Akamai ha adquirido Guardicore para ampliar sus soluciones Zero Trust y ayudar a detener el ransomware. Más información

Dark background with blue code overlay

Blog

Akamai + Guardicore: Zero Trust integral

Akamai blue wave

Written by

Dr. Robert Blumofe and Ariel Zeitlin

November 03, 2021

bobby-blumofe-blog-ransomware.png

Es difícil ignorarlo: los ataques de ransomware se han disparado, con un crecimiento que posiblemente supere el 150 % en 2020. La amenaza será aún mayor a medida que los criminales den con nuevas formas de acceder a redes y sistemas, y las superficies de ataque sigan aumentando a causa del teletrabajo y la proliferación de dispositivos con conexión a Internet. Esta tendencia es la razón por la que estamos tan entusiasmados con la unión oficial entre Akamai y Guardicore: el ransomware nunca había presentado un reto tan difícil, y la oportunidad para las dos empresas (ahora una) de prevenir los ataques nunca había sido tan tangible. Juntos, podemos detener la creciente oleada de amenazas.

Aunque el ransomware es un problema complicado, protegerse contra él se reduce a un principio básico: todos los flujos de tráfico requieren inspección y control, independientemente de los terminales. 

Para que el ransomware lleve a cabo su función, tiene que moverse. Desde el punto en el que se origina, debe encontrar un lugar donde poder acceder a datos de gran valor y cifrarlos. Este movimiento requiere, por lo general, varios saltos entre dispositivos y servidores. Cada salto es un flujo de tráfico que podría ser norte-sur, es decir, entre un dispositivo de usuario y un servidor, o este-oeste, es decir, entre servidores. Bloquear el ransomware se reduce, por lo tanto, a inspeccionar y controlar cada uno de estos flujos de tráfico para confirmar que cuentan con autorización y que no contienen malware.

La unión de Akamai y Guardicore nos ofrece ahora la capacidad de poner en marcha esta estrategia. Con nuestra tecnología combinada, los clientes podrán inspeccionar y controlar el flujo de trabajo de su empresa, de norte a sur y de este a oeste.

malware1v2.png

¿Cómo consiguen acceder los atacantes? 

Los atacantes pueden utilizar varias estrategias para introducirse en la empresa. Este sería el primer salto. Las estrategias que utilizan los atacantes en este primer salto incluyen phishing, squatting, uso de credenciales robadas, explotación de vulnerabilidades en aplicaciones públicas y obtención de acceso físico a portátiles o servidores. Una defensa contra el ransomware necesita tener en cuenta todas estas estrategias.

En el caso de la defensa contra el phishing, existe a menudo una dependencia excesiva de la formación. La formación es importante, pero los empleados no deberían ocuparse únicamente de determinar si algo es sospechoso. El panorama de amenazas y las herramientas que utilizan los delincuentes cambian demasiado rápido. Lo ideal es que la tecnología intervenga antes de que los empleados tengan que tomar una decisión. También puede proporcionar un nivel de defensa adicional al ayudar a corregir errores humanos, por ejemplo, bloqueando sitios web sospechosos cuando un empleado hace clic en un enlace malicioso.

Akamai cuenta con varios productos que pueden bloquear el ransomware en este primer salto, mientras trata de afianzarse. 

  • Nuestro firewall de DNS y nuestra puerta de enlace web segura (SWG), ambos parte de Enterprise Threat Protector, pueden bloquear el acceso a sitios de phishing y squatting mediante el filtrado de nombres de host y de URL 

  • Nuestra autenticación multifactorial (MFA) a prueba de phishing (idealmente, ninguno de los factores debería ser una contraseña) puede bloquear a los atacantes que utilizan credenciales robadas. 

  • Nuestro producto de acceso Zero Trust, conocido actualmente como Enterprise Application Access, puede bloquear el uso de las vulnerabilidades de los servidores, al asegurarse de que estos solo son visibles para los usuarios que ya se han autenticado y cuentan con autorización 

  • Además, nuestro firewall de aplicaciones web (WAF) garantiza que el flujo de tráfico no contenga ningún ataque, ya que hasta los accesos autorizados pueden contener ataques

Prevención de la propagación del ransomware 

Está claro que ninguna defensa es perfecta, así que ¿qué sucede si el atacante encuentra una forma de introducirse en el sistema? ¿Qué ocurre cuando el objetivo del atacante es la cadena de suministro y obtiene acceso inmediato a la red? 

Aunque siempre es mejor prevenir, la realidad es que las amenazas se colarán alguna que otra vez en el sistema. Las organizaciones deben contar con una estrategia para proteger la información y la infraestructura críticas una vez que el ransomware atraviesa las defensas iniciales. Por eso, también es fundamental inspeccionar y controlar el tráfico de este a oeste o interno de servidor a servidor. En la mayoría de los casos, el ransomware necesita al menos un salto este-oeste para encontrar datos de gran valor y causar daños. Además, en el caso de los ataques que se originan en el acceso físico, evitar que el ataque pase de un servidor a otro puede ser la única oportunidad de detener la propagación del ransomware.

La tecnología de microsegmentación de Guardicore es un mecanismo de protección esencial para detener la propagación de malware dentro de una organización. Esta tecnología divide lógicamente la empresa en segmentos, cada uno de ellos con sus propios controles de seguridad bien definidos. Así, cada proceso solo se puede comunicar con los procesos con los que necesita comunicarse. Este enfoque aborda el problema de la proliferación de malware en toda la empresa mediante un movimiento este-oeste.

La próxima frontera

El control y la inspección que proporcionan Akamai y Guardicore en todos los flujos de tráfico de la empresa nos ha permitido abrir la puerta a una nueva frontera: la empresa sin perímetro.

Muchas empresas siguen afrontando la seguridad con la noción anticuada de red corporativa protegida y rodeada de firewalls. No obstante, este enfoque no es coherente con un mundo actual centrado en la nube y en el que se puede trabajar desde cualquier parte. Elementos como las aplicaciones públicas, los servidores virtualizados y la combinación de tecnologías en local y en la nube requieren un enfoque de seguridad con "perímetro protegido", donde un usuario o una aplicación son de confianza y se encuentran en la red, o no son de fiar y están fuera de ella, lo que deja a las empresas en una posición extremadamente vulnerable. Esto se debe a que no existe nada que detenga a los atacantes si las defensas fallan (u obtienen acceso a un dispositivo de confianza), y también a que es muy difícil proteger las infraestructuras y las aplicaciones basadas en la nube con medidas de seguridad tradicionales sin que se vea afectado el rendimiento. Esta complejidad solo aumentará a medida que el trabajo desde casa continúe desdibujando las líneas entre lo personal y lo profesional, la casa y la oficina.

Es necesario adoptar completamente el concepto de Zero Trust y eliminar la idea de que todo lo que hay dentro de la red corporativa es de confianza. Mientras el teletrabajo siga siendo la norma, todo el acceso a los sistemas corporativos debería considerarse como acceso remoto, y ningún dispositivo, ya sea el de un becario o un directivo, debería contar con acceso completo y sin restricciones. De esta forma, se bloqueará la explotación de vulnerabilidades y garantizará la protección de todo el ecosistema corporativo en el caso de que un dispositivo se vea infectado.

Cuando afrontamos la seguridad empresarial, independientemente del usuario final, la ubicación y el dispositivo, con la premisa unificadora de que ningún flujo de tráfico es de confianza, las defensas de una organización son mucho más fuertes. Un enfoque integral Zero Trust que combina la protección tanto de Akamai como de Guardicore logrará que el ransomware lo tenga muy difícil para arruinarle el día.



Akamai blue wave

Written by

Dr. Robert Blumofe and Ariel Zeitlin

November 03, 2021