Hay docenas de miles de ciberdelincuentes que son entrenados por
gobiernos, empresas de seguridad y organizaciones criminales, los
cuales llevan a cabo ataques dirigidos con malware propio e incluso
utilizan aplicaciones legítimas y goodware para no ser detectados.
Todo esto requiere de una respuesta equivalente para salvaguardar las
redes.
Las organizaciones no se pueden proteger de lo que no pueden
vislumbrar. El uso de dispositivos multiplataformas, el exponencial
uso de aplicaciones en la nube (con la capacidad de los usuarios de
acceder a estas desde cualquier lugar y cualquier dispositivo) han
convertido a las redes empresariales en un sistema complicado por el
cual el concepto de red tradicional delimitada por un perímetro ha
desaparecido.
Mantener seguras a las organizaciones significa proteger los datos
del corporativo desde el Endpoint (punto final). Un incidente en el
Endpoint ocurre en mil segundos, pero puede llevarse semanas o meses
reconocer, detectar y responder a la violación que se ha producido.
El Endpoint es la superficie de ataque más vulnerable y expuesta en
el ambiente colaborativo actual. Para mantener los dispositivos de
Endpoint seguros se debe cambiar el enfoque de protección,
considerando: visibilidad total y control absoluto de las actividades
que suceden.
El antivirus no funciona más
Desde su llegada al terreno de la seguridad alrededor de hace 25 años
el antivirus no ha evolucionado en su modelo para proteger contra
ataques que utilizan técnicas desconocidas. Esto es porque continua
con su enfoque de encontrar solo lo malo que es conocido. El
antivirus tampoco es capaz de identificar— y por lo tanto pasa de
largo— los ataques que no utilizan archivos, y que infectan la
memoria al escribir directamente en la memoria RAM en lugar de
escribir en los sistemas de archivos.
Un porcentaje significativo de los ataques avanzados de hoy utilizan
múltiples vectores, muchos de los cuales ni siquiera involucran
archivos, por ejemplo, malware basado en memoria, ataques basados en
scripts, exploits y el uso de elementos confiables (goodware) del
sistema para realizar acciones maliciosas. Se descubre un ataque de
día cero casi todas las semanas y hay casi 1 millón de nuevas
variantes de malware lanzadas cada semana, si solo uno de ellos es
efectivo podría ocasionar un daño enorme económico y en la
reputación de la organización.
¿Qué ofrece el Threat Hunting?
Al no utilizar malware de ningún tipo, los sistemas de seguridad
deben ser capaces de distinguir un ataque de este tipo basándose en
el comportamiento exhibido por los usuarios de la red corporativa.
Las tecnologías capaces de realizar estas labores se engloban dentro
del concepto de Threat Hunting, el cual está ganando fama como forma
de proteger la ciberseguridad de una compañía, ya que las empresas
deben trabajar su defensa mucho antes de que sea necesaria y reciclar
la forma en que detectan las posibles amenazas.
En la actualidad es necesaria una plataforma que combine
perfectamente plataformas tecnológicas proactivas orquestadas por
procesos automatizados en constante aprendizaje y adaptación, todo
eso soportado por un grupo de personas expertas y creativas para
identificar nuevas técnicas, tácticas y procedimientos que utilicen
los atacantes para comprometer a las organizaciones.
Las plataformas de Threat Hunting deben ser capaces, entre otras
cosas, de monitorizar el comportamiento de los equipos, las
aplicaciones que se ejecutan en los mismos y sobre todo de los
usuarios de la red. Técnicamente, el proceso de Threat Hunting se
fundamenta en un inmenso almacén de datos con todo el comportamiento
de las entidades monitorizadas actualizado en tiempo real a medida
que suceden los nuevos eventos.
Si no dispones del tiempo, los recursos o el conocimiento, ¿cómo
beneficiarse del Threat Hunting?
La respuesta es contar con un servicio gestionado, como es Panda
Threat Hunting & Investigation Service. El equipo de expertos
analistas identifican atacantes que estén usando formas y mecanismos
completamente nuevos para ejecutar sus ataques. El objetivo de este
servicio es detectar ataques para los cuales no hay IOC (Indicadores
de Compromiso) o IOA (Indicadores de Ataque) conocidos, por lo que
esta no es una tarea de correlación simple en un SIEM; se trata de
descubrir y crear nuevos indicadores de ataque.
De hecho, Panda ayuda a identificar ciberdelincuentes, en vivo, que
se hacen pasar por administradores de sistemas, sin utilizar malware,
sin herramientas personalizadas (que serían muy fáciles de
identificar para nosotros), sino herramientas administrativas,
scripts, PowerShells, etc. Y también empleados malintencionados o
usuarios descuidados que intenten dañar a la empresa, intenten robar
información o causar algún deterioro.
La labor de los Threat Hunters se sirve de la tecnología para
monitorizar y analizar la actividad del sistema, detectar
comportamientos anómalos y comprobar detalladamente si esa anomalía
puede entrañar un riesgo real o se trata de un falso positivo. El
objetivo de Panda Security es que sus soluciones puedan clasificar
automáticamente el 99.98% de las amenazas, dejando únicamente el
0.02% de ellas a los analistas. De esta forma se pueden centrar en
ataques realmente peligrosos.
Y es que, a la hora de proteger la ciberseguridad empresarial de una
compañía, ningún esfuerzo sobra. En la lucha contra el
cibercrimen, la mejor solución es la acción humana, las soluciones
tecnológicas, la prevención y la búsqueda proactiva de posibles
amenazas.
+++
No hay comentarios:
Publicar un comentario