Stormshield y la detección de los ciberataques del futuro

Los profesionales de la ciberseguridad se mueven continuamente entre el presente y el futuro, la reacción y la anticipación. Por su parte, los ciberdelincuentes, cada vez más innovadores, buscan continuamente superar la tecnología y atacar los puntos ciegos de las soluciones de detección y protección corporativas.

Esto significa que para anticiparse a las amenazas futuras no basta con apoyarse en herramientas de análisis como SIEM (Security Information & Event Management) y en algoritmos, sino que es necesario desarrollar una metodología de control y protección que se adapte al entorno de trabajo. Esta ecuación incluye una mezcla de auditoría, ajuste y comprensión de los datos e inteligencia colectiva. Adicionalmente, la combinación de conocimiento sobre el atacante, la detección de amenazas y el uso sistemático de los SOC (Security Operation Center) forman una base sólida.

Un problema aún mayor supone el mundo industrial. La convergencia TI/OT y la aparición de la Industria 5.0, que vuelve a situar al ser humano en el centro de la fábrica, están acentuando aún más las áreas de riesgo en los entornos de producción; la primera facilita el movimiento lateral del ransomware de un entorno a otro, mientras que la segunda aumenta aún más la dependencia de los individuos de sus entornos informáticos.

Para proteger estos entornos, una opción es la aplicación sistemática de auditorías de cumplimiento de las máquinas de producción y de auditorías de seguridad de las infraestructuras de TI y OT, lo que debería garantizar que las redes quedan segmentadas y se aplican buenas prácticas de ciberseguridad.

Otra opción es aumentar el número de sondas de detección en los entornos de TI y OT, a fin de proporcionar a los analistas del SOC indicadores de ataques. Sin embargo, antes de poder utilizarlos, estos datos tendrían que ser correlacionados, contextualizados y compartidos en forma de flujo CTI, con el objetivo de capitalizar el conocimiento del atacante y su modus operandi.

A la espera de que estas dos orientaciones se hagan realidad, una combinación de herramientas de detección y protección sigue siendo la mejor solución para garantizar la seguridad de las infraestructuras industriales.

En el caso de los entornos más críticos, la llamada seguridad desconectada (que impide cualquier intrusión informática desde el exterior) es una solución radical. Estas infraestructuras no se comunican con Internet y, por tanto, los equipos informáticos solo las actualizan manualmente y caso por caso. Pero incluso en estos entornos remotos, el episodio de Stuxnet demostró que pueden producirse ataques directos a las máquinas.

Mientras llega ese futuro, los cortafuegos Stormshield Network Security ofrecen una solución para detectar (IDS, Intrusion Detection System) y prevenir (IPS, Intrusion Prevention System) los ataques más sofisticados. También, facilitan una búsqueda de protocolos dirigida y una protección de firmas: la solución Stormshield proporciona un sistema de prevención de intrusiones de alta calidad que garantiza la disponibilidad y la integridad de los sistemas, evitando al mismo tiempo una gran cantidad de falsos positivos.

Adicionalmente, el equipo de inteligencia sobre ciberamenazas de Stormshield cumple dos misiones fundamentales: estudiar estas para comprenderlas, así como mejorar de manera continua la protección de los productos Stormshield. En definitiva, el objetivo de todo ello es contribuir al esfuerzo de la comunidad de ciberseguridad para hacer frente a las todas las ciberamenazas actuales y del futuro.