Autores:
- Octavio Dure, Director de Ingeniería de Soluciones, VMware
- Pablo Boscariol, Ingeniero Senior de Soluciones NSX, VMware
- Santiago Ramos, Especialista en Ventas, Redes y Seguridad, VMware
Introducción
En tanto el aislamiento social apunta a controlar la dispersión de la infección que afecta al planeta, paradójicamente, está produciendo un efecto contrario en las infraestructuras tecnológicas. La unidad de negocios de seguridad de VMWare publicó un reciente informe señalando que en marzo de 2020, los ataques de ransomware aumentaron 148% por sobre los niveles de referencia desde febrero de 2020. Según un estudio de la consultora Ipsos, previo al aislamiento, el 29% de las empresas en la Argentina reconoció haber sido víctima de ciberataques. Y el 49% afirmó que no cuenta con políticas efectivas de prevención, de acuerdo con una investigación de la compañía Kaspersky y la consultora Corpa.
El aislamiento, entonces, viene a crear un ambiente propicio para que estas carencias sean explotadas. En tanto el teletrabajo obligó a las empresas a reforzar las medidas de ciberseguridad, el acceso remoto a aplicaciones y documentos corporativos se hace principalmente desde redes hogareñas, que no cuentan con las mismas medidas de seguridad. Diversos estudios muestran que se prevén más ciberataques ahora que la vulnerabilidad es mayor. Lamentablemente, muchas veces la premura está por sobre la seguridad, ya que tradicionalmente contar con niveles de seguridad altos (o incluso adecuados), era sinónimo de proyectos largos y complejos.
En tanto en 2019 los responsables de la operación de RaaS (Ransomware-as-a-Service) GandCrab -que en un momento llegaron a ser responsables del 40% de las infecciones por ransomware en el mundo- anunciaban su cierre alardeando sobre haber generado más de dos mil millones de dólares en rescates; esta semana nos toco ver cómo un malware (Sodinokibi, también conocido como Sodin o REvil) que parece estar relacionado con aquel grupo atacó a varias compañías en la región solicitando rescates millonarios. Y es que el cibercrimen parece mantenerse como un negocio rentable, y al igual que otras actividades delictivas organizadas, no se espera que disminuya; por el contrario, las organizaciones criminales utilizan tecnologías cada vez más sofisticadas y efectivas.
En este contexto, el desafío de los CISOs hoy es enorme: sus organizaciones están siendo atacadas como nunca, y el desafío de proteger sus activos más críticos sabiendo que efectivamente, tarde o temprano, les llegará el turno de ser objeto de un ataque. En este contexto, serán críticas no solo la capacidad de detección temprana, sino también las medidas de mitigación del impacto, ya que cuando la barrera perimetral sea penetrada, serán las claves para salir airosos de la situación y que un ataque o filtración no afecte drásticamente la marca, imagen del negocio, o incluso, el negocio mismo.
En la visión y experiencia de VMware, dos componentes claves de la seguridad intrínseca de la infraestructura (como contrapartida a una construcción agregada a la misma) han resultado ser efectivos: el Análisis de Comportamiento de las cargas de trabajo, y el Aislamiento que evite la propagación de amenazas en el centro de datos.
Análisis de comportamiento
Los endpoints solían operarse de forma segura en su mayoría detrás del perímetro de la red. Sin embargo, debido a la pandemia y a la explosión de crecimiento del acceso remoto a recursos corporativos, aplicaciones basadas en la nube y redes sociales desde los escritorios, laptops, teléfonos y tablets, estos endpoints se convirtieron en el nuevo perímetro. Hoy son, entonces, los endpoints el principal foco de ataques incluyendo phishing basado en correo electrónico, ransomware, malware y descargas ocultas en la navegación web. Hoy más que nunca, la protección robusta de los endpoints es un elemento crítico en cualquier infraestructura de seguridad corporativa.
La protección contra virus y malware conocidos es importante, pero las herramientas tradicionales basadas en firmas por sí solas ya no ofrecen una protección efectiva. A medida que aumenta la cantidad de virus y malware conocidos, existe el desafío logístico de mantener todos los endpoints y cargas de trabajo en general actualizados con las últimas firmas.
Supongamos que detecto un proceso 123abc.exe en un Windows 10, que no aparece en ningún otro Windows 10 de mi empresa. Tampoco en ningún otro Windows 10 del mundo. Y supongamos que ese proceso de repente establece una conexión con alto payload a un DNS en el sudeste asiático. Y digamos que finalmente, se conecta a una base de datos en mi datacenter. ¡No necesito más! Parece suficiente evidencia de comportamiento sospechoso como para tomar medidas. Aún sin firmas ni identificación de una amenaza conocida.
Soluciones como VMware Carbon Black adoptan este enfoque que se centra en el análisis en tiempo real de los ataques y amenazas sobre los endpoints y cargas de trabajo en general a través del análisis de su comportamiento, y provee diferentes opciones para resolver los incidentes sobre los elementos comprometidos y aplicar el hardending correspondiente sobre el resto. Esto lo logra mediante la visibilidad continua de lo que está sucediendo en estas cargas de trabajo, ofreciendo alertas tempranas de comportamientos anómalos de procesos que simulan ser inofensivos, soportadas por un motor analítico que procesa más de 540TB de datos a través de 1,3 billones de transacciones por día y es capaz de detectar amenazas mucho antes de que éstas sean conocidas por las herramientas tradicionales.
En el Data Center, la integración de esta tecnología en vSphere, en una modalidad “agent-less” asegurará que este tipo de controles se encuentren en el hipervisor, fuera del sistema operativo y de la superficie de ataque. La integración con la tecnología de NSX, combinará capacidades de EDR y NDR (Network Detection and Response) para reaccionar de igual manera ante tráfico o comportamiento sospechoso de la red. De esta manera VMware se asegura una posición única en su capacidad de ejecutar lo que Gartner denominó XDR.
Aislamiento en el Centro de Datos
En mayo de 2017, comenzaron a aparecer informes de ataque del malware WannaCry en todo el mundo, uno de los mayores incidentes cibernéticos de ransomware hasta la fecha. Fueron registrados más de 200,000 ataques en 180 países, las víctimas incluyen organizaciones de todas las verticales e industrias.
WannaCry apuntaba a equipos con Microsoft Windows, y los controlaba a través de una vulnerabilidad crítica en Windows SMB aunque también utilizaba RDP como un vector de ataque para la propagación. Cifraba los sistemas incautados para luego exigir de un rescate a cambio de descifrar el sistema y devolver el control. La velocidad para propagarse lateralmente hacia otros sistemas en la red fue una de las características clave de WannaCry, y lo es en la mayoría de los ransomware actuales.
¿Qué hubiera sido de WannaCry si luego de controlar un equipo, no hubiese podido comunicarse con otros? Habilitar un modelo de “zero-trust” (confianza cero), incorporando la seguridad directamente en la red del centro de datos, genera perímetros lo más pequeños posibles (micro-segmentación), pudiendo llegar incluso al perímetro de un pod de contenedores o una máquina virtual. El concepto central de zero-trust es permitir solo la comunicación necesaria entre sistemas, asumiendo que todo el tráfico de red, apriori, no es de confianza.
El firewall distribuido de capa 7 de VMware NSX proporciona este nivel intrínseco de seguridad para compartimentar eficazmente el datacenter y contener la propagación lateral de los ataques de ransomware, como en su momento lo hizo con WannaCry. En su última versión, NSX incorporó un motor distribuido de IDS/IPS, inspección avanzada para analizar el tráfico interno este-oeste y detectar esos movimientos laterales de los atacantes incluso en flujos permitidos, lo cual resulta en una aún mayor reducción de la superficie de ataque.
Pero, ¿Cómo podemos saber con exactitud que dejar o no pasar, sin afectar nosotros mismos accidentalmente el funcionamiento de las aplicaciones? NSX Intelligence y vRealize Network Insight, facilitan la implementación de políticas de zero trust en el día 1, y permiten entender y mapear las aplicaciones, para poder implementar zero-trust visualizando mediante alertas tempranas flujos no securizados o anómalos, de manera de poder bloquearlos rápidamente a través de un click.
Al igual que en 2017 con WannaCry, los incidentes de seguridad reportados durante las últimas semanas explotan nuevamente, a más de 3 años de ese sorpresivo día en el mes de mayo, vulnerabilidades en servicios y protocolos de acceso remoto. Con NSX nuestros clientes pudieron eficazmente limitar el impacto (https://blogs.vmware.com/networkvirtualization/2017/05/use-zero-trust-protects-against-wannacry.html/)
NSX permite restringir muy rápidamente el acceso al servicio de RDP o cualquier puerto/servicio/protocolo hasta capa mas alta de OSI, mediante una regla en el firewall distribuido que aplique a cualquier carga de trabajo con, por ejemplo, Sistema Operativo Microsoft Windows, independientemente de la conectividad que tenga.
La combinación de la seguridad de los endpoints y cargas de trabajo en general basada en el análisis de comportamiento y la aplicación de políticas de zero-trust a nivel de red conforman una herramienta muy poderosa para mitigar los riesgos y el impacto de un ataque de este tipo de ransomware.