Un ataque de ransomware es terrible para los consumidores, los empleados y las empresas. Ya es posible colocar un precio la recuperación. Según un informe elaborado por el FBI y publicado en abril de 2016, “los cibercriminales recaudaron US$ 209 millones durante los primeros 3 meses del año extorsionando a empresas e instituciones con el fin destrabar sus datos con sus computadoras o servidores”. Una incidencia típica de ransomware puede resultar en el cobro de US$ 10.000 o más; según ocurrió como el Centro Médico Presbiteriano de Hollywood, que desembolsó US$ 17.000 en febrero.
Los costos de recuperación frente a una incidencia de ransomware u otro ciberataque son suficientemente conocidos y asimilados por las organizaciones. Sin embargo, ¿cuánto debería gastar una organización para prevenir tales ataques? Los CEOs y otros ejecutivos aceptan la necesidad de invertir en ciberprotección. La mala noticia es que es difícil determinar si están invirtiendo con sabiduría, y no incurriendo en gastos excesivos motivados por el temor. La buena noticia es que hay formas de gastar con inteligencia; es decir, mejorando la seguridad pero reduciendo a la vez los gastos. Luego abordaremos esa perspectiva, pero primero demos un vistazo a una de las mayores fuentes de ataque que enfrentan actualmente las empresas: sitios web que pueden transmitir malware, incluyendo ransomware.
La web puede causar estragos
Optamos por examinar sitios web por dos razones. En primer lugar, el riesgo puede ser reducido o eliminado con las actuales soluciones comerciales. En segundo lugar, los sitios web son uno de los vectores más frecuentes de malware (junto con correo electrónico maligno), al poder proporcionar un punto de entrada para muchos otros tipos de ataques y hacks. Al bloquearse el acceso a la web, es posible reducir los riesgos generales de ciber seguridad.
Actualmente hay más de 550 millones de variantes de malware, según queda constatado en un informe de AV-TEST, con más de 390.000 nuevos programas malignos siendo detectados a diario. Éste número es formidable. Transcribo alguna de las formas en que el malware llega a la computadora del usuario. Y desde este punto, el malware puede acceder a todo lo que contenga esa computadora y a los demás recursos de la red empresarial:
– El usuario hace clic en un email de phishing, o un email de spear phishing adaptado específicamente, que lleva a un sitio web que contiene malware.
– El usuario abre un documento que contiene un enlace; y este enlace lleva a un sitio web que contienen malware.
– El usuario hace clic en un enlace en una red social (como Facebook o Twitter), que lleva a un sitio web que contiene malware.
– El usuario hace clic en un enlace contenido en un sitio web de confianza (como un sitio de noticias), que lleva a un sitio web que contiene malware.
– Operadores malignos infectan un sitio web de confianza, programándolo para entregar malware a los visitantes, incluso cuando estos no hagan clic en ningún enlace.
– Operadores malignos intervienen una red de distribución de contenido, herramientas de monitorización de usuarios u otros componentes del sitio web, programándolos para entregar malware a los visitantes.
En muchos de los casos, el usuario final no hizo absolutamente nada equivocado, pero de todas formas su sistema es infectado. Al bloquear acceso a los sitios no categorizados se reduce el riesgo de infección de malware, pero incorpora una serie de problemas a un costo desconocido; como por ejemplo más consultas servicios de soporte. Al permitirse el acceso a sitios no categorizados, la organización queda expuesta a un riesgo mayor, aumentándose a la vez el número de alertas de seguridad. Lamentablemente, al hacerlo se coloca a los administradores en una situación en la que no pueden salir vencedores.
Los problemas de permitir el acceso a sitios no categorizados
– Riesgo: el riesgo de malware resultante de permitir el acceso a sitios no categorizados es mayúsculo. Una empresa de gran envergadura, parte de la lista Fortune 50, dio a su equipo de investigaciones de seguridad la tarea de analizar las fuentes de infecciones de malware durante un período de 3 meses. El informe interno reflejó que más del 60% de las infecciones provenían de sitios no categorizado 2. Estas infecciones son costosas debido a que una gran empresa puede dedicar, en promedio, 600 horas semanales a combatir el malware. Considerando un gasto de US$82 por ingeniero, multiplicado por 52 semanas, multiplicado por 600 horas semanales, el gasto anual asciende a US$2.5 millones anuales.
– El costo de sanear las máquinas infectadas. El saneamiento puede ser bastante costoso: Un proveedor de servicios en Asia se vio la necesidad de formatear un promedio de 8 dispositivos endpoint semanales, por no creer que sería posible desinfectarlos exitosamente utilizando las soluciones antivirus tradicionales. Un análisis interno concluyó que esta práctica les reportaba un gasto de US$ 3-4 millones en TI pérdida de productividad.
– Costos en ingeniería de operaciones (SOC): el acceso a sitios no categorizados implica un mayor número de alertas de seguridad. En Japón, en la mayoría de las industrias reguladas, cada alerta activada por cada producto de seguridad debe ser analizada exhaustivamente para determinar el nivel de daño en endpoints. Según Ponemon Institute, dos terceras partes del tiempo destinado por el personal de seguridad a responder las alertas de malware es desperdiciado debido a inteligencia fallida. Esto cuesta a las organizaciones un promedio de US$ 1.27 millones anuales, por la pérdida del tiempo en responder a alertas de malware erróneas o inexactas.
– Rotación de ingenieros SOC: El tiempo promedio en que los ingenieros SOC permanecen en sus empleos es de aproximadamente un año, al cabo del cual renuncian debido a la fatiga que les ocasiona su estado de alerta permanente; es decir, son desbordados por el trabajo repetitivo de tener que responder a todas estas alertas de seguridad. Los costos de reclutar personal para esta área son elevados, y es cada vez más difícil encontrar ingenieros SOC cualificados. Esto se debe a que los ingenieros recién egresados se ve más tentados por crear apps que por aprender seguridad y análisis forense, junto a una escarpada curva de aprendizaje, donde se requiere un alto nivel de conocimientos, que permitan dar sentido a los complejos temas con que trabajan.
Considerando que el salario base es de US$170,000 y el típico coste de 25%, teniendo como punto de partida una renovación del 40% de este personal en un equipo de 5 personas, sólo los gastos de captación de personal ascienden a US$ 85.000 anuales. Considerando que los dos ingenieros SOC restantes deberán dedicar el 25% de su jornada laboral para capacitar a sus dos nuevos colegas, el coste adicional es de US$ 85.000 anuales. Al sumar ambos gastos, el importe total queda en $170,000 anuales.
Los problemas de negar el acceso a sitios no categorizados
– Ambito: Al negar el acceso a sitios no categorizados se crea un gran número de solicitudes de recategorización. Tenemos el caso de una empresa global de inversiones, donde el número de tales solicitudes fue de aproximadamente 2000, para una plantilla de 250.000 empleados. Más del 75% de esta solicitudes no estaban relacionadas con ámbito laboral de la empresa, y su temática era, por ejemplo, investigación veterinaria, escuelas, liga infantil de fútbol, etc.
Con más de 5 personas dedicadas a analizar las solicitudes, el tema se hizo frustrante y costoso, con un gasto de aproximadamente 850.000 dólares anuales.
– Expertos en recategorización: la recategorización es un proceso manual. Un proveedor de seguros y un gran fabricante japonés se vieron inundados con tales solicitudes cuando comenzaron a bloquear el acceso a sitios no categorizados. El problema se agravó por el hecho que su enlace a la web no les permitía determinar la seguridad de los sitios en cuestión. Las organizaciones tenían 16 y 5 analistas de seguridad dedicados, respectivamente, analizar los sitios antes de su recategorización.
También está el caso de otra empresa global de servicios financieros, con una plantilla de 20 empleados en todo el mundo dedicados, en sus propias palabras, “a crear nuevamente el índice de Yahoo”. Con un personal de 5 personas dedicadas a SOC, este equipo costaba la empresa una inversión de US$ 3 millones anuales.
Visto de otro modo, el bloqueo de sitio no categorizados evita que los usuarios accedan a contenidos legítimos, lo que compromete la productividad, junto con generar solicitudes de reclasificación de contenido bloqueado. Mientras tanto, al permitirse el acceso a sitios no categorizados también se está abriendo la puerta a más malware y ataques de phishing, que pueden afectar a los usuarios. Esto, a su vez, conduce a violaciones y cuantiosas pérdidas mediante el robo de datos y el fraude.
Aparte de los problemas ocasionados a los usuarios, es muy costoso (a menudo imposible) para el personal de TI dar seguimiento a todas las alertas generadas por sitios no clasificados, lo que resulta en altos costos y la reducción de la seguridad. Usted simplemente no puede ganar con un enfoque tradicional.
Una estrategia más eficaz: aislamiento
Por su naturaleza, la tecnología de aislamiento no abre los sitios web que considera peligrosos en el dispositivo del usuario final; ya sea una computadora portátil, un smartphone u otro tipo de dispositivo. En lugar de ello, abre el sitio web en un contenedor virtual seguro en una plataforma basada en la nube. El usuario final interactúa con el sitio a través de una tecnología que genera una experiencia de usuario que en nada se diferencia del acceso directo.
Mediante la ejecución de sesiones que no son realizadas en el endpoint, y que hace posible renderizar la información de manera segura en los dispositivos, los usuarios están protegidos contra el malware y otras actividades malignas. De esa forma, el malware pierde toda posibilidad de habilitar una ruta hacia el endpoint, mientras que el contenido legítimo no tiene por qué ser bloqueado en interés de la seguridad. Los administradores pueden hacer que Internet sea más asequible para sus usuarios, eliminando a la vez el riesgo de ataques.
El aislamiento pone fin a una situación que, en principio, representaba un callejón sin salida:
– Riesgo: considerando que no hay contenido web activo que llegué al endpoint, los sitios no categorizados representan un riesgo cero.
– Costo de desinfección de máquinas infectadas: el aislamiento elimina la web como un vector de amenazas de malware, lo que reduce rápidamente el número de máquinas que deban ser reconfiguradas.
Se reduce la urgencia de parchear las máquinas para todos los usuarios, para cada navegador, y para cada vulnerabilidad de extensiones.
Los costos de SOC
– El aislamiento detiene las amenazas antes que éstas sean detectadas por las soluciones tradicionales, eliminando las alertas de malware erróneas o inexactas.
– Rotación del personal SOC: la fatiga que ocasiona la alerta constante se reduce al mínimo, y lo mismo ocurre con la rotación del personal SOC.
Número de incidencias:
Los empleados aumentan su productividad, quedando en libertad de explorar la web con seguridad, sin las constantes solicitudes de reclasificación.
– Expertos en reclasificación: al eliminarse las solicitudes de recategorización, se elimina la necesidad de contar con costosos expertos. Paralelamente, desaparece la necesidad de instalar software la computadora de escritorio, portátiles o dispositivos móviles del usuario final; no sólo se ahorra tiempo y dinero del presupuesto de TI, sino también se está eliminando la preocupación de mantener actualizado el software instalado en el endpoint.
Con más de 550 millones de variantes de malware, y cientos de miles de nuevos programas malignos siendo descubiertos todos los días, el enfoque tradicional de detección de malware tiene muchos costos ocultos en cuanto a tiempo, talento y dotación de personal, como asimismo en el costo de compra y mantenimiento de los productos de seguridad.
Por Kowsik Guruswamy, director de tecnología, Menlo Security, comentando el white paper El Costo Oculto del Negocio de la Seguridad de la Web
