A principios de mes publicamos un artículo sobre un ataque de día 0 a Windows 11, el fin de semana pasado anunciamos una alerta por la vulnerabilidad de día 0 Apache Log4j, es clara la tendencia de este tipo de ataques y notamos que nuestra audiencia tiene muchas dudas y opiniones sobre el tema, por ello en Nova decidimos dedicar algunos artículos a este tópico y presentar nuestra investigación a aquellos que la necesiten.
¿Qué son las amenazas de día cero?
Aquellos fallos de seguridad nuevos que son explotados antes de que los proveedores de seguridad los noten, por tanto, no existe protección específica para combatirlos. Los desarrolladores descubren una amenaza de día cero únicamente después de un ataque, por ello tienen cero días de advertencia para crear un parche.
Si un hacker identifica una vulnerabilidad de software, empieza a trabajar para aprovecharla, aquí empieza una carrera, ¿podrá hacerlo antes de que los desarrolladores de software la detecten también y creen una solución?
Estos programas maliciosos aprovechan la vulnerabilidad de sistemas y aplicaciones para sus ataques hasta que se identifica y los desarrolladores crean un parche para corregir la vulnerabilidad, pero, la publicación de estos parches lleva algún tiempo y los sistemas están en peligro mientras no se apliquen estas correcciones, muchas veces incluso después de la publicación de parches, si el área de seguridad de TI no despliega los parches en su red, el riesgo sigue vigente.
¿Qué hacer para evitar este tipo de amenazas?
Se recomienda crear una estrategia de ciberseguridad robusta y mantener especial atención a las alertas de amenazas de día cero, la mejor protección se consigue desde varios puntos, algunos de los más importantes son:
Firewall: Estas soluciones funcionan como filtros para permitir solo el tráfico necesario de información, manteniendo al mínimo el peligro de amenazas
Correcta gestión del inventario de activos de TI: Es clave tener visibilidad de todo el parque informático para poder mantener actualizados los parches que los proveedores facilitan, al mismo tiempo, eliminar del sistema aplicaciones obsoletas que muchas veces son el origen de ataques.
Seguridad por capas: Implementar una estrategia integral de seguridad de la información permite tener controles definidos, el concepto de múltiples capas argumenta que es mejor colocar varias capas de defensa consecutivas en lugar de una línea única muy fuerte.
El modelo de seguridad por capas funciona de la siguiente manera:
1. Directivas, procedimientos y concienciación
- Orientada a las personas:
- Políticas
- Procedimientos
- Campañas de concientización
- Cultura de Seguridad Informática
2. Perímetro
- Orientada a proteger la red interna de ataques externos:
- Firewall
- Data Loss Prevention (DLP)
- Intrusion Prevention System (IPS)
- Distributed Denial of Service (DDoS)
- Wireless Security
- Virtual Private Network (VPN)
3. Red Interna
- Orientada a proteger la red interna de ataques internos:
- Virtual LAN (VLAN)
- Network Access Control (NAC)
- Access Control List (ACL)
- Secure Socket Layer (SSL)
- Network Intrusion Detection System (NIDS)
4. Host
- Orientada a proteger los dispositivos de la red interna:
- Desktop Management
- Patch Management
5. Aplicación
- Orientada a proteger las aplicaciones:
- Desarrollo Seguro de Aplicaciones
- Web Application Firewall
- Identity and Access Management (IAM)
- Demilitarized Zone (DMZ)
- Virtual LAN (VLAN)
- Patch Management
6. Datos
- Orientada a proteger los datos:
- Data Loss Prevention (DLP)
- Cifrado de la Información
- Respaldo / Réplica de Información
- Disaster Recovery Plan (DRP)
- Data Access Audit
Aunque existen muchas opciones en cada capa, tu estrategia de ciberseguridad debe ajustarse a las necesidades de tu organización, para más información Contáctanos
No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.
Consulta las fuentes de este artículo aquí:
#NovaInforma
