Gajus - stock.adobe.com
La industria de seguridad avanza y se actualiza en la gestión de riesgos y amenazas
En el mercado ya están disponibles plataformas de seguridad que permiten habilitar una práctica de respuesta a incidentes y cacería de amenazas diseñada para los equipos de SOC.
Los ciberataques que están afectando a las organizaciones globales son cada vez más complejos en sus arquitecturas, comportamientos, métodos de propagación e impactos en la operación, lo que finalmente se traduce en una afectación a la imagen corporativa, pérdidas de dinero, etcétera.
Así lo considera Alejandro Pérez, gerente de la Región Cono Sur en SonicWall, quien además señala que, por otro lado, la digitalización de las compañías conlleva una serie de nuevos desafíos como la visibilidad y la seguridad de cada punto que conforma la red, en donde también incluye a los usuarios conectados de manera remota a la empresa, accediendo a servicios de su oficina central, de centros de datos de terceros y correos u otros aplicativos en nubes públicas.
«Dicho lo anterior, ‹conocer lo desconocido› es clave para la detección oportuna de las amenazas, utilizando inteligencia artificial para lograr prevenir, detectar y dar una respuesta adecuada a los ataques dirigidos y avanzados», explica Pérez.
A su vez, Daniel Salomón, ejecutivo de cuentas de seguridad para México y NOLA en VMware, precisa que la inteligencia de amenazas es información basada en evidencia sobre ataques cibernéticos que los expertos en seguridad cibernética organizan y analizan.
En ese sentido, añade que esta información puede incluir mecanismos de un ataque, cómo identificar que está ocurriendo un ataque, maneras en que los diferentes tipos de ataques pueden afectar a la organización y consejos orientados a la acción sobre cómo defenderse de los ataques.
Por la diversidad actual de ciberataques –como exploits de día-cero, malware, phishing, ataques man-in-the-middle, ataques fileless (Living Off the Land) y denegación de servicio entre otros–, indica que existe una evolución constante en la forma de atacar sistemas y redes por parte de los criminales. Así, la inteligencia moderna da la posibilidad a los equipos de seguridad mantenerse informados sobre amenazas nuevas y crear estrategias de defensa y protección más efectivas.
«Adoptar la inteligencia de amenazas de manera holística hacia todos los puntos de control de nuestra infraestructura puede permitir prevenir y contener ataques con mayor rapidez y salvaguardar potencialmente cientos de miles de dólares en pérdida. La inteligencia ayuda a aumentar los controles de seguridad en cualquier nivel, como la red y la nube», subraya Salomón.
Alternativas de seguridad
En el mercado ya están disponibles plataformas de seguridad que permiten, entre otras capacidades, habilitar una práctica de respuesta a incidentes y cacería de amenazas diseñada para los equipos de SOC (Security Operations Center).
Sobre una de sus soluciones, Salomón asegura que la plataforma de nueva generación realiza de manera constante un registro y almacenamiento de la actividad de terminales y cargas de trabajo, lo que posibilita a los profesionales identificar, visualizar y cazar un ataque completo en toda su cadena (kill chain) y potenciando la inteligencia de amenazas agregada a este servicio de nube.
Igualmente, destaca que la detección y respuesta extendida (Extended Detection and Response, XDR) es una tecnología de seguridad que proporciona mayor visibilidad, análisis y respuesta en redes y nubes, además de en aplicaciones y puntos finales. XDR es una progresión más sofisticada y avanzada de seguridad de detección y respuesta de terminales (EDR), que amplía la telemetría y ejecución de controles, incluso desde el EDR hasta la red con respuesta y detección de red (Network Detection and Response, NDR) de manera integrada.
Para este experto, es importante que la plataforma de seguridad incluya un soporte nativo de análisis de comportamiento en dominios cruzados, inteligencia de amenazas y analítica y perfilamiento de comportamientos.
De otra parte, con respecto a lo que hay en términos de defensa ante ataques, Pérez dice que la industria de la ciberseguridad ha ido desarrollando una serie de mecanismos que permiten detectar, bloquear y responder de manera automática al resto de la red sobre un ataque.
Por nombrar un ejemplo, SonicWall ha desarrollado un motor dentro del Sandbox ATP que logra una detección de amenazas absolutamente desconocidas en la industria de la ciberseguridad, en tiempo real y con cero falso positivo, llamado inspección de memoria profunda en tiempo real o RTDMI, por sus siglas en inglés. Este tipo de tecnologías son capaces de realizar procesos de inspección avanzados, logrando la detección incluso sin necesidad de ejecución en el ambiente controlado (sandbox).
En esa línea, Salomón indica que el resurgimiento del ransomware ha agregado una tensión no deseada a nivel global, y que las campañas de varias etapas que involucran penetración, persistencia, robo de datos y extorsión están aumentando la presión a medida que los atacantes capitalizan la interrupción que enfrentan los trabajadores remotos. Y advierte que, en la mayoría de los ataques de ransomware, el correo electrónico continúa siendo utilizado como el vector de ataque más común para obtener un acceso inicial. Al menos el 14 % de las amenazas a nivel global, agrega, fueron ocasionadas por ransomware.
«Dada la escalada a una situación virtual de rehenes, debemos evolucionar la forma en que respondemos a los cárteles del delito cibernético», alerta el ejecutivo de VMware.
Por eso, a los equipos de seguridad esta compañía les recomienda siete prácticas esenciales: la primera es mantener una segunda línea de comunicación interna activa y segura; la segunda, asumir que el adversario tiene múltiples formas de ganar acceso al ambiente, por lo que bloquearlo puede evidenciar nuestra siguiente jugada. Es vital monitorear y observar todas las capas.
En tercer lugar, explica Salomón, se debe implementar redes de señuelo, especialmente en canales de ataque que no pueden reforzarse; luego, aplicar remediación y gestión justo-a-tiempo; también integrar tecnologías de respuesta y detección de redes y terminales (Network y Endpoint Detection & Response, XDR) a la operación de seguridad; implementar seguridad moderna a cargas de trabajo; y, finalmente, conducir prácticas de cacería de amenazas de manera semanal.
Avances en SOAR
De acuerdo con el gerente de la Región Cono Sur en SonicWall, con el trabajo remoto, los puntos de exposición aumentaron exponencialmente, así como los costos relacionados con personal de TI (seguridad) necesario para la administración de las plataformas, lo que produce una brecha empresarial respecto a la realidad de muchas organizaciones frente al escaso personal de red y los bajos presupuestos que las compañías destinan a seguridad.
Con relación a esta realidad, Pérez manifiesta que la automatización –que permite ahorrar horas versus hombre–, así como la orquestación de las plataformas de seguridad, se hacen indispensables para lograr enfrentar estos nuevos desafíos.
«La industria de la ciberseguridad está a la vanguardia en este sentido [respecto a las plataformas SOAR] y SonicWall no es la excepción; aportamos soluciones que, de manera integrada, ayudan con la brecha empresarial. Además, nuestro ecosistema de partners permite complementar en la ‹respuesta› con ingenieros altamente calificados, con SOCs que trabajan 7x24», resalta el ejecutivo.
Al respecto, Salomón afirma que XDR tiene como objetivo ayudar a los equipos de seguridad a comprender y detectar amenazas correlacionando la inteligencia de amenazas entre los productos de seguridad y proporcionando visibilidad en las redes, nubes y puntos finales. Para ello, combina elementos de gestión de eventos e información de seguridad (SIEM), orquestación de seguridad, automatización y respuesta (SOAR), detección y respuesta de puntos finales (EDR) y análisis de tráfico de red (NTA) en una plataforma tipo SaaS para centralizar los datos de seguridad y la respuesta a incidentes.
«En 2020, anunciamos la alianza de Next-Gen SOC Alliance, la cual brinda una masa crítica de contexto y capacidades de XDR a los centros de seguridad (SOC) con un alcance intrínseco, y que puede aprovecharse de manera única hacia la fábrica de VMware. En asociación con los principales jugadores de SIEM/SOAR de la industria, estamos estableciendo una visión sólida para el SOC moderno y brindando una visibilidad sin precedentes y capacidades de remediación en puntos finales, redes, cargas de trabajo y contenedores», puntualiza el ejecutivo de cuentas de seguridad para México y NOLA de esta compañía.