir, que todos los proveedores pueden ejecutar sus soluciones en la misma máquina virtual, pueden ser realmente diferentes en su aplicación práctica. La verdad es que no todo el software está diseñado de la misma manera. 

La ejecución de software en una VM requiere una arquitectura construida alrededor de un plano de administración y un plano de datos. La forma en que los distintos arquitectos diseñan cómo distribuyen esos requisitos puede variar ampliamente. Por ejemplo, la arquitectura de muchos proveedores requiere que dediquen un núcleo completo para la administración, generalmente, uno de cada cuatro. Entonces, si compra un sistema de dos núcleos para ejecutar su servicio, solo la mitad de esos recursos están disponibles para procesar tráfico y datos. Y a medida que amplía, nunca menos del 25 por ciento de los recursos básicos están disponibles para el procesamiento de datos. El software del proveedor que utiliza este modelo arquitectónico de uno en cuatro puede tener un impacto significativo en el rendimiento. Del mismo modo, muchos proveedores han diseñado su software para fijar una sola sesión (IKE SA) a un solo núcleo en lugar de poder distribuir el tráfico IPSec entre múltiples núcleos.

Paralelización 

Básicamente, toda informática prefiere una arquitectura paralela construida alrededor de factores de dos (2, 4, 8, 16, 32 …). Esto permite la máxima eficiencia e impacta el rendimiento potencial. La utilización efectiva de la paralelización es una razón importante por la que un proveedor puede lograr un mayor rendimiento que otro en el mismo entorno de nube. Sin embargo, debido a las opciones arquitectónicas del software, a menudo hechas por proveedores sin experiencia en el desarrollo de hardware personalizado, muchos proveedores asignan un núcleo dedicado para controlar la administración del avión. 

Esta estrategia de diseño rompe el modelo de paralelización y reduce la eficiencia y el rendimiento. No solo tiene menos núcleos disponibles para inspección y procesamiento, sino que solo tiene tres o seis núcleos disponibles para la inspección de datos, en lugar de factores de dos, afecta seriamente la capacidad del software para distribuir y procesar de manera eficiente esos datos, lo que reduce el rendimiento aún más. 

No todos los programas en la nube son creados iguales

Algunos argumentan que los proveedores de hardware especializado pierden su ventaja de rendimiento en un entorno de nube. Pero la optimización de pila completa puede proporcionar un aumento significativo en el rendimiento, incluso cuando todos los demás factores son idénticos. Los ingenieros deben optimizar drásticamente su software para lograr el rendimiento necesario en un chip. Desafortunadamente, ese tipo de optimización en la pila es algo que muchos proveedores de software nunca hacen. En su lugar, tienden a abordar el problema lanzando más CPU de fábrica al problema. El software full stack optimizado puede diferenciar significativamente un proveedor de otro en la nube porque afecta directamente la eficiencia y el rendimiento.

Conclusión

La elección de soluciones de seguridad escalables y de alto rendimiento permite a las organizaciones cumplir con las crecientes demandas de rendimiento del mercado digital actual. Y el rendimiento es una consideración crítica incluso cuando se selecciona una solución de seguridad basada en la nube. Las soluciones de mayor rendimiento no solo le permiten cumplir de manera efectiva las crecientes demandas de los consumidores a velocidades digitales, sino que también son más rentables. Sin embargo, no todas las soluciones de seguridad en la nube son iguales. El análisis cuidadoso de los enfoques de optimización y diseño subyacentes de un proveedor le permitirá seleccionar la solución que mejor se adapte al desempeño y los requisitos presupuestarios de su organización.

“Las principales amenazas tienen que ver con la alteración de información y adulteración de documentos, obteniendo archivos que son originales, pero no genuinos. La digitalización tiene el riesgo que la versión digital sea editada una vez realizado el proceso, y no sea una copia fiel del documento original. A esto se suma el peligro de mantener distintas versiones de un documento por no mantener la información almacenada en un punto común”, advierte César Orrego, Gerente de Nuevos Negocios de Xerox Chile.

Según el Global Risk Report 2018 del World Economic Forum, los ataques cibernéticos han aumentado hasta posicionarse en el tercer lugar de riesgos globales por probabilidad percibida, un incremento que también se traduce en costos: el célebre rasomware WannaCry, que infectó 300 mil computadores en 2017, y los virus Petya y NotPetya, causaron grandes pérdidas corporativas que alcanzaron los US$300 millones, de acuerdo al mismo informe.

“La seguridad de la información es de máxima importancia y preocupación en las operaciones actuales, por lo que se han generado acciones y normas asociadas a este tema, permitiendo asegurar la confidencialidad de la información e integridad de los datos que se manejan y también los sistemas que las procesan”, apunta Orrego.

No obstante, resulta complejo mantener un entorno de red confiable cuando se trata de multifuncionales e impresoras, en especial para las pequeñas y medianas empresas. “Las SMB son las compañías que más riesgos tienen, ya que invierten menos en infraestructura de seguridad, por lo que los sistemas o equipos que se integren a sus procesos deben ser lo más seguros de forma autónoma”, señala Gabriel Vargas, Arquitecto Soluciones Canales de Xerox Chile.

Resguardo en cinco niveles

Hackers de todo el mundo buscan dispositivos conectados a internet que presenten vulnerabilidades, como multifuncionales o televisores inteligentes. Estas “grietas de seguridad” son bien aprovechadas por los ciberdelicuentes, de ahí la relevancia de elegir tecnología que cuente con sistemas incorporados en los equipos, evitando, en una primera instancia, agregar soluciones adicionales de resguardo.

En esa línea, son cinco puntos en los cuales la industria está centrando sus esfuerzos:

1.- Prevención de intrusiones: se supervisa toda la actividad del equipo, registrando todas las acciones realizadas por los usuarios. Además, se definen diversos niveles de acceso por persona, definiendo cuándo y qué servicio del dispositivo puede ser utilizado. “Esto nos permite que solo usuarios autenticados puedan usarlos”, dice Vargas, y agrega otro punto importante.

“En nuestro caso, en los equipos de impresión, sólo softwares firmados digitalmente por entidades conocidas por Xerox pueden ser instalados. Esto nos asegura que software dañado o infectado no pueda ser alojado en la unidad”, puntualiza.

2.- Seguridad del contenido: se mejoran los procesos de seguridad y protege la propiedad intelectual, al monitorear todo el contenido que se imprime, copia o escanea. De esta forma, proporciona a las empresas otra capa de protección, al notificar automáticamente a los propietarios del contenido o los administradores, si se está imprimiendo o compartiendo información delicada o confidencial.

3.- Detección de dispositivos: se verifica el firmware o sistema operativo del equipo para detectar si se han realizado cambios que puedan afectar la seguridad de la información. Incluso, equipos como la serie Altalink de Xerox, poseen protección adicional McAfee Whitelisting, que supervisa y evita constantemente la ejecución del cualquier software sospechoso. También es capaz de revelar conexiones anómalas entrantes a través de la red, alertando a los agentes de seguridad definidos y cortando esta conexión de comunicación.

4.- Protección de datos y documentos: según Vargas, es imprescindible “proteger los datos almacenados en el dispositivo. Cada archivo almacenado es cifrado con el esquema AES de 256 bits, lo que en español nos indica que, si alguien llega a tener acceso a un archivo cifrado con esta metodología, le va a tomar muchísimo tiempo romperlo o descubrir la clave de cifrado”, explica.

Asimismo, existen otras formas de protección de documentos, como el cifrado de la transmisión de un archivo de impresión desde una estación de trabajo hacia la multifuncional, y el cifrado de los documentos digitalizados y enviados por correo electrónico.

5.- Colaboraciones externas: para enfrentar las últimas ciberamenazas es necesario mantenerse actualizado, con el objetivo de actuar de manera oportuna. Estas consideraciones deben ir de la mano y en alianza con líderes en seguridad de la información del sector TI.

“McAfee y Cisco han trabajo junto a Xerox Corporation para definir e implementar las mejores técnicas de la industria. La seguridad de la información es un punto extremadamente relevante para las empresas hoy, independiente de su tamaño. Contar con el equipo de impresión más seguro del mercado ayuda, pero no será suficiente para resguardar sus datos. Para esto es necesario implementar políticas de impresión y conexión”, advierte Vargas.

En este sentido, el Arquitecto Soluciones Canales de Xerox Chile indica, además, que las compañías deben cumplir con los estándares del mercado referentes a seguridad, como lo son FIPS 140-2 y Common Criteria (ISO/IEC 15408).