“El SOC debe integrar la experiencia de los expertos en seguridad y la inteligencia artificial para mejorar los resultados”

Rubén García Ramiro    18 marzo, 2019

Pedro Pablo Pérez, VP Security de Telefónica & CEO de ElevenPaths, su Unidad de Ciberseguridad y uno de los mayores expertos en este ámbito, habla para A un clic de las TIC, tras su paso por la RSA Conference, de los grandes retos de seguridad de las compañías para este año y sobre cómo trabajan para hacerles frente, en una entrevista que tendrá continuidad por lo interesante de la materia.

-¿Cuáles son las principales amenazas que los CISO deben tener en su radar este año?

En cierto modo son evoluciones de las que ya tenían. También el alineamiento de la seguridad con el negocio como parte del mismo y cómo priorizar y comunicar en función de un estudio de riesgo.

En el ámbito de los ataques cada vez vemos una sofisticación mayor, antes reservada a los estados y las infraestructuras más críticas, pero que ahora se están introduciendo en herramientas que se comercializan en la Dark web. Algo similar ocurre con el fraude online, que antes se consideraba un problema de las entidades financieras y ahora se ha generalizado al comercio online y requiere que se preste particular atención a la protección de las identidades y las fugas de datos.

La gestión de la privacidad y de los datos de carácter personal seguirá siendo un desafío, particularmente en entornos internacionales.

Finalmente, creo que empezaremos a ver las fake news como herramientas para atacar la reputación de las empresas y sus ejecutivos, de igual modo que están siendo utilizadas ya contra gobiernos. Esto resulta particularmente preocupante porque una vez dañada la reputación, incluso cuando se pueda demostrar que la noticia es falsa, es muy difícil reparar el daño ocasionado. Por tanto, monitorizar las identidades digitales, las redes sociales y cualquier activo usado como canal de comunicación con los clientes, será muy importante para descubrir y mitigar estos potenciales ataques.

2019 se plantea como un año apasionante para ElevenPaths

Sí, tenemos muchos desafíos interesantes en diferentes ámbitos.

En servicios gestionados vamos a apostar por incrementar nuestras capacidades de protección en los entornos de cloud pública, con la incorporación de nuevos servicios que se verán reforzados por ingenieros de seguridad certificados en las últimas tecnologías.

Fieles a nuestro compromiso con la innovación también seguiremos trabajando en incrementar las capacidades de Stela Filetrack, la metaconsola de protección del ciclo de vida de los documentos que presentamos a finales del año pasado en el Innovation day.

Además, seguimos inmersos en un proyecto de mejora continua de las capacidades de nuestra red de SOC (Security Operations Center) para garantizar el mejor servicio posible, con evolución de las plataformas, herramientas, modificación de los procesos para aprovechar el cambio de plataforma tecnológica, la incorporación de nuevos perfiles…

– En un SOC de 2019 ¿son necesarias las herramientas de SOAR (Security Orchestration, Automation and Response)? ¿Vamos hacia unos SOC más robotizados que buscarán personal más especializado?

El proceso de automatización de la gestión de alertas en los SOC es una reacción natural a la escasez de personal cualificado, la proliferación de tecnologías de defensa cada vez más especializadas y la necesidad de buscar eficiencias y liberar tiempo de los analistas para investigaciones que generen valor. En un modelo de SOC con herramientas de SOAR los analistas centran su trabajo en comprender los incidentes en el contexto enriquecido que proporcionan las herramientas de inteligencia de amenazas y no necesitan conocer los detalles y diferencias entre los diferentes fabricantes (esto lo gestionan las herramientas de forma automática). Así, se generan patrones de acción frente a diferentes tipos de alertas que se abstraen de los detalles tecnológicos de las plataformas subyacentes. Por eso las herramientas de SOAR son fundamentales en un SOC moderno.

En Telefónica tenemos nuestra propia herramienta de SOAR, SandaS RA, que llevamos desarrollando desde hace años y es capaz, ante una alerta, de notificar a nuestros clientes lo que ocurre en tiempo real, priorizar las alarmas para atender primero lo más crítico y contextualizarlas, de forma que los analistas de nuestros SOC reciban la información necesaria para ser lo más eficientes en su trabajo y, en los casos en que se tenga permiso del cliente, incluso remediar las alarmas de forma automática, lo que reduce el tiempo de exposición y minimiza el riesgo.

Todo esto, como preguntabas, supone también un cambio de los perfiles requeridos, con una menor necesidad de tener especialistas en los diferentes fabricantes y sí más expertos que entiendan los ataques, las llamadas TTPs (Tools, Tactics and Procedures) de los atacantes y, por tanto, con mayor capacidad de diagnóstico, análisis y respuesta.

-¿La inclusión de puestos robotizados dará paso al uso de sistemas Honeypot ?

El aprendizaje automático y la inteligencia artificial pueden ayudar a las personas a descubrir y reconocer patrones de ataque pero, al menos a día de hoy, siguen siendo incapaces de reconocer algunos patrones que resultan evidentes para expertos humanos. Por ejemplo, los creadores de malware avanzado han aprendido a escribir el código de forma que oculta sus intenciones, lo que hace muy difícil decidir de forma automática si dichas intenciones son maliciosas. A los algoritmos también les falta la capacidad humana de “esconderse”, nuestro sigilo y sofisticación. Por ello, nuestra inteligencia va más allá de la artificial en aquellos casos en los que no hay un conjunto de datos de aprendizaje adecuado.

Por ejemplo, identificar el Spear phishing, que consiste en enviar una comunicación -normalmente correo electrónico- destinada a una persona concreta, con datos personales que parezcan demostrar un alto conocimiento sobre ella y simular que proceden de algún conocido en quien la víctima confía, es muy difícil de detectar por lo que hay muchas personas que caen en la trampa. No existe un conjunto de datos con el que se pueda entrenar a los algoritmos automáticos, por lo que la experiencia acumulada por los expertos es lo más valioso.

-Asumiendo que la presencia de expertos seguirá siendo requerida en un futuro cercano, ¿qué papel jugará la inteligencia artificial a corto plazo?

Como con las herramientas de SOAR, se trata de promocionar la productividad de los expertos y facilitarles sus tareas. El escenario ideal debe combinar la experiencia de los analistas y los algoritmos inteligentes de análisis: integrar lo mejor de ambos mundos para mejorar los resultados. Aquí es donde incluiríamos la contrainteligencia: la evolución de los honeypots, que trata, a través de campañas, de entender las estrategias de los atacantes, el ciclo de vida de la información “exfiltrada” y, en la medida de lo posible, busca atribución en los agentes atacantes.

Nosotros trabajamos en este campo a través de CounterCraft, una startup participada por Telefónica y acelerada por Wayra. A la hora de automatizar en las plataformas de esta información sería una fuente más para contextualizar las amenazas.

-Te referías anteriormente a la protección en entornos de cloud pública. Grandes empresas como Amazon, IBM o Microsoft ya usan tecnologías serverless. ¿Están preparadas las empresas de seguridad para abordar su securización?

La migración a la nube plantea desafíos a los equipos de seguridad. Los modelos han ido evolucionando: el primero: “lift-and-shift” consistía en virtualizar los servidores y trasladarlos a la nube. Esto genera ahorros en coste de infraestructuras pero no hay beneficios nativos de la nube. El segundo paso es el desarrollo de microservicios que permitan definir una arquitectura más potente con contenedores y despliegue automático. Aquí es donde entra el modelo de seguridad de DevSecOps, que se encarga de integrarla en los procesos de desarrollo y que permite los beneficios de modelos de desarrollo ágil en los que se integran directamente estas consideraciones de seguridad.

Las tecnologías serverless son el siguiente paso, con procesos que reaccionan a eventos y requieren controles de seguridad capaces de proteger estas cargas fugaces. Es por esto que cada vez resulta más necesaria la combinación, en un único equipo profesional, de conocimientos de seguridad y una comprensión igualmente profunda de las tecnologías cloud de los diferentes fabricantes, así como de las herramientas que ellos mismos van desarrollando para poder generar esos controles.

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *