Connect with us

Eventos

Realizan el CSO20 Conference+Awards 2022: Ciberseguridad como pilar en un escenario de incertidumbre

César Villaseñor

Published

on

El CSO20 Conference+Awards, otrora conocido como CSO Forum, se realizó en México por décimo quinto año consecutivo y llevó por título “Ciberseguridad como pilar en un escenario de incertidumbre.

En este evento en línea se expusieron los conocimientos en el proceso de innovación operativa y de modelo de negocio dentro de una organización, donde el desempeño de los CSO o CISO deben proteger la viabilidad segura de la organización para explorar el potencial tecnológico, y fungir como agentes del cambio en medio de esta contingencia sanitaria que aún estamos viviendo. 

Para ahondar en este tema, se reunió a un grupo de profesionales en Seguridad de la Información quienes conformaron el programa de conferencias especializadas y de mejores prácticas.

Seguridad Proactiva como principal defensa

Jacobo Resnikov, Head of Cortex para Palo Alto Networks Latinoamérica, explicó que la Unidad 42 es la unidad de ciberinteligencia de esta compañía y, según sus estimaciones, en 2020 el promedio de solicitud de rescate de datos obtenidos por ransomware fue de 847,000 dólares. “Sin embargo, el promedio de pago de rescate para ransomware de 2020 a 2021 fue de 312,000 dólares”. Resnikov añadió que el aumento en la cantidad de dinero entregado por el rescate aumentó en un 171% en comparación del reportado en 2019.

El directivo recalcó que no basta con respaldar los datos de valor de la empresa. Muchas veces los atacantes amenazan con hacer pública la información secuestrada y con ello perjudicar a la organización.

Jacobo Resnikov, Head of Cortex para Palo Alto Networks Latinoamérica.

Adicional a la amenaza del ransomware, el especialista dijo que otra de las amenazas que las empresas deben tener en la mira son los ataques Remote Desktop Protocol (RDP), los cuales representan el 30% de los ataques registrados.

Al respecto, Reznikov sugirió que ante este aumento de amenazas se cuente con una Seguridad proactiva. “El objetivo es frustrar el ataque mucho antes de que este ocurra”.

Dijo que este tipo de ataques son llevados a cabo por un robot programados por los adversarios y muchas veces utilizan Inteligencia Artificial. “Nosotros también debemos de responder con IA con algoritmos muy bien hechos para evitar este tipo de ataques”, aseguró Resnikov.

Los atacantes tienen claros sus objetivos de ataque

En su conferencia, Joseph Salazar, Technical Marketing Engineer de Attivo Networks, opinó que uno de los principales objetivos de los atacantes son las credenciales y el Directorio Activo, y “la mayoría de las empresas no están preparadas para enfrentar este panorama”.

Joseph Salazar, Technical Marketing Engineer de Attivo Networks.

Algunos datos que confirman su postura, provistos por el especialista, señalan que el 86% de las organizaciones planea aumentar la financiación de seguridad del Directorio Activo (DA), 42% de los ataques dirigidos al DA fueron exitosos y 50% de las empresas tuvieron un ataque enfocado al DA durante los últimos dos años.

Ante esta situación, sugirió adoptar la visibilidad de exposición de identidad, la cual comprende de manera eficiente las exposiciones y las rutas de ataque desde los puntos finales hasta el Directorio Activo.

Asimismo, dijo, es necesario identificar las rutas de ataque de credenciales desde el endpoint, identificar las vulnerabilidades del Directorio Activo y de la identidad de la nube, así como los sobre aprovisionamiento de permisos en la nube.

Para atender esta problemática, Salazar sugirió la tecnología de Detección y Respuesta de Identidades (IDR, por sus siglas en inglés), la cual funge como protección, detección y respuesta ante los ataques basados en la identidad.

Se debe poner especial atención a los equipos que contengan credenciales almacenadas de Directorio Activo, credenciales huérfanas, credenciales duplicadas y administradores delegados; ya que estos últimos son las principales rutas de ataque a los endpoints.

La postura de Attivo Networks ante los ataques de Directorio Activo es la Detección en tiempo real. En este sentido, y de acuerdo con Salazar, se deben atender dos flancos: para los puntos finales, es necesario contar con Detección avanzada en tiempo real, alertas de actividades no autorizadas que apunten al Directorio Activo, resguardar el contenido resguardado en el DA y disponer de una respuesta automática.

En el caso de los Controladores de dominio, es necesario detectar oportunamente los ataques que afecten varios aspectos del DA, así como ataques desde sistemas administrados y no administrados, y los que provienen de dispositivos con IoT/OT y desde sistemas Windows, Mac, Linux, etc., señaló Salazar.

Una nube ágil en servicio de las empresas

Los principales ataques que se han llevado a cabo en entornos de nube se deben a malas configuraciones de seguridad. Así lo aseguró Edher Domínguez, Security Engineer para Tenable México, en su conferencia.

Edher Domínguez, Security Engineer para Tenable México.

Para evitar este tipo de ataques, y para tener un adecuado control de las configuraciones de seguridad, el ejecutivo detalló que se deben adaptar soluciones del tipo DevSecOps. Así como e Infrastructure as Code (IaC) que permite construir de forma dinámica y desaparecer todo en caso de ser necesario; además de permitir una automatización de manera más eficiente.

También es necesario tener en cuenta el desarrollo de soluciones Shift to the Left, un ciclo continuo de desarrollo que se diagrama hacia la derecha. Y, de manera automatizada, permite reconocer un problema potencial y detener el ciclo para corregirlo y continuar.

Este tipo de soluciones son parte de Tenable.CS, plataforma de seguridad nativa en la nube, que es capaz de realizar este tipo de cambios, “lo cual nos permite una gran automatización, homologación de parámetros, etcétera, además de que nos da la certeza que cada movimiento está controlado por el usuario. Todo lo anterior es la llave para la escalabilidad”, afirmó Domínguez.

Control de acceso basado en la segmentación 

Oswaldo Palacios, Senior Engineer de Guardicore, aseguró que los servicios de su empresa aportan ventajas como la visibilidad completa en todo el centro de datos, así como enforcement para crear políticas de acuerdo al tráfico utilizado.

Guardicore domina el control de acceso basado en el usuario. Sin embargo, es capaz de crear segmentos tan pequeños como sólo dos servidores comunicándose entre sí, o aislar servidores unos de otros para crear entornos más seguros. 

Oswaldo Palacios, Senior Engineer de Guardicore.

En comparación con las segmentaciones tradicionales, esta microsegmentación está basada en software. Las ventajas principales son que no dependen de la red, esto quiere decir que aún sin firewalls o routers, las reglas de segmentación no se desajustan, por el contrario, se heredan.

Un caso de uso para la tecnología de Guardicore es la segmentación por ambientes. Por ejemplo, explicó Palacios, es posible separar el área de producción del área de desarrollo. “Podemos hacer una segmentación de ambientes con un equis número de servidores en tan sólo unos minutos. Un proyecto de segmentación que podría tomar meses, lo podemos hacer en semanas, incluso en días”.

Otro ejemplo es la segmentación de aplicaciones. “Antes de crear alguna regla o política de bloqueo mostramos un mapa de dependencias y trazabilidad para saber quién se está comunicando con esa app, por cuál puerto y protocolo, quienes la componen, etc. Con esa información es más fácil dar acceso a tal o cual persona”, aseguró Palacios.

Mejores prácticas de seguridad

Para atender algunas de las dudas más usuales en torno a mejores prácticas de seguridad, CSO20 Conference+Awards tuvo como invitado a Héctor Méndez, CISO de Mobility ADO y Presidente de la Comisión de Seguridad de la Confederación Patronal de la República Mexicana (Coparmex), quién conversó con José Luis Becerra, Editor de CIO México y respondió algunas de las preguntas de la audiencia en línea.

Una de las dudas más consultadas fue la de cómo armar una estrategia de seguridad TI efectiva en un entorno de emergencia sanitaria como la que estamos atravesando.

En opinión de Méndez, uno de los primeros pasos que deben hacer las empresas es contar con la capacidad de poder enviar datos de manera ágil. Es decir, “contar con todas las herramientas necesarias para poder manejar información por medio de la nube”. Esto incluye a los colaboradores que trabajan de manera remota.

“Un proceso de este tipo debe observar el proceso de negocio, que es algo que normalmente dejamos a un lado, pues muchos se preocupan de asegurar todo, pero se olvidan del proceso de negocio. Es necesario también evaluar la infraestructura para soportar nuevos procesos de metodología, procesos y de seguridad”, señaló Méndez.

Héctor Méndez, CISO de Mobility ADO (derecha), en la conversación con José Luis Becerra, Editor de CIO México.

Acerca de los mayores retos que deben afrontar los CSO en la actualidad, el CISO de Mobility ADO comentó que no se debe olvidar que en la actualidad las nubes tienen muchos huecos que atender. Pero tal vez una de las principales cuestiones a las que se enfrentan los profesionales de Seguridad es que muchas veces se toman las decisiones desde el área administrativa. “Ahora tienes que educar a tus directores para que tomen la mejor decisión”, concluyó Héctor Méndez.

César Villaseñor, CIO.com

Advertisement
Advertisement

VIDEOS

Resources

Advertisement

Recientes

Advertisement