Compañías en México y Latinoamérica podrían perder la batalla contra la ciberdelincuencia si no están preparadas para detectar, analizar y responder ante cualquier tipo de amenaza. Actualmente los ataques pueden ser identificados y prevenidos incluso antes de que se concreten, así lo informó Arbor Network.
La mayoría de los ataques de amenazas avanzadas que tuvieron éxito en los últimos dos años no se aprovecharon de una vulnerabilidad crítica, y muchos de ellos no utilizaron un malware como herramienta para atravesar las defensas del objetivo. Los cibercriminales gozan de ventajas inalcanzables en este medio, es difícil identificarlos técnicamente, son muy competentes y cuesta mucho más procesarlos legalmente.
Para Carlos Ayala Rocha, Solution Architect LATAM para Arbor Networks, el 100% de las organizaciones tienen un cierto nivel de compromiso, hay algunas que lo saben y tratan de combatirlo, mientras hay quienes están comprometidos y simplemente no se enteran y creen que nunca les ha pasado, pero el especialista se pregunta: ¿cómo saben que no les ha sucedido si no han llevado a cabo un análisis? La planeación de un ataque puede tomar meses; sin embargo la ejecución de un ataque exitoso puede tomar únicamente horas.
Ante esta situación, Ayala Rocha destacó los Cinco puntos para mejorar la detección y respuesta ante amenazas avanzadas, los cuales son básicos en una estrategia de seguridad ya que le permitirá a una organización conocer a los atacantes antes de que ellos lo hagan.
1) Implantación de herramientas de detección temprana y forense. Tener visibilidad total de lo que está pasando en materia de riesgo contribuye a una detección oportuna de amenazas o de actividades anómalas. Para ello se requieren de soluciones específicas, tales como la Monitorización de la Seguridad de la Red (NSM, por sus siglas en inglés) a fin de obtener datos de múltiples fuentes como sea posible, utilizar herramientas que digieran y analicen grandes cantidades de datos en tiempo real, e incorporar interfaces amigables para hacer consultas en lenguaje natural y visualizaciones rápidas.
Carlos Ayala informó que la automatización de la detección y la aplicación de revisiones y controles periódicos son los métodos más populares actuales, sin embargo existen herramientas que ofrecen una visibilidad total de la actividad de la red con un análisis de paquetes y flujos en tiempo real, y mediante una búsqueda rápida y sencilla en la actividad de los meses pasados, “nos permite tener históricos de largo tiempo ya que hay amenazas complejas que requieren análisis de mucha información por periodos prolongados”.
2) Integración de Ciber inteligencia de amenazas y Respuesta a Incidentes. La generación de ciber inteligencia cobra amplio valor, debido a que facilita la toma de decisiones a través de una visión razonada de posibles ciber amenazas futuras; busca proporcionar múltiples fuentes de información para agregar contexto, así como tener una visión macroscópica de lo que sucede en el ciberespacio con el objetivo de mejorar el proceso de Respuesta a Incidentes.
Carlos Ayala informó que como proveedores de soluciones de seguridad deben aplicar el ciclo de ciber inteligencia de amenazas (ASERT) que está relacionado con la identificación de la necesidad de inteligencia de cada cliente, instrumentación de procesos y gente, cambios en la arquitectura.
La ciber inteligencia reside inicialmente en los datos y las capacidades técnicas para recopilarlos y analizarlos; sin embargo, éstas deben desarrollarse a tal grado que la información analizada pueda ser distribuida a lo largo de toda la organización de forma entendible a todos los niveles. Existen cuatro niveles de inteligencia: Inteligencia Estratégica, Táctica, Técnica y Operacional, lo cual supone roles y responsabilidades que deben ser cubiertos con diferentes objetivos y capacidades.
3) Mejorar el proceso de priorización (triaje). La razón por la que las organizaciones tienen dificultad para enfocarse en lo importante no solo es por la naturaleza avanzada de las amenazas, sino porque tienen muchos datos por analizar. Por lo tanto, se requieren procesos analíticos de largo término, con múltiples fuentes de información para enfocarse en lo significativo y proporcionar Conciencia Situacional.
Al respecto, Carlos Ayala comentó que las organizaciones no deben perder tiempo en falsos positivos o en información que no aporta tanto valor ni tiene contexto. “Nuestra tecnología se basa en clasificación y priorización para que los recursos que estén en campo estén bien utilizados; además maneja tableros muy visuales”, indicó.
4) Incrementar el personal de seguridad. “La asimetría contra los adversarios se combate con talento humano; las herramientas son necesarias, y los procesos guías pero quien instrumenta ambos son las personas”, destacó el especialista. Agregó que no solo se trata de cantidad sino de calidad de analistas de seguridad en la organización, y sobre todo de técnicas de Análisis de Hipótesis Competitivas (ACH) para tomar respuestas con base en la evidencia tangible del entorno.
“La mayoría de las organizaciones no crea hipótesis, todo es con base en lo que creen, piensan o sienten. Tenemos que enseñarle a la gente que está en campo, a los analistas de inteligencia, a crear hipótesis y refutar incluso indicadores. Comúnmente qué pasa: hay un indicador y entonces el analista crea todo una historia, a veces no le interesa ni contrastarla o refutarla”, opinó Carlos Anaya.
5) Crear un equipo de caza. Si las organizaciones no tienen un equipo de caza están perdiendo la batalla contra la ciberdelincuencia. Requieren de un equipo activo de caza para que la ciber inteligencia de amenaza tenga un impacto positivo en la organización. “Necesitamos entender las amenazas de cada empresa analizando las intrusiones y usando modelos como Cadena de progresión de la amenaza (Cyber Kill Chain) y Modelo diamante”, dijo el especialista.
De acuerdo con un estudio realizado por SANS, el directivo citó que el 74% de aquellos que implementan caza de amenazas redujo la superficie de ataque, mientras que el 59% mejoró la velocidad y precisión de la respuesta usando caza de amenazas. Por otro lado, el 52% mencionó que las técnicas de caza encontraron amenazas previamente no identificadas en la organización.
