Detección y respuesta gestionada: prevenir no es suficiente, necesitas ser ciber-resiliente

¿Quieres que tu organización sea ciber-resiliente pero no tienes medios?

¿Tienes soluciones de seguridad avanzadas implantadas, pero careces del personal especializado y formado para sacarles partido?

¿No tienes capacidad para detectar y responder a una brecha de seguridad y temes las consecuencias para tu negocio de la Directiva NIS y RGPD?

Si te preocupan estas cuestiones, a nosotros también, y por eso llevamos tiempo trabajando con nuestros expertos analistas y nuestro equipo de laboratorio de pruebas, junto a nuestros socios estratégicos, para ofrecer a nuestros clientes una detección y respuesta gestionada, que va más allá de las soluciones tradicionales.

La mayoría de los profesionales de la seguridad de la información en Europa creen que un ataque cibernético comprometerá las infraestructuras críticas en varios países en los próximos dos años, según el informe anual “The Cyberthreat in Europe” publicado el pasado mes de noviembre por Black Hat¹. Sienten que no tienen el tiempo, el presupuesto o el personal para enfrentarse a los crecientes desafíos de seguridad y las cargas adicionales impuestas por regulaciones como la Directiva NIS y GDPR:

Casi dos tercios de los encuestados creen que es probable que sus organizaciones tengan que responder a una importante brecha de seguridad en los próximos 12 meses.
El 62 % dice que no tiene suficiente personal de seguridad para defenderse adecuadamente contra las ciberamenazas modernas. De hecho, solo el 38 % dice contar con personal adecuado al frente de la seguridad.
39 % cree que la falta de habilidades requeridas es la razón principal por la cual fallan las estrategias de seguridad – escasez de habilidades.
Casi 6 de cada 10 encuestados creen que no tienen el presupuesto para defenderse adecuadamente contra las amenazas actuales y emergentes.
El 29 % comenta que la mayor parte del presupuesto se destinó a tareas relacionadas con el cumplimiento normativo. Las medidas para hacer frente a los ataques dirigidos ocupan el tercer lugar.

Un Centro de Operaciones de Seguridad (SOC) tradicional, usando técnicas de bloqueo, monitorización y gestión de vulnerabilidades puede mitigar hasta el 90 % de los ataques. El 10 % restante, originado por ataques sofisticados dirigidos a la organización, constituye la principal preocupación para el 48 % de los profesionales de seguridad, según el informe de Black Hat.

La caza de amenazas cibernéticas ayuda con las amenazas avanzadas que pasan por alto los controles preventivos y de detección, y permite a las organizaciones descubrir amenazas que de otro modo permanecerían ocultas. Según Gartner², el éxito de la caza de amenazas se basa en contar con un Centro de Operaciones de Seguridad (SOC) y las funciones de un equipo de respuesta cibernética (CIRT) maduro. De igual forma concluyó McAfee, a finales de Julio pasado, con su nuevo interesante estudio, “Disrupting the Disruptors, Art or Science?³” , en el que investiga el papel de la caza de amenazas cibernéticas y la evolución de los Centros de Operaciones de Seguridad (SOC), indicando que cuanto más maduras son las organizaciones en la caza de amenazas resultan sustancialmente más efectivas.

Detección y respuesta gestionada ciberseguridad captura pantalla imagen

El estudio reflejó que el 71 % de los SOC con una madurez de nivel 4, cerraban las investigaciones de incidentes en menos de una semana, debido al contexto proporcionado por expertos cazadores de amenazas cibernéticas.
Estas organizaciones tenían el doble de posibilidades de automatizar partes del proceso de investigación de ataque, y dedican un 50 % más de tiempo a la caza real.

Quizás el SOC de su organización puede que cubra efectivamente SIEM, IDP, gestión de vulnerabilidades y otras áreas. Sin embargo, la próxima fase de madurez pasa por construir la capacidad de búsqueda de amenazas persistentes avanzadas – APT Threat Hunting capability. Gartner ha calificado como servicios MDR⁴ (“Managed Detection and Response services” por sus siglas en inglés) a aquellos proveedores de seguridad de la información que están precisamente enfocados en detectar amenazas no detectadas previamente y que han superado el perímetro de una organización, y se están moviendo lateralmente a través de su entorno de TI. Gartner recomienda igualmente que las organizaciones utilicen los servicios MDR para aumentar las capacidades de monitorización de seguridad existentes, para corregir las deficiencias en detección avanzada de amenazas y respuesta a incidentes, y prevé que para 2020, el 15 % de las corporaciones y medianas empresas utilizarán servicios MDR, en comparación con menos del 1 % actual.

¿Tienes capacidad para detectar las amenazas dentro de tu organización? ¿Cuándo lo detectas?

Tal y como indica SANS Institute en su último informe sobre la caza de amenazas cibernéticas⁵, es muy probable que las amenazas ocultas ya estén en las redes de tu organización. Las organizaciones realizan internamente el descubrimiento de la brecha de seguridad solo en el 53 % de las ocasiones, frente al 47 % que son comunicadas a la organización por un tercero externo, según el último informe de tendencias 2017 de FireEye₆. El tiempo de permanencia (Dwell time = la duración que permanece un atacante en un entorno antes de ser detectado) de las organizaciones de EMEA es de 106 días.

¿Cuándo tienes constancia en tu organización de que tienes una brecha de seguridad? ¿Puedes detectarla por ti mismo, o por terceros? Es probable que necesites acelerar tus capacidades avanzadas de detección de amenazas a través de un servicio MDR.

A partir de mayo de este año, los operadores de servicios esenciales (OES) y los proveedores de servicios digitales (DSP) identificados en la Directiva NIS, y los responsables y encargados de tratamiento de datos de carácter personal indicados en el Reglamento General de Protección de Datos (RGPD), deberán tomar medidas de seguridad adecuadas y notificar brechas de seguridad a la autoridad nacional pertinente. En el supuesto de la Directiva NIS, la notificación de brechas de seguridad debe producirse “sin dilación indebida⁷”, y en el caso de RGPD, una violación de la seguridad de los datos personales debe notificarse también “sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella”.

¿Qué puede constituir una dilación indebida? ¿Qué sucede si tu organización ha sido comprometida, pero no tiene conocimiento de este hecho por falta de cuidado? La regulación es deliberadamente vaga para permitir una amplia gama de eventualidades posibles, y aquí es donde tener un proceso completo de detección y respuesta muestra su valor, porque toda esta información deberá ser transmitida a la autoridad competente y CSIRT.

En relación a las medidas de seguridad que se deben adoptar según la Directiva NIS y RGPD, se indica que las organizaciones “habida cuenta de la situación” y “teniendo en cuenta el estado de la técnica”, dichas medidas garantizarán un nivel de seguridad de las redes y sistemas de información (NIS) y la protección de datos (RGPD). La Inteligencia Artificial, la detección automatizada de amenazas y la caza proactiva de amenazas cibernéticas son soluciones poderosas que las empresas deben aprovechar para tener la oportunidad de cumplir con los nuevos requisitos establecidos por RGPD y Directiva NIS. Y si no cuentas con medios propios, tal como indica Gartner, existen ya servicios MDR disponibles en el mercado que ofrecen experiencia específica para apoyar a las organizaciones que buscan mejorar su detección de amenazas y capacidades de respuesta a incidentes.

Detección y respuesta gestionada de ElevenPaths

Las organizaciones no pueden “darse el lujo” de creer que sus medidas de seguridad son perfectas e impenetrables, sin importar cuán exhaustivas sean sus precauciones de seguridad. Tener un perímetro y defenderlo no es suficiente porque este se ha desvanecido a medida que han surgido nuevas tecnologías y dispositivos interconectados.

El objetivo debe ser, por tanto, reducir la ventana de exposición a una potencial brecha de seguridad y reducir aquellas tareas que requieren mucho tiempo para permitir una detección y acción rápidas, y administrar convenientemente los riesgos (ciber-resiliencia). Las empresas deben reducir la identificación de amenazas y los procesos de respuesta de años, meses y semanas, a solo horas y minutos.

Dentro de nuestros servicios de Ciberseguridad, en ElevenPaths ofrecemos detección y respuesta gestionada, con expertos analistas de seguridad focalizados en Endpoint Detection & Response (EDR) para la detección y respuesta frente a malware avanzado y ataques dirigidos, y ofrecemos a nuestros clientes soluciones de IoCs (indicadores de compromiso) de calidad para la identificación temprana de amenazas sofisticadas.

ElevenPaths es Miembro Afiliado de la Cyber Threat Alliance, contribuyendo al desarrollo de una nueva plataforma automatizada de intercambio de información sobre amenazas para intercambiar datos de amenazas cibernéticas, y somos Entidad Asociada a la iniciativa No More Ransomware, contribuyendo a interrumpir las operaciones de los cibercriminales que hacen uso de ransomware. Sigue conectado para descubrir pronto qué nuevas soluciones y alianzas con los socios más punteros sumamos a nuestra Detección y Respuesta Gestionada.

¹ “The Cyberthreat in Europe” – The 2017 Black Hat Europe Survey
² “How to Hunt for Security Threats”, Gartner – April 6, 2017
³ “Disrupting the Disruptors, Art or Science?”, McAfee – July 2017
⁴ “Market Guide for Managed Detection and Response Services”, Gartner – 10 May 2016
⁵ SANS Institute, “The Who, What, Where, When, Why and How of Effective Threat Hunting”, Last Updated: August 29th, 2017
⁶ “Mandiant® M-Trends® 2017 report”, FireEye – March 14, 2017
⁷ Artículo 14.3 de la Directiva NIS, a falta de publicarse el texto legislativo para trasponer la Directiva NIS a la legislación española probablemente mediante un Real Decreto Ley.