¿Por qué cada VPN necesita un SIEM sólido a su lado?

Las redes privadas virtuales han sido utilizadas por individuos y organizaciones durante la mayor parte de dos décadas. Una VPN crea un túnel seguro que permite transferir información cifrada de un punto a otro. En el mundo de los negocios, hace posible que los empleados se conecten a la red de su organización y envíen y reciban información de forma segura. Las VPN han adquirido un papel más importante considerando el trabajo desde el entorno doméstico en el que nos encontramos.

No está claro cuánto tiempo trabajarán las personas desde casa. Algunas organizaciones ya han demostrado que incluso después de que haya pasado la pandemia, tendrán una parte de su fuerza laboral trabajando de forma remota. El hecho de que más personas estén trabajando desde casa ha llamado la atención de los ciberdelincuentes. Ven el trabajo desde el entorno doméstico como la creación de vulnerabilidades que pueden explotar.

Ataques cibernéticos dirigidos a VPN

Citando a los expertos, Will Ellis de Privacy Australia ha visto que una de las principales formas en que los ciberdelincuentes perpetran sus ataques es intentando penetrar las VPN. Como mencionó, “lamentablemente, en muchos casos, han tenido éxito en los últimos meses. Esto ha llevado a empresas e instituciones gubernamentales a reforzar las medidas de seguridad”.

Tan pronto como los ciberdelincuentes atraviesan la VPN y obtienen acceso a la red de una organización, son como niños en una tienda de golosinas. Pueden navegar a través de la red y los servicios. En su tiempo libre, pueden buscar vulnerabilidades, malas configuraciones y debilidades. No hay límite para el daño que los delincuentes pueden causar una vez que tienen acceso para manipular datos, destruir sistemas o interrumpir datos confidenciales en tránsito.

Recomendado para ti: VPN vs Proxy: ¿Cuáles son las diferencias? ¿Cuál es mejor?

Se necesitan más que medidas de seguridad básicas

La mayoría de las organizaciones ya están siguiendo los pasos básicos recomendados para mejorar la seguridad de su VPN. Esto incluye exigir contraseñas seguras que sean complejas, únicas y cambien periódicamente. El aprovisionamiento o control de acceso basado en roles significa limitar los recursos por grupos. La autenticación multifactor también se está utilizando para usuarios privilegiados o aquellos que necesitan acceder a datos y software confidenciales.

La importancia de estos pasos no debe minimizarse. Una organización se engañaría a sí misma si creyera que estos pasos básicos son todo lo que se requiere para protegerse contra los ataques de ciberseguridad que están en constante crecimiento en sofisticación.

Los ataques sofisticados requieren una solución sofisticada, como una plataforma de gestión de eventos e información de seguridad. Los SIEM son herramientas responsables de recopilar y correlacionar los datos de las herramientas de seguridad que utiliza una organización, incluida su VPN.

Los SIEM permiten que la información recopilada por herramientas de seguridad separadas se recopile para brindar información sobre las amenazas de seguridad que pueden no ser fáciles de obtener al observar los datos por separado. Estas plataformas pueden ayudar a una organización a identificar cuáles son los eventos verdaderamente de alto riesgo y separarlos del ruido.

Por ejemplo, un empleado podría conectarse a una VPN desde la ciudad de Nueva York. Cuarenta y cinco minutos después, ese mismo empleado se conecta a la VPN de la organización desde Minneapolis, MN. Una plataforma SIEM debería poder decir que esto es físicamente imposible y luego marcarlo como un comportamiento sospechoso que debe investigarse.

¿Cómo una Plataforma SIEM puede beneficiar a su organización?

Las soluciones SIEM ofrecen detección de amenazas en tiempo real. Aumentan la eficiencia, reducen los costos, minimizan las amenazas potenciales, mejoran los informes y el análisis de registros e impulsan el cumplimiento de TI. Dado que las soluciones SIEM pueden conectar registros de eventos de varios dispositivos y aplicaciones, el personal de TI puede identificar, responder y revisar posibles violaciones de seguridad rápidamente. Cuanto más rápido se identifica una amenaza a la ciberseguridad, menor es el impacto que puede tener. A veces, el daño se puede prevenir por completo.

Las plataformas SIEM permiten que un equipo de TI tenga una visión general de todas las amenazas de las que las herramientas de seguridad de una organización la protegen. Una sola alerta de un filtro de malware o antivirus puede no ser tan importante, o puede no dar la alarma. Sin embargo, si hay una alerta del cortafuegos, el filtro antivirus y la VPN simultáneamente, esto podría indicar que se está produciendo una infracción grave. SIEM recopilará alertas de diferentes lugares y luego las mostrará en una consola centralizada, maximizando los tiempos de respuesta.

Te puede interesar: VPN vs RDS vs VDI: ¿Qué elegir para un acceso remoto seguro?

¿Cómo ayuda SIEM a mitigar los riesgos de seguridad en un entorno de trabajo desde casa?

La pandemia de coronavirus ha obligado a las organizaciones a hacer la transición del personal en el sitio a una fuerza laboral completamente remota más rápido de lo que se repararon muchas organizaciones. Esto significaba que tenían que lograr un equilibrio y posiblemente un compromiso entre brindar un servicio constante a sus clientes y mantener un alto nivel de ciberseguridad.

La configuración manual de reglas y defensas que podrían manejar con éxito este cambio requiere mucho tiempo. Las organizaciones que aún no usaban plataformas SIEM jugaron un juego frustrante, peligroso y costoso de ponerse al día en las primeras semanas de las órdenes de quedarse en casa.

Las organizaciones que ya usaban SIEM podrían hacer la transición más fácilmente. Debido a que tenían un sistema integral que aprovechaba el análisis de comportamiento y el aprendizaje automático, podían adaptarse automáticamente a los cambios en el entorno de trabajo. Esto quita mucho estrés a sus equipos de TI.

Uno de los principales beneficios del análisis de comportamiento es la capacidad de observar una actividad normal de referencia para una organización y sus usuarios y luego detectar automáticamente y hacer sonar la alarma cuando hay desviaciones de esa actividad normal. De esta forma, los controles de seguridad de una organización son flexibles y pueden cambiar a medida que cambia el entorno empresarial. Se ajustan automáticamente como cosas nuevas, por ejemplo, cómo los empleados que trabajan desde casa se han convertido en la nueva normalidad.

Usando SIEM para detectar y mitigar el daño causado por el Fraude de CEO

El entorno de trabajo en casa ha hecho que la comunicación por correo electrónico sea más importante que nunca. Esto se debe a que la interacción cara a cara que era parte del trabajo en una oficina se ha ido. Desafortunadamente, debido a que se envía una ráfaga de correos electrónicos de un lado a otro, existe la posibilidad de que se envíen correos electrónicos fraudulentos en nombre de la gerencia, los directores u otras personas responsables.

El fraude del CEO es una forma relativamente nueva de ciberdelito. Los ataques de ingeniería social se utilizan para engañar a una persona de la organización para que envíe dinero o información confidencial a la persona o personas que perpetran el fraude.

El fraude del CEO existía antes de COVID-19. Se estima que en solo tres años podría generar más de $2.300 millones en pérdidas. Cuando las personas trabajaban en un entorno de oficina donde tenían contacto uno a uno con la gerencia, muchas organizaciones pensaron erróneamente que les era fácil identificar las estafas por correo electrónico por sí mismas.

Sin embargo, al revisar los casos de fraude de CEO, está claro que los estafadores y la víctima se comunicaron múltiples correos electrónicos de ida y vuelta sin que la víctima se diera cuenta. El fraude del director ejecutivo es un tipo de fraude sofisticado y prácticamente imposible de detectar sin las herramientas adecuadas. Si fue difícil captarlo en el entorno de oficina relativamente seguro, imagínese captarlo ahora con los empleados dispersos y la cantidad de contacto cara a cara reducido.

El fraude del CEO se presenta de dos maneras. Uno es cuando se piratea la cuenta de correo electrónico de un alto directivo. El otro es cuando se envía un correo electrónico desde un dominio similar al dominio comercial legítimo. En primera instancia, los estafadores pondrán en peligro las cuentas de correo electrónico de los empleados senior. En el segundo caso, el typosquatting se utiliza para engañar a los empleados haciéndoles creer que han recibido información de personas en puestos de supervisión.

Una solución SIEM puede ayudar. Permite a una organización adelantarse a los riesgos de credenciales comprometidas. Si un director ejecutivo, gerente u otra persona en un puesto de responsabilidad ve comprometida su cuenta de correo electrónico, las soluciones SIEM pueden ayudar a identificar y detener la infracción antes de que suceda. Esto se debe a que las soluciones SIEM están monitoreando datos a través de su red. Esto incluye servicios de directorio activo, O365, firewalls, unidades de almacenamiento, Salesforce y más.

Una vez que toda la información se haya publicado en el SIEM, los datos se recopilarán, correlacionarán y examinarán mediante análisis avanzados. El objetivo es encontrar indicadores de compromiso o encontrar patrones que muestren si se está produciendo un comportamiento sospechoso. Esta información se puede registrar y enviar inmediatamente al equipo de seguridad de una organización.

Dado que esto sucede en tiempo real, muchos ataques se pueden prevenir antes de que tengan un efecto dañino. El aprendizaje automático avanzado se puede entrenar para identificar ataques lentos que se cuelan en la red. Se pueden detectar patrones inusuales de actividad y pueden mitigar las amenazas antes de que sucedan. Pueden usar estos mismos enfoques para identificar otros tipos de amenazas de correo electrónico, como las estafas de phishing selectivo. Aquí nuevamente, vemos el poder que tiene una solución SIEM para agregar valor que no se ofrece desde una VPN.

También te puede interesar: NordVPN vs SiteLock VPN: ¿cuál es mejor para ti?

Uso de la información obtenida de SIEM para mejorar la ciberseguridad

Cuando se detectan anomalías, las organizaciones pueden implementar protecciones para evitar futuros compromisos. Un paso puede ser educar a los empleados sobre las amenazas de ciberseguridad a las que se enfrentan. Al mostrar a los empleados los diferentes ataques que se intentaron, se les anima a mitigar el comportamiento de riesgo.

Algunos consejos de prevención que pueden parecer de sentido común para un equipo de TI pueden ser pasados ​​por alto por los empleados. Por ejemplo, se debe recordar a los empleados que ignoren los correos electrónicos no solicitados que exigen una respuesta inmediata. Se les debe alentar a verificar con frecuencia las direcciones de correo electrónico y los dominios del remitente y compararlos con las direcciones de correo electrónico y los dominios genuinos. Se debe recordar a los empleados que no abran archivos adjuntos inesperados y que tengan más precaución cuando reciban correos electrónicos de remitentes no reconocidos.

Lo cierto es que los ciberdelincuentes no dejarán de buscar vulnerabilidades. Las organizaciones necesitan protegerse a sí mismas, a sus datos y a sus empleados mediante el uso de funciones de seguridad como VPN, herramientas antivirus y protección contra malware y luego realizar copias de seguridad de estos con plataformas SIEM.