Arbor Networks - 5 claves para fortalecer la protecci贸n de informaci贸n en empresas

Arbor Networks - 5 claves para fortalecer la protecci贸n de informaci贸n en empresas

Desde WeLiveSecurity seguimos cubriendo esta nueva edici贸n de Segurinfo. Entre las diversas charlas presentadas en el d铆a de hoy podemos destacar la presentaci贸n titulada 鈥淒etecci贸n de intrusos en base a la inteligencia (humana)鈥, en manos de Carlos Ayala Rocha, consultor de Seguridad y Ciberinteligencia para Arbor Networks.

Partiendo de la premisa de que nos encontramos inmersos en un ciberespacio an谩rquico que inherentemente favorece a quienes deseen realizar actividades criminales en el espacio digital, el consultor present贸 diversas estrategias para el monitoreo de redes que normalmente suelen ser desestimadas por las organizaciones cuando deben hacer frente a la prevenci贸n o mitigaci贸n de incidentes.

Un ciberespacio cada vez menos favorable

Las amenazas han ido evolucionando y paralelamente los procesos de defensa han debido hacerlo para equiparar las tecnolog铆as de ataque. No obstante, existe una real disparidad entre defensores y atacantes. Esta asimetr铆a se representa en diferentes agendas, motivaciones y herramientas de ataque y evasi贸n.

鈥淟as amenazas complejas se detectan con indicadores muy primarios鈥

El crecimiento de la actividad cibercriminal puede apreciarse en el aumento de c贸digos maliciosos como el ransomware, el ciberterrorismo, la politizaci贸n del espacio mediante campa帽as gubernamentales de espionaje, el auge de las botnets y el malware PoS.

Entre las caracter铆sticas del ciberespacio que favorecen los atracos inform谩ticos, el orador destac贸 las siguientes:

An贸nimo: si los atacantes toman los recaudos necesarios, se vuelve muy complicada la identificaci贸n de los agresores para la posterior toma de acciones legales.

Abierto: con la vigencia del fen贸meno IoT, las conexiones provienen desde diversos dispositivos haciendo m谩s dif铆cil la protecci贸n de nuestros espacios digitales y la comprensi贸n del origen del ataque.

An谩rquico: la jurisprudencia es un gran problema en el ciberespacio, con leyes y normativas que generan obst谩culos a las investigaciones policiales contra ciberdelincuentes.

Armamentizado: en la actualidad los atacantes no requieren conocimientos para generar un gran impacto en la organizaci贸n.

En este sentido, existe una verdadera necesidad de educaci贸n organizacional. Actualmente, es posible encontrar sistemas vulnerados debido a la falta de parches de seguridad para fallas conocidas de anta帽o. La actualizaci贸n de sistemas y firmware contin煤a siendo un problema frecuente.

Ayala Rocha destaca que entre las mayores preocupaciones de las organizaciones de hoy se encuentran las APT, ataques DDoS y la haxposici贸n, mientras desmitifica la falacia del atacante interno: 鈥淟a realidad es que la mayor铆a de las amenazas tienen una connotaci贸n exterior.鈥 Por ello 鈥揺xplica Ayala Rocha鈥 es necesario aplicar seguridad en profundidad para proteger los activos de informaci贸n.


驴C贸mo podemos mejorar nuestras defensas?


El consultor se帽ala 5 pr谩cticas para el fortalecimiento de los procesos de protecci贸n de la informaci贸n organizacional:

1# Herramientas forenses y detecci贸n temprana. Las herramientas pr谩cticas que ayudar谩n a la detecci贸n de intrusiones hacen al estudio de los flujos de red y los paquetes capturados, lo que se onoce como NSM. Adem谩s, cada d铆a se vuelve m谩s crucial la inclusi贸n de procesamiento de Big Data en tiempo real, acompa帽ado de interfaces amigables y visualizaciones r谩pidas para potencializar y abstraer la informaci贸n relevante.

En los d铆as que corren, el tiempo de respuesta se mide com煤nmente en meses. 鈥淓n Latinoam茅rica estamos muy atrasados al respecto鈥, dice el disertante. Muchas organizaciones ni siquiera saben que han sido comprometidas, por ello es vital potenciar la visibilidad en la red interna, no solo en el per铆metro.

Para esto contamos con la posibilidad de registrar flujos IP mediante telemetr铆a en dispositivos de red. Esto nos permitir谩 responder algunas interrogantes sobre el comportamiento de la red: 驴qui茅nes acceden a los servicios? 驴Con qu茅 protocolos? 驴C贸mo se est谩n violando los sistemas? 驴Cu谩ndo se dan estas acciones? A煤n m谩s importante鈥 驴qu茅 es lo que se persigue?

鈥淟as amenazas complejas se detectan con indicadores muy primarios鈥, enuncia el orador. Es muy importante analizar tambi茅n el tr谩fico de salida, crear mecanismos de monitorizaci贸n en tiempo real y tambi茅n la realizaci贸n de un an谩lisis retrospectivo para identificar tendencias en los ataques.


#2 Integraci贸n de la ciberinteligencia. La ciberinteligencia intenta agregar un contexto, una visi贸n macrosc贸pica del ciberespacio, al an谩lisis de seguridad. Existen diferentes enfoques, todos igualmente importantes: estrat茅gica, t茅cnica, t谩ctica y operacional.

En particular, dentro del primer enfoque podemos adoptar un ciclo de 5 fases: planeaci贸n, colecci贸n, procesamiento, producci贸n (an谩lisis Cyber Kill Chain y modelo diamante para encontrar la motivaci贸n de los ciberdelincuentes) y diseminaci贸n (generaci贸n de reportes).


#3 Mejorar el proceso de priorizaci贸n (triaje). Las organizaciones frecuentemente deben administrar inmensas cantidades de informaci贸n con muy pocos recursos. Existen muchos puntos ciegos en la organizaci贸n, lo que disminuye abismalmente la capacidad de respuesta. Se deben implementar procesos mensurables de largo alcance e instrumentar m茅tricas (ciclo OODA).


#4 Incrementar el personal de seguridad. 鈥淓l talento humano se combate con talento humano鈥, afirma el disertante. No solo se trata de cantidad sino de calidad de analistas de seguridad en la organizaci贸n. Se pueden aplicar t茅cnicas de An谩lisis de Hip贸tesis Competitivas (ACH) para tomar respuestas con base en la evidencia tangible del entorno. La interpretaci贸n de datos es fundamental para determinar si los eventos resultan o no amenazas. En estad铆sticas, el 75% de las organizaciones no poseen un plan de respuesta a incidentes.


#5 Crear un equipo de caza para la defensa ofensiva, buscando indicadores de compromiso para empatar en el juego asim茅trico de la explotaci贸n de sistemas de seguridad. Se torna importante realizar un an谩lisis de nuestras defensas con base en el enfoque de Cyber Kill Chain y modelo diamante, para intentar acercar los procesos de detecci贸n al inicio del ataque.


Para finalizar, Ayala Rocha retoma el concepto de que la industria de la seguridad combate verdaderamente contra personas, no contra las herramientas que ellas usan; esto es, cibercriminales que proactivamente buscan penetrar el per铆metro de los sistemas de protecci贸n. En este contexto, la ciberinteligencia ser谩 clave para hacer frente a las amenazas del ma帽ana.

We Live Security

-->

Contáctenos

Escriba su consulta y un asesor se comunicará con usted. Todos los campos son requeridos.