Hoy día las noticias sobre amenazas y ataques a los sistemas de información son continuas, por lo que uno se da cuenta de lo expuestos que estamos. Cada día es más difícil generar confianza en nuestros sistemas de información y su vigilancia y protección debe ser una tarea permanente.
Siempre se va por detrás de “los malos”, somos reactivos. En el contexto de amenazas actuales y su continua evolución, hay que tomar una postura proactiva, hay que ir a por el atacante.
Debemos dotar a las empresas de herramientas y soluciones que faciliten la “caza”, que aporten conocimientos sobre las debilidades y contexto sobre las amenazas, vamos a darle valor a lo que ya conocemos a la hora de mitigar ataques y vamos a automatizar las respuestas a esos ataques.
Además, hay que tener en cuenta que los ataques o amenazas no tienen por qué venir sólo desde fuera de la compañía, sino de los empleados, otro eslabón más de la cadena, y no siempre el más débil, muy al contrario, es otra línea de defensa a la que hay que preparar, cuidar y concienciar.
Los dispositivos desde los que acceden los empleados deberían estar protegidos e incluso bastionados (configurados) correctamente. Y los trabajadores que llevan sus dispositivos particulares podrían estar utilizando aplicaciones no corporativas en la nube o con credenciales particulares y moviendo información de la compañía por Internet sin ningún control.
No quiero dejar de nombrar las fugas de información de empleados descontentos, o con fines poco claros.
Existe todo un conjunto de recursos a nuestra disposición para defendernos (Monitorización, Threat Intelligence, Threat Hunting, SOAR, Machine Learning, UEBA, Deception…) pero, a priori, no es tan fácil.
La gran empresa, teniendo en cuenta la cantidad de información que manejan sus enormes equipos de TI, el número de clientes que tienen, los servicios que prestan, su reputación, etc., tienen recursos y, por encima de todo, sus direcciones están concienciadas sobre las implicaciones y los retos actuales en Ciberseguridad.
Sin embargo, en el terreno de las PYMES, con menos recursos y, principalmente, dirigidos a su “core” de negocio, generalmente no presta atención a su ciberseguridad hasta que toma conciencia de la importancia que tiene y, generalmente, no es “por las buenas”.
En la PYME nos encontramos empresas que no tienen ni los recursos ni los conocimientos necesarios para abordar con garantías la protección de sus datos y sistemas de información.
Según una encuesta de la CEPYME (Confederación Española de la Pequeña y Mediana Empresa) el 33% de la muestra ha experimentado un ataque de ransomware y el 75% de las organizaciones infectadas con ransomware ejecutaban protección de punto final actualizada, es decir, tenían sus antivirus al día.
Las cuatro amenazas más comunes que afectan a las PYMES son:
El mayor riesgo de seguridad para cualquier organización; saben dónde se almacenan los datos valiosos de la compañía y cómo acceder a ellos.
Otro gran riesgo al compartir contraseñas, no tenerlas a buen recaudo o por la apertura de mails maliciosos que puedan inyectar malware en la compañía. Estos son algunos ejemplos de lo que hay que evitar. No se trata de ataques malintencionados, pero representa un punto crítico para la seguridad de la compañía.
La actividad de los malos es diaria, y muy productiva y va enfocada a cualquier punto de la infraestructura de la empresa, ya sea hardware como software. Resulta de vital importancia mantener los sistemas actualizados y prácticamente en tiempo real, ya que los fabricantes están continuamente sacando parches para tapar agujeros de seguridad.
Incluso, en las aplicaciones desarrolladas internamente, es necesario adquirir la cultura de Desarrollo Seguro y de Análisis continuo de Vulnerabilidades que solucione y mitigue cualquier problema de seguridad.
De la empresa ha cambiado porque cada vez son más los usuarios/empleados que utilizan sus dispositivos personales para conectarse a los sistemas de las empresas, o que directamente trabajan desde fuera de ella (desde su casa o desde cualquier punto con una conexión a Internet). Resulta clave saber qué precauciones hay que tomar al crear una infraestructura informática segura para una fuerza laboral remota.
Las Pymes se enfrentan a los mismos retos en seguridad que las organizaciones más grandes (ransomware, prevención de intrusos, spam, phishing, etc.) y, sin embargo, no cuentan con los recursos para invertir en una infraestructura robusta.
Entrando en materia, ¿qué fases hay que seguir para mitigar las amenazas de ciberseguridad?:
Si bien se trata de fases enfocadas a la prevención y detección, tradicionalmente utilizados en el ámbito de la ciberseguridad, deben ser complementados con nuevas maneras de afrontar los riesgos, acorde con las nuevas amenazas
Actualmente, en el mundo digital, predecir nuevas amenazas y automatizar las respuestas y prácticas de seguridad cibernética, para liberar el tiempo de los especialistas en el análisis y resolución de los incidentes más complejos, es clave para adelantarse a un universo en expansión de amenazas y riesgos.
Además, confiar sólo en las defensas perimetrales de prevención y detección, y la seguridad basada en reglas, como antivirus y firewalls, se vuelve menos eficaz a medida que las organizaciones utilizan cada vez más sistemas basados en la nube e interfaces de programación de aplicaciones (API) abiertas para crear ecosistemas empresariales modernos. El departamento de TI simplemente no controla los límites de las tecnologías de la información de una organización como solía hacerlo.
Por tanto, la mentalidad actual de respuesta a incidentes de muchas organizaciones, que consideran los incidentes de seguridad como eventos únicos, debe cambiar a una postura de respuesta continua.
Se debe suponer que la organización se verá comprometida, que la capacidad del hacker para penetrar en los sistemas nunca se contrarresta completamente.
La monitorización continua de los sistemas y del comportamiento es la única forma de detectar amenazas de manera confiable antes de que sea demasiado tarde. Se trata de la Seguridad Adaptativa, modelo definido por Gartner Adaptive Security Architecture.
Este enfoque continuo, sin embargo, genera un enorme volumen y variedad de datos a una gran velocidad. La analítica avanzada será la base de la protección de seguridad de próxima generación y Gartner predice que, para 2020, el 40% de las grandes organizaciones habrá establecido un "almacén de datos de seguridad" para respaldar esta función.
El correcto tratamiento de los datos junto con técnicas de Machine Learning, que consisten básicamente en automatizar, mediante distintos algoritmos, la identificación de patrones o tendencias que se esconden en los datos, permiten prever e identificar ataques con mayor efectividad y rapidez.
A través de estos procesos de Machine Learning se logra perfeccionar la monitorización y correlación de eventos en los SIEM (Security Information and Event Management, por sus siglas en inglés), herramientas capaces de capturar prácticamente todo tipo de datos y eventos de nuestros sistemas de información y mediante correlación, monitorizar y alertar ante cualquier tipo de incidencia generando alertas y/o acciones para mitigar el problema.
Si además, se añaden herramientas de análisis de comportamiento de usuarios (UBA), desde dónde acceden, a qué, cuándo y cómo, el conjunto de todas las tecnologías y herramientas descritas van configurando un efectivo cortafuegos contra los ataques de ciberseguridad.
En este punto, las inversiones en equipos, conocimientos y recursos humanos pueden resultar prohibitivos para las Pymes, y la solución llega de la mano de proveedores de seguridad gestionada o MSP.
Los beneficios de contar con un proveedor MSP se traducen en: un servicio de alta calidad, las soluciones más seguras, no tener que invertir en infraestructura nueva, aprovechar el potencial de la nube, y proteger toda la red, desde los endpoints hasta la nube y, por supuesto, su nivel de conocimientos en la materia.
A3Sec cuenta con una amplia experiencia en el tratamiento de datos, su localización y gestión, lo que permite obtener una total visibilidad de sus operaciones. Tecnologías como Machine Learning, UBA y automatización de acciones (SOAR), lo que nos permite enfocar la ciberseguridad de nuestros clientes de manera proactiva, asegurando una toma de decisiones rápida y efectiva ante incidentes o amenazas, que minimizarán el impacto de los riesgos del cliente.
Desde nuestro Centro de Seguridad y Vigilancia Digital (CSVD) somos capaces de monitorizar la infraestructura de TI de nuestros clientes, desde la gestión y seguimiento de vulnerabilidades, gestión de eventos de seguridad, vigilancia de marca y gestión del fraude, completando la defensa con sistemas de prevención, detección y respuesta, así como con herramientas de orquestación SOAR.
¿Quieres conocer más sobre la aplicación de SOAR en tu organización?
Descarga el Caso de Uso