Facebook Linkedin Twitter Instagram Youtube Telegram
Buscar
Cerrar este cuadro de búsqueda.

Cómo ayudan las tecnologías de ciberengaño y contrainteligencia a los desafíos de los CISOs

El concepto de ciberengaño en ciberseguridad y cómo se puede utilizar para fortalecer las defensas e identificar las amenazas internas y externas es relativamente nuevo. A pesar del poco tiempo que lleva activo este concepto, es realmente útil para los CISOs y sus equipos de seguridad ya que permite aumentar significativamente su capacidad para identificar y desviar a los potenciales atacantes.

Nahim Fazal, BAL – Cyber Threat Intelligence at CounterCraft

No nos estamos refiriendo sólo al área de la seguridad. Actualmente, las organizaciones de todos los sectores están introduciendo ambiciosos programas de transformación digital en los que prima que los consumidores confíen sus datos a las organizaciones y, para garantizar el correcto uso y privacidad de los datos, se están introduciendo marcos sólidos. No hace falta recordar la reciente entrada en vigor de la GDPR (Reglamento General de Protección de Datos) de la UE pero sí vamos a retroceder y examinar dónde nos encontramos hoy en día en cuanto a la detección de intrusiones en la red.

 

Fugas de información

La frecuencia y el impacto de los ya conocidos casos de “Data Breaches” con robos de cuantiosos volúmenes de datos están creciendo a gran velocidad. Si reflexionamos sobre algunas de las mayores filtraciones de 2018, la lista contiene nombres muy conocidos como Verizon, Uber, Deloitte, Equifax o Dun & Bradstreet. En todos los casos los atacantes buscaron, encontraron y consiguieron información de los clientes, afectando y exponiendo a millones de usuarios finales. Esto demuestra que la tecnología actualmente utilizada para evitar filtraciones de datos simplemente no funciona. Sin embargo, si sumamos el panorama de amenazas en constante evolución, la diversidad de las mismas y lo limitado de los recursos en la mayoría de las organizaciones, el coste asociado a las filtraciones de datos es asombroso. Además de cualquier responsabilidad derivada del GDPR, esta cifra debería ser, por sí sola, un buen motivo para que las organizaciones busquen una tecnología alternativa y más avanzada para intentar minimizar el riesgo de sufrir incidentes y evitar así las pérdidas financieras y el daño reputacional que provocan a la organización.

Desafíos y retos de los CISOs

Por lo tanto, el primer problema clave al que los CISOs tienen que enfrentarse es cómo defender eficazmente su red. Este tipo de sofisticado ataque es capaz de deslizarse silenciosamente bajo el radar de las medidas de seguridad existentes y pasar totalmente desapercibido. Las amenazas externas representan solo uno de los aspectos de los desafíos. Se debe considerar el riesgo adicional de amenazas internas ya que este tipo de movimientos no activan ninguna alerta de seguridad. El informe de 2017 «Data Breach Investigations» de Verizon identificó una relación de 75 a 25 entre las violaciones de seguridad llevadas a cabo por infractores externos de las de infractores internos.

Algunas organizaciones han recurrido a utilizar la información e inteligencia sobre las amenazas (Threat Intelligence) en un intento de estar mejor informadas y equipadas para identificar la gran variedad de amenazas existentes. Sin embargo, el problema de este sistema es la escasa calidad y el carácter general de la información conseguida sobre amenazas, que dificulta aún más la actuación. Aquí es donde las plataformas de ciberengaño y contrainteligencia ofrecen un gran valor.

Por resumir, los principales puntos débiles de los CISOs son:

  1. La incapacidad de detectar violaciones de seguridad en una red corporativa a tiempo
  2. Detectar eficazmente la amenaza interna
  3. La incapacidad de detectar APTs y amenazas de día cero
  4. Demasiados falsos positivos relacionados con la tecnología actual
  5. Exigencias normativas para la investigación y detección efectiva de violaciones de seguridad
  6. Información sobre amenazas orientada y específica de cada cliente
  7. Equipar a los SOCs con las herramientas que necesitan para ser más eficientes
  8. Alertas relevantes que no llegan

Por cada uno de los puntos débiles anteriormente indicados, existe un coste asociado y la posible pérdida potencial de cada filtración de datos o Data Breach que puede suponer cientos de millones de euros. Estos problemas no se pueden simplemente ignorar. A nivel directivo se espera ver una estrategia coherente que detalle cómo se gestionará, de manera eficaz, el riesgo de las multas normativas y el coste asociado al robo de datos.

Tecnología de ciberengaño y contrainteligencia

Hay que aclarar que no toda la tecnología de ciberengaño es igual. Existen distintos puntos de vista sobre los procesos de identificación de las amenazas, pero usando las técnicas de contrainteligencia se evitan las intrusiones moviéndolas del entorno de producción a la plataforma de Deception. Los CISOs deberían buscar algunas de las siguientes características, sino todas (teniendo en cuenta que se trata de un punto de partida y no de una lista completa).

  1. Gestión de eventos y alertas

La plataforma de ciberengaño no debería producir ningún falso positivo. Además, las alertas deberían ser concisas, claras y aportar información e inteligencia detallada. Esto significa que deben contener información sobre qué ha desencadenado la alerta, quién ha desencadenado la alerta y la capacidad de encontrar el origen de la amenaza entre todos los recursos de engaño desplegados. Los gráficos de ataque son especialmente útiles para los SOC en este caso, ya que ayudan a abordar las alertas no identificadas por otras tecnologías y el volumen de falsos positivos generados.

  1. Respuesta de defensa automatizada

Para reducir de manera eficaz la carga de trabajo del equipo SOC, la tecnología de ciberengaño debería incluir la funcionalidad de automatización. La automatización permite manipular el entorno de engaño en respuesta a las acciones de los atacantes. Esta herramienta específica alimenta los procesos de respuesta frente a incidentes con el nivel de precisión y detalle necesario para ahorrar tiempo, dinero y recursos. Por lo tanto, el equipo de los SOCs está equipado para operar de forma más eficaz y ganar tiempo para centrarse en amenazas reales en una red más amplia.

  1. Completa gama de servicios y activos de entornos sintéticos

Para identificar de manera eficaz a los atacantes a sus sistemas y mantenerlos en el entorno simulado o de engaño, la plataforma debe ser capaz de desplegar una amplia y variada gama de servicios de engaño o sintéticos. Estos servicios y activos serán sistemas operativos completamente funcionales y deberán soportar tanto Windows como Linux. Además, routers, puntos de acceso WI-FI e incluso dispositivos móviles deberían considerarse como recursos de engaño. Recuerda que cuanto más complejo y amplio es el entorno de engaño, más probable es acabar no solo con las amenazas externas, sino también con las internas. Y debería ir más allá. Uno de los puntos clave identificados fue la falta de información sobre la amenaza específica de cada cliente. Hay que saber quién está atacando, cómo lo está haciendo, qué datos está recolectando y si esto es lo que en realidad quiere. Esto significa que cualquier tecnología de Cyber Deception debería ser capaz de desplegar campañas de engaño externas para recabar información detallada sobre las amenazas en su organización. No se puede crear una estrategia de seguridad coherente si no se puede contestar a algunas preguntas básicas: ¿soy el objetivo de amenazas de bajo nivel basadas en herramientas de terceros y automatizadas? O bien, ¿soy atacado por APTs que utilizan herramientas personalizadas y programas maliciosos?

Conclusiones

Los responsables de seguridad deberían investigar de forma activa la tecnología de Cyber Deception o ciber engaño durante los próximos meses. El motivo es la combinación de necesidades de cumplimiento normativo y el aumento de la probabilidad de que los atacantes violen la seguridad de su red. Los beneficios empresariales del uso de esta tecnología son significativos:

  1. Detección temprana de las amenazas con un menor coste
  2. Detección mejorada de amenazas avanzadas
  3. Obtención de información específica sobre las amenazas y sus objetivos
  4. Desarrollo de una estrategia de seguridad coherente basada en datos objetivos
  5. Reducción de los falsos positivos sin perder alertas
  6. Reducción del coste de detección total
  7. Potencial reducción del gasto de seguridad global
  8. Entrega de información rigurosa para la toma de decisiones sobre cómo afrontar con éxito los ciber riesgos de seguridad

Finalmente, para un CISO, una plataforma de engaño reducirá mucho la probabilidad de que su organización sufra un robo de datos, independientemente de la fuente. Te proporcionará analíticas de datos que cuantifican y cualifican el riesgo de exposición a amenazas e información detallada sobre los métodos de ataque a los que está expuesta tu organización. Estos datos no solo informan sobre en qué debería centrar sus recursos de seguridad limitados una organización, sino también mostrará a la dirección de la compañía cómo gestionar de forma eficaz el ciber riesgo.

Nahim Fazal, BAL – Cyber Threat Intelligence at CounterCraft

Picture of Samuel Rodríguez

Samuel Rodríguez

Periodista. Al frente de Ecommerce News desde 2012. Inquieto. Por el camino he creado otros medios como @BigDataMagazine y @CybersecurityNews. Organizador de cientos de eventos profesionales. Ahora con un pie en Portugal y otro en México… Muy del @GetafeCF

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio