RSA Conference fue el escenario escogido para revelar la última encuesta llevada a cabo por la empresa de seguridad creadora del evento. Las cifras indican que casi el 80 % de las organizaciones están inconformes con sus capacidades internas de detección e investigación de amenazas y un porcentaje mayor no considera que estas tareas se estén realizando con suficiente velocidad. Los resultados aunque poco alentadores no fueron inesperados, pues van en la misma linea con lo que hemos visto en nuestro Centro de Operaciones de Seguridad desde hace algunos años.
La encuesta también indica que hay una creciente preocupación de las organizaciones por lograr mayor visibilidad de lo que esta pasando en sus entornos. Sin embargo, la realidad es que no cuentan con conocimiento, capacidades o recursos para emprender iniciativas que los lleven rápidamente a buen puerto. Y es que no es una tarea minúscula. Los cambios generados en las arquitecturas de TI debido a la virtualización, nube o la movilidad y a "fenómenos" como el Shadow IT y el Internet de las cosas hacen que las fronteras de todo lo que queremos vigilar sean más amplias e incluso casi imposible de definir y por consiguiente lograr visibilidad se hace más complejo.
Construcción de capacidades de detección y análisis
El primer paso que deben tomar las organizaciones para enfrentar este reto debe ser reconocer que el ambiente de amenazas actual requiere replantearse la forma de realizar la detección y alejarse del modelo tradicional. No es posible lograr resultados nuevos haciendo lo mismo que hemos hecho por años. Nuestros esfuerzos de detección no pueden seguir estando condicionados a las capacidades de tecnologías tradicionales que funcionan a través de firmas y alertas predefinidas, que no hablan entre sí y que en la gran mayoría de casos son gestionadas por diferentes personas, lo que no permite crear contexto y "ver la imagen completa".
No es que no debamos contar con firewalls, sistemas de prevención de intrusos, antimalware, etc. pues continúan siendo importantes para los esquemas de protección de las organizaciones. Simplemente, debemos re enfocar la forma en que las utilizamos para erigir o fortalecer capacidades de detección y análisis que permitan identificar y contener las amenazas. Los atacantes siempre podrán, de una forma u otra, infiltrarse en los entornos de TI de las organizaciones, pero esta en nuestras manos que no puedan sacar provecho de esto y completar el ciclo de ataque.
Tomar la iniciativa
Las organizaciones deben adoptar un modelo proactivo, basado en procesos y tecnologías integradas que ayuden a los analistas de seguridad a realizar investigaciones con datos filtrados eficientemente (entre los millones que se dispone) y enfocarse en lo realmente importante para establecer rápidamente el nivel de exposición y grado de intrusión, descartando falsos positivos, que les permita reaccionar en el menor tiempo posible frente a las amenazas.
Vemos entonces que lo más importante no son las tecnologías sino las personas que están atrás de ellas y los procesos que se determinan para permitirles realizar investigaciones de calidad en el menor tiempo posible. El equipo debe estar conformado por personas que tengan amplia experiencia en diversos entornos de TI, alta comprensión en anatomía de amenazas, que tengan la capacidad de pensar como los criminales y sean capaces de comunicarse de forma efectiva. Adicionalmente deben tener pensamiento analítico y ser capaces de discernir y plantear soluciones en el menor tiempo posible.
La mala noticia es que contar con estas personas suele ser más sencillo en el papel que en la práctica. Contratarlas es complicado pues son perfiles difíciles de encontrar en estos tiempos de escasez de profesionales en seguridad de la información. La otra opción es formar personas al interior de la organización pero es una apuesta de mediano/largo plazo y con un costo alto si la persona en formación realmente no está involucrada todo el día en una ambiente de seguridad. Adicionalmente, no todas las empresas pueden permitirse contar con personas dedicadas a realizar estas tareas durante las 24 horas del día, ya sea por el costo que implica o por la logística necesaria para hacerlo.
Otro punto clave es el establecimiento de procesos y procedimientos que aseguren que siempre se actúe bajo los mismos parámetros, de lo contrario cada analista podría tomar decisiones radicalmente diferentes según su criterio, lo que dificulta mantener un nivel de calidad optimo en la detección, análisis y posterior respuesta a los incidentes. Los procesos también sirven como enlace entre las personas y la tecnología, especialmente cuando nuevos analistas se incorporan al equipo y la operación del día a día no deja mucho tiempo para entrenamientos de largo plazo; lo que no nos debe exonerar de establecer un proceso de entrenamiento fuerte.
Resulta imprescindible establecer procesos para la capa analítica (detección, análisis, reporteo) pero también otros relacionados con la tecnología (administración, configuración de herramientas, etc) y la forma en que el equipo de analistas debe realizar las operaciones diarias (gestión de eventos, cambios de turno, etc).
En el frente tecnológico es clave contar con herramientas que faciliten la recolección y almacenamiento de grandes volúmenes de datos que permitan realizar investigaciones en casi tiempo real. Estas tecnologías deben permitir recopilar grandes volúmenes de datos estructurados y no estructurados de múltiples dispositivos de seguridad y otros sistemas para procesarlos y priorizarlos de tal manera que puedan ser analizados por el equipo de analistas. Esa recopilación de datos debe apoyarse preferiblemente en tecnologías que al tiempo estén realizan inspección de tráfico que permita descubrir anomalías a través del comportamiento, arrojando indicadores de actividad sospechosa que permita determinar si la empresa esta siendo atacada.
No importa el camino que decida tomar para mejorar sus capacidades de detección y análisis de amenazas. Algunos deciden contratar a terceros, otros desarrollar las capacidades al interior de la organización. Lo realmente importante es que empiece a hacerlo lo antes posible pues toma tiempo y en la carrera contra las ciberamenazas cuanto más pronto mejor.
