En los últimos años las empresas por diferentes motivos adquieren servicios de ciberseguridad desde un SOC (Centro de Operaciones de Seguridad) que les permiten incorporar medidas preventivas para monitorear de forma continua la superficie de ataque interna en busca de identificar comportamientos sospechosos. En algunos casos también incorporan capacidades de respuesta que permiten contener las diferentes amenazas, todo esto a través de la inclusión de diferentes tecnologías avanzadas como SIEM (Security Information and Event Management), EDR (Endpoint Detection and Response), NTBA (Network Traffic and Behavior Analytics), SOAR (Security Orchestration Automation and Response), UEBA (User and Entity Behavior Analytics), entre otros.
Sin embargo, todas estas tecnologías están desarrolladas para identificar las amenazas una vez los ciberdelincuentes han vulnerado un punto de entrada a la red, en términos de Cyber Kill Chain, el ataque se encuentra al menos en una etapa de distribución interna, es decir, el ataque ya ha sido iniciado, esto debido a que estamos dejando por fuera de dichas capacidades la inteligencia digital externa que nos permite identificar una amenaza en etapas previas.
Capacidades de la Inteligencia digital externa
Incorporar al SOC herramientas que permitan aumentar el monitoreo sobre la capa digital externa es de vital importancia en la identificación y contención de amenazas, ya que opera en la fase de reconocimiento de Cyber Kill Chain lo que minimiza el riesgo de exposición, esto debido a que el objetivo principal de la inteligencia digital externa es identificar las actividades de los ciberdelincuentes antes que sucedan los ataques, con esto es posible prevenir amenazas como: uso malicioso de IPs en sus rangos, credenciales de empleados filtradas, fuga de datos, aplicaciones móviles maliciosas, suplantación en redes sociales, vulnerabilidades y exploits dirigidos para sus aplicaciones en uso, uso de dominios similares, entre otros.
A continuación, les dejo algunas recomendaciones desde las capacidades que se deben considerar para este tipo de soluciones:
1. Definir activos digitales externos: actualice el inventario de activos externos que incluyen marcas, uso de redes sociales, aplicaciones móviles, credenciales de usuarios, dominios, IPS públicas, perfiles de altos ejecutivos, información sensible, etc. Con el propósito de identificar los posibles vectores de ataque.
2. Monitorear Clear, Deep y Dark web: tenga la capacidad de realizar monitoreo para identificar amenazas en tiendas de aplicaciones móviles, mercados negros, redes sociales, dominios registrados, foros de hacking, entre otros.
3. Ejecutar acciones de mitigación: debe realizar acciones de remediación de componentes externos para dar de baja aplicaciones/páginas sociales maliciosas, dominios de phishing, adicionalmente, debe tener la capacidad para compartir de forma automática la inteligencia adquirida a las soluciones de seguridad internas para mejorar la postura ante posibles amenazas.
4. Adaptar la inteligencia adquirida: tenga la capacidad de integrar otras fuentes de información como IOAs (Indicators of compromise) o ICAs (indicators of attack) que permitan incrementar la capacidad de análisis y precisión de acuerdo con el contexto empresarial, permitiendo disminuir la tasa de falsos positivos y falsos negativos.
[TAMBIÉN LE PUEDE INTERESAR: Beneficios de tener un SOC en 2021]
Por último, recuerde que protegerse de amenazas externas no es solamente proteger su marca, es prevenir futuros ataques diseñados y dirigidos a su empresa para que la información sensible e importante, tanto de sus clientes como de su compañía, se mantenga segura.
