Las organizaciones están bajo una amenaza constante, y trabajan por proteger sus sistemas e información de forma permanente. Esto les demanda una enorme cantidad de recursos financieros y humanos, los cuales no siempre están a su alcance.
Esta situación se exacerba a medida que las organizaciones integran a sus operaciones servicios externos, utilizan aplicaciones multiplataformas y migran a la nube, lo que inevitablemente amplía la superficie de riesgo a la que tienen que prestar atención.
Monitorear esa creciente superficie, identificar las amenazas reales y responder con las acciones oportunas y efectivas es ya una tarea titánica, y muchas veces inmanejable, para el grueso de las organizaciones.
Para ayudarlas en esa tarea, ha surgido recientemente una tendencia que apunta hacia el desarrollo de una estrategia de ciberinteligencia, que añade una capa de protección a la tecnología que se ha utilizado tradicionalmente, la cual incluye capacidades avanzadas de analítica de ciberseguridad, inteligencia de amenazas y metodologías cuidadosamente delineadas.
Defensa proactiva
Para implementar dicha estrategia de ciberinteligencia, las organizaciones se deben apoyar en la figura del Cyber Defense Center o centro de operaciones de ciberseguridad con capacidades de detección y respuesta, desde el cual se ejecutan todas las operaciones de ciberseguridad orientadas a proteger a la organización 7×24, y la lleva a adoptar un rol más proactivo en el momento de enfrentarse a las amenazas. Actualmente, las organizaciones no se deben conformar con un monitoreo pasivo o de alertas, sino ir un paso adelante para anticiparse a las amenazas.
Este Cyber Defense Center crea las condiciones idóneas para reducir el impacto al negocio y responder de forma más rápida y oportuna a los ataques informáticos, al tiempo de elevar la resiliencia.
Un centro de operaciones de este tipo no se integra de la noche a la mañana. De hecho, son pocas las empresas que tienen los recursos financieros, las tecnologías, los procesos y el personal, además del tiempo, para echar a andar un proyecto de esta magnitud. Más aún, antes de embarcarse en un proyecto de esta naturaleza, su prioridad seguirá siendo concentrarse en el crecimiento y la rentabilidad de su negocio.
Es por ello por lo que las empresas están acercándose a proveedores de servicios de ciberinteligencia para que diseñen, implementen y gestionen un Cyber Defense Center de acuerdo con sus necesidades individuales, y acordes a la industria o nicho de mercado en el que se mueven.
En este contexto, la analítica avanzada de ciberseguridad y la inteligencia de amenazas tienen un rol fundamental para anticipar el comportamiento de los ciberdelincuentes, y conocer concretamente la metodología de ataque que utilizan para que, en respuesta, los estrategas de la ciberseguridad pongan en práctica también las metodologías de monitoreo y respuesta a incidentes.
El componente de inteligencia es determinante para lograr que la experiencia y los conocimientos que se reúnen a lo largo del tiempo contribuyan a reforzar el aprendizaje al interior del centro de ciberseguridad. Permite, asimismo, ampliar el análisis de comportamientos detectados tanto al interior como al exterior de las organizaciones para poder distinguir con precisión un ataque real y potencialmente peligroso de un comportamiento anómalo pero inocuo debido a cambios en la operación interna.
Gran parte del conocimiento de los comportamientos de los atacantes proviene de marcos de trabajo como MaGMa, que integra casos de uso para ayudar a las organizaciones a entender las rutas que siguen las amenazas para llegar a sus activos empresariales e informáticos; y como MITRE ATT&CK que describe componentes y atributos distintos de los ataques, y permite entender las técnicas que los perpetradores pudieran estar utilizando.
A manera de analogía, estos frameworks son como los libros de tácticas que se utilizan en los juegos de fútbol americano, en los que se registran las posibles jugadas ofensivas de un rival, basado en un análisis profundo del historial de partidos. Con base en estos playbooks es que se analizan los posibles pasos que se darán en cada vector de ataque.
Con esta información, y utilizando las capacidades de inteligencia, se emprende la cacería de amenazas para interceptarlas, como un balón, para evitar que se materialicen. Se trata, pues, de una visión proactiva para conocer de antemano las jugadas.
Así, se identifica un ataque real, se realizan actividades de bloqueo, y se orquesta y automatiza la totalidad de los componentes de seguridad. En consecuencia, las organizaciones recurren a los proveedores de seguridad para solicitar el apoyo necesario en circunstancias en que es estrictamente necesario.
Mayor colaboración
En el contexto de la ciberseguridad, un tercero puede ser de gran apoyo a desarrollar la estrategia de ciberinteligencia al proveer capacidades de monitoreo, detección, prevención y respuesta, e iniciar así una cacería de amenazas eficaz. Es importante colaborar con un proveedor que cuente con las certificaciones necesarias por parte de una agencia confiable.
Asimismo, de la mano de la empresa, los integrantes del Cyber Defense Center, tendrán que avocarse a definir los indicadores de amenazas aplicables al entorno propio del negocio. Con esto, se optimiza la identificación de malware o un ataque, el vector por el que está entrando, y bloquearlo antes de que se materialice.
Los niveles de compromiso definidos por las propias organizaciones pueden también crear un entorno de colaboración en el que compartan información valiosa con fabricantes y jugadores de su industria para aplicar las mejores prácticas y minimizar los posibles ataques de día cero.
De igual forma, esta retroalimentación y colaboración inicia un ciclo de mejora continua, en la que se aprovecha el conocimiento y las lecciones aprendidas, elevando a la par la resiliencia de las propias empresas para adoptar un enfoque proactivo.
Se trata, de generar casos de uso a partir de actividades recurrentes, que puedan integrarse en los libros de tácticas, para saber no solamente los movimientos de los contrarios, sino cómo se va a utilizar las tecnologías en línea con la metodología que se seguirá para tender una línea de defensa robusta.
Todo lo anterior no deja de lado el análisis de los comportamientos que se registran al interior de la organización. La cacería de amenazas se realiza también internamente, con lo que también se enriquecen los playbooks y contribuye a los ciclos de mejora.
La ciberinteligencia seguirá contribuyendo al enriquecimiento de la ciberseguridad de las empresas de todo tamaño, pues los ataques a los que están expuestos no miran sus dimensiones ni industria, ni si son públicas o privadas, y su impacto económico y reputacional puede ser muy serio.
La ciberinteligencia se convierte, por tanto, en una estrategia fundamental que les ayudará estar preparadas para afrontar las amenazas y optimizar la operación de sus Cyber Defense Centers, y orquestar la operación de sus tecnologías apoyadas en metodologías de protección probadas.