IAM/weliveSecurity Las amenazas han ido evolucionando y paralelamente los procesos de defensa han debido hacerlo para equiparar las tecnologías de ataque. No obstante, existe una real disparidad entre defensores y atacantes. Esta asimetría se representa en diferentes agendas, motivaciones y herramientas de ataque y evasión.
“LAS AMENAZAS COMPLEJAS SE DETECTAN CON INDICADORES MUY PRIMARIOS”
El crecimiento de la actividad cibercriminal puede apreciarse en el aumento de códigos maliciosos como el ransomware, el ciberterrorismo, la politización del espacio mediante campañas gubernamentales de espionaje, el auge de las botnets y el malware PoS.Entre las características del ciberespacio que favorecen los atracos informáticos, el orador destacó las siguientes:Anónimo: si los atacantes toman los recaudos necesarios, se vuelve muy complicada la identificación de los agresores para la posterior toma de acciones legales.
Abierto: con la vigencia del fenómeno IoT, las conexiones provienen desde diversos dispositivos haciendo más difícil la protección de nuestros espacios digitales y la comprensión del origen del ataque.
Anárquico: la jurisprudencia es un gran problema en el ciberespacio, con leyes y normativas que generan obstáculos a las investigaciones policiales contra ciberdelincuentes.
Armamentizado: en la actualidad los atacantes no requieren conocimientos para generar un gran impacto en la organización.
En este sentido, existe una verdadera necesidad de educación organizacional. Actualmente, es posible encontrar sistemas vulnerados debido a la falta de parches de seguridad para fallas conocidas de antaño. La actualización de sistemas y firmware continúa siendo un problema frecuente.Ayala Rocha destaca que entre las mayores preocupaciones de las organizaciones de hoy se encuentran las APT, ataques DDoS y la haxposición, mientras desmitifica la falacia del atacante interno: “La realidad es que la mayoría de las amenazas tienen una connotación exterior.” Por ello –explica Ayala Rocha– es necesario aplicar seguridad en profundidad para proteger los activos de información.¿Cómo podemos mejorar nuestras defensas?
El consultor señala 5 prácticas para el fortalecimiento de los procesos de protección de la información organizacional:1# Herramientas forenses y detección temprana. Las herramientas prácticas que ayudarán a la detección de intrusiones hacen al estudio de los flujos de red y los paquetes capturados, lo que se conoce como NSM. Además, cada día se vuelve más crucial la inclusión de procesamiento de Big Data en tiempo real, acompañado de interfaces amigables y visualizaciones rápidas para potencializar y abstraer la información relevante.
“LA INDUSTRIA DE LA SEGURIDAD COMBATE PERSONAS, NO LAS HERRAMIENTAS QUE USAN”
En los días que corren, el tiempo de respuesta se mide comúnmente en meses. “En Latinoamérica estamos muy atrasados al respecto”, dice el disertante. Muchas organizaciones ni siquiera saben que han sido comprometidas, por ello es vital potenciar la visibilidad en la red interna, no solo en el perímetro.Para esto contamos con la posibilidad de registrar flujos IP mediante telemetría en dispositivos de red. Esto nos permitirá responder algunas interrogantes sobre el comportamiento de la red: ¿quiénes acceden a los servicios? ¿Con qué protocolos? ¿Cómo se están violando los sistemas? ¿Cuándo se dan estas acciones? Aún más importante… ¿qué es lo que se persigue?“
Las amenazas complejas se detectan con indicadores muy primarios”, enuncia el orador. Es muy importante analizar también el tráfico de salida, crear mecanismos de monitorización en tiempo real y también la realización de un análisis retrospectivo para identificar tendencias en los ataques.
#2 Integración de la ciberinteligencia. La ciberinteligencia intenta agregar un contexto, una visión macroscópica del ciberespacio, al análisis de seguridad. Existen diferentes enfoques, todos igualmente importantes: estratégica, técnica, táctica y operacional.En particular, dentro del primer enfoque podemos adoptar un ciclo de 5 fases: planeación, colección, procesamiento, producción (análisis Cyber Kill Chain y modelo diamante para encontrar la motivación de los ciberdelincuentes) y diseminación (generación de reportes).
#3 Mejorar el proceso de priorización (triaje). Las organizaciones frecuentemente deben administrar inmensas cantidades de información con muy pocos recursos. Existen muchos puntos ciegos en la organización, lo que disminuye abismalmente la capacidad de respuesta. Se deben implementar procesos mensurables de largo alcance e instrumentar métricas (ciclo OODA).
#4 Incrementar el personal de seguridad. “El talento humano se combate con talento humano”, afirma el disertante. No solo se trata de cantidad sino de calidad de analistas de seguridad en la organización. Se pueden aplicar técnicas de Análisis de Hipótesis Competitivas (ACH) para tomar respuestas con base en la evidencia tangible del entorno. La interpretación de datos es fundamental para determinar si los eventos resultan o no amenazas. En estadísticas, el 75% de las organizaciones no poseen un plan de respuesta a incidentes.
#5 Crear un equipo de caza para la defensa ofensiva, buscando indicadores de compromiso para empatar en el juego asimétrico de la explotación de sistemas de seguridad. Se torna importante realizar un análisis de nuestras defensas con base en el enfoque de Cyber Kill Chain y modelo diamante, para intentar acercar los procesos de detección al inicio del ataque.
Para finalizar, Ayala Rocha retoma el concepto de que la industria de la seguridad combate verdaderamente contra personas, no contra las herramientas que ellas usan; esto es, cibercriminales que proactivamente buscan penetrar el perímetro de los sistemas de protección. En este contexto, la ciberinteligencia será clave para hacer frente a las amenazas del mañana.