Óscar Riaño. Responsable de GMV-CERT
Hoy en día, la tecnología de protección, cuyo objetivo es bloquear los potenciales ciberataques a los que puede enfrentarse una organización, ha evolucionado de forma notable, existiendo numerosas aproximaciones complementarias que permiten protegernos frente a los diferentes vectores de entrada más comunes usados por parte del mundo del cibercrimen. Sin embargo, pese al nivel de madurez, y que muchas organizaciones implementan dichas tecnologías y contratan o desarrollan internamente servicios de monitorización y respuesta como elementos centrales de su estrategia de protección, se siguen produciendo brechas de seguridad internas y lo que es más preocupante, el tiempo de descubrimiento de dichas brechas se estima por término medio en meses desde su inicio. ¿Qué está fallando en dicho proceso?
Para buscar posibles explicaciones, es necesario examinar el flujo de actividades que desarrolla un equipo de respuesta ante incidentes de seguridad, donde de forma resumida se desarrollan tres procesos de alto nivel: la monitorización entendida como la actividad que genera alertas y por lo tanto dispara toda la cadena de actuación; el propio proceso de investigación de dichas alertas, cuyo objetivo final es tener un diagnóstico en términos de impacto lo más rápido posible para pasar a una fase de contención si es pertinente; y por último, en caso de ser necesario, la ejecución de las actividades forenses para determinar por qué un ciberataque ha tenido éxito en nuestra organización.
Dentro del primer bloque de actividades de monitorización, la industria de la ciberseguridad ha puesto mucho énfasis en la evolución de tecnología para responder a las necesidades del proceso de detección, desarrollando capacidades con diferentes aproximaciones como por ejemplo NGFW, IDS/IPS, SIEM, WAF, XDR, UEBA, NGAV, etc. Dichas tecnologías generan una gran cantidad de alertas de seguridad que deben ser gestionadas de forma diligente por parte de los equipos de respuesta y, para ello, éstos deben contar con las herramientas necesarias para desarrollar su trabajo de forma adecuada.
Debemos partir del hecho de que una alerta de seguridad no es más que un posible indicio o síntoma que debe ser investigado con mayor detalle para tener una conclusión certera de su significado real. Para llevar a cabo esta investigación, en muchas ocasiones los equipos de respuesta se han conformado con trabajar con una visión parcial de los hechos, descargando en la información generada por parte de los logs de aplicaciones/servicios y los flujos de red, la misión de encontrar las evidencias necesarias para establecer un dictamen correcto de las miles de alertas generadas por parte de la tecnología de detección implantada. Los equipos de respuesta más avanzados sabemos que esta aproximación basada en el análisis de metadatos no es suficiente debido al volumen y a la complejidad de las investigaciones que se deben llevar a cabo en cualquier organización.
*¿Quieres leer el artículo completo? Pincha aquí