La mayoría de las organizaciones fracasan estrepitosamente a la hora de defenderse de los ataques cibernéticos y la intrusión de ransomware. Esa es la opinión de James Blake, CSO de EMEA en Cohesity, quien habló con Computer Weekly sobre las características clave del servicio Datahawk lanzado recientemente por la compañía de respaldo y su iniciativa Data Security Alliance.
“He visto cómo la gente hace defensa y por qué fallan miserablemente”, dijo Blake, quien agregó que la seguridad a menudo ha tenido presupuesto y personal, pero no inteligencia real.
“No existe una correlación lineal real entre el gasto y el personal y la capacidad operativa”, dijo. “Las normas [of any defensive scanning capability] nunca puede estar por delante del adversario. El atacante siempre tiene la ventaja de ser el primero en moverse.
“Y luego, aún debe asumir que las defensas se construyen con buenos procesos y se mantienen las reglas, y ese no es el caso”.
Entonces, dijo Blake, una gran parte de lidiar con cualquier ataque de ransomware es abordar con éxito el impacto y la recuperación del ataque.
Eso significa poder restaurar las últimas copias limpias de datos que no se hayan dañado.
Para abordar esto, Cohesity, que es un proveedor de dispositivos y software de respaldo en esencia, identifica datos limpios utilizando información de inteligencia de amenazas con licencia de Blue Hexagon de Qualys como parte de su iniciativa Data Security Alliance.
“La idea es detener el desarrollo del proceso de ransomware antes de que llegue a las etapas finales (exfiltración e impacto) en el modelo de 14 etapas de Mitre Attack”, dijo Blake.
Eso sucede al detectar patrones de firma en las copias de seguridad para identificar un punto de recuperación seguro sin artefactos maliciosos, agregó.
Mientras tanto, la funcionalidad de Datahawk busca proactivamente la actividad relacionada con el sistema de archivos en los sistemas empresariales, dijo Blake.
Estos incluyen cambios en el sistema de archivos, eliminación de archivos ejecutables asociados con procesos de ransomware. “Cualquier cosa que toque el sistema de archivos”, dijo. “Droppers y archivos temporales que se inician cuando alguien hace clic en un correo electrónico, por ejemplo”.
Otras capacidades incluyen la auditoría y clasificación de datos para comprender el posible impacto de un ataque.
“La computación y el almacenamiento se están convirtiendo en commodities”, dijo Blake. “Lo importante son los datos. Y es vital entender dónde están esos activos. Si hay un impacto en el sistema, necesita saber qué hace”.
“Datahawk aprovecha los datos en la plataforma de gestión de datos para clasificar datos críticos y PII [personally identifiable information] para permitir que el cliente comprenda qué datos han dejado el negocio y qué impacto podría tener”.
Mientras tanto, Cohesity también ha llevado el almacenamiento cibernético de Fort Knox a Datahawk. Esta es su opinión sobre cómo poner los datos fuera del alcance de los atacantes.
Para la empresa, esto significa almacenar datos en el sentido de que son invisibles en la red. En otras palabras, dijo Blake, “no se puede descubrir, no se monta, pero se puede recuperar en un lugar elegido”.
El enfoque de Cohesity contrasta con otros proveedores, que utilizan instantáneas inmutables o la funcionalidad de almacenamiento inmutable en el almacenamiento de AWS S3.
Cohesity, al igual que otros proveedores, solo hace que dichos datos sean accesibles a través de la autenticación de múltiples factores, pero utiliza el concepto de una “sala limpia” en la que se pueden montar los datos antes de volver a ponerlos en producción.
La compañía anunció su Data Security Alliance en su ReConnect Summit el mes pasado. Reúne a 12 empresas asociadas con experiencia en gestión de seguridad cibernética y seguridad de datos, incluidas Palo Alto Networks, Cisco, BigID y Splunk.
Mientras tanto, DataHawk es una oferta de software como servicio (SaaS) que combina la Fort Knox servicio de bóveda de datos con escaneo y detección de amenazas y clasificación inteligente de datos en una sola oferta. Un cliente debe comprar DataProtect antes de agregar servicios como DataHawk.