Los estudios coinciden año tras año: la detección de incidentes IT es una asignatura pendiente en todas las organizaciones. La mayoría de las veces, ni siquiera descubren por sí mismas los ataques, sino que son avisadas por terceros, como investigadores de seguridad o directamente las fuerzas de la ley, cuando el ataque lleva mucho tiempo sin detectarse. Cisco Seguridad ha hecho un gran esfuerzo en este campo, dispuesto a rebajar la media de 200 días para que un incidente sea detectado. Sus soluciones de detección tienen este aspecto muy presente.

Los robos de datos están a la orden del día y, por desgracia, son muchas las organizaciones que no los detectan hasta que el ladrón ha hecho público el robo en Internet y el desastre para su reputación no tiene paliativo. Las soluciones de Cisco ISE, FireSight y TrustSec, reducen la media de 200 días para detectar un ataque en una red corporativa a, aproximadamente, unas 17 horas, lo que permite incluso coger al delincuente con las «manos en la masa» mientras anda aún por la red de la empresa, a la búsqueda de material interesante para exfiltrar.

La razón de que el lapso de tiempo para que una organización detecte un ataque en sus redes sea tan largo es producto de diferentes factores, especialmente tres: los cada vez más existentes dispositivos  susceptibles de ser atacados, la poca madurez de las políticas de detección temprana y la propia obsolescencia de la infraestructura.

Los dispositivos se han multiplicado con los años, aumentando la complejidad de las redes y de la administración del total, al que se ha venido a unir el Internet de las Cosas. Tecnologías inseguras se siguen usando o no actualizando con la periodicidad debida, las actualizaciones de seguridad no son siempre prioridad de la empresa, cuando no son un engorro… y los administradores están cada vez más desbordados por la gran cantidad de información sobre novedades, actualizaciones, etc, lo que hace que de media solo se revisen el 4% de avisos recibidos.

Otra razón es la obsolescencia del software y el Hardware, que se sigue usando incluso más allá de la vida útil que le da el fabricante, o sin instalar las actualizaciones de seguridad recomendadas. Según el Informe de Seguridad de Cisco 2016, el 92% de dispositivos Cisco analizados estaban ejecutando programas con vulnerabilidades conocidas.

A eso hay que añadir, en la mayoría de organizaciones , una deficiente política de detección de ataques y amenazas, que deberían ser monitorizados en tiempo real tanto en la red como en el perímetro exterior. Cuando se detectase una amenaza, deberían activarse automáticamente determinadas medidas para defenderse de ella y poner en cuarentena los dispositivos afectados.

Esta es precisamente la tarea que realizan las soluciones de detección de amenazas de Cisco ISE, FireSight y TrustSec, reunidas en la plataforma «Contención Rápida de las Amenazas Cisco«. Permiten detectar las amenazas a partir de la monitorización del tráfico de la red y poner en cuarentena  de forma automática los dispositivos afectados antes de que un atacante pueda aprovecharlos para lanzar un ataque.

Los sensores dispuestos estratégicamente en la red corporativa son actualizados permanentemente con la inteligencia adecuada para identificar todo código malicioso u otras amenazas, conocidas o desconocidas, que puedan ponerla en peligro. Y si se da el ataque, el sistema es capaz de detectarlo y responder sobre los puntos comprometidos con rapidez y eficacia. El hecho de que todos los elementos formen parte de la misma solución integrada permite altos niveles de ejecución así como compatibilidad entre ellos.

La solución «Contención Rápida de las Amenazas Cisco»

La propuesta de Cisco Seguridad en relación a detección y contención temprana de amenazas comprende los siguientes servicios o productos:

  • Un sensor de amenazas para detectar código malicioso avanzado.
  • Visibilidad de las amenazas gracias al Centro de Gestión FireSight de Cisco, que ofrece inteligencia a través de un análisis contextual automatizado y la calificación de la amenaza, para tomar decisiones automatizadas y rápidas.
  • Automatización para asegurar que los puntos atacados son gestionados de la manera más eficaz, ya sea solucionándoles o poniéndolos en cuarentena. Esta función de automatización la aportan a diferentes niveles las tres herramientas que forman la solución de Cisco Seguridad: FireSight, ISE y TrustSec. FireSight gestiona las amenazas detectadas e instruye a ISE para contenerlas según los criterios establecidos y TrustSec segmenta la red vía software para bloquear el acceso a los puntos infectados.

La combinación de estas herramientas Cisco permite la respuesta a incidentes e incluso limitar las intervenciones del personal de seguridad, gracias a esta solución que permite mitigar los daños de imagen y financieros que supone un robo de datos de clientes.

cartera de soluciones de seguridad para Datacenter