Es hora de la monitorización de seguridad como servicio en la nube

Marcos López Vaquero  5 marzo, 2019
monitorizacion-de-seguridad-como-servicio-en-la-nube

Aún recuerdo cuando conseguí mi primer servidor, un maravilloso e indestructible Proliant ML330 con un PIII a 733 MHz al que le añadí unos discos SCSI que me trajo un amigo a la vuelta de unas vacaciones en tierras americanas. Una pasada de máquina. Recuerdo como si fuera ayer la ilusión de enchufarlo y pasar horas instalando y configurando servicios y recursos para acceder a ellos desde cualquier parte y enseñar a mis amigos que tenía alojada en mi casa la web que había hecho, mi servidor de correo, ficheros y demás. En aquella época no era habitual usar software de protección en los equipos y pensábamos que con un poco de sentido común, se podía navegar sin riesgo. En lenguaje coloquial, nadie se alarmaba por “dejar abiertas las puertas de su casa”. Hoy, en cambio, es la hora de la monitorización de seguridad como servicio en la nube.

Si echamos la vista atrás y analizamos cómo ha evolucionado la tecnología, vemos que en relativamente poco tiempo se ha pasado a poder desplegar cualquier servicio que se nos ocurra por un módico precio. Si nos centramos en el mundo empresarial y el concepto de TI, hemos pasado de aquellos servidores que ocupaban una habitación completa a tener varios servidores en un armario rack y hoy en día, gracias a cloud, se puede disponer de los servidores en la nube, ya sea una parte o el parque completo.

También recuerdo lo tedioso que podía ser un despliegue o una migración de una aplicación compleja según el entorno. Sin embargo, gracias al enfoque de los contenedores y microservicios, es mucho más sencillo diseñar, desplegar y migrar cualquier aplicación.

En realidad da igual el entorno al que miremos: la evolución ha sido increíble.

De forma paralela, durante estos últimos años han surgido nuevos dispositivos, tecnologías, metodologías y técnicas que nos han permitido mejorar la seguridad de las organizaciones con nuevas medidas que ayudan a minimizar el impacto de las amenazas existentes. El problema es que las amenazas también han ido evolucionando y en muchos casos a mayor velocidad que las defensas, por lo que resulta necesario una nueva estrategia frente a los atacantes.

Tiempo atrás las empresas aplicaban el famoso modelo de castillo, que ya explicaba un compañero. En la actualidad el modelo de las murallas es inviable, ya que las compañías suelen tener sedes, usan dispositivos móviles, redes sociales, etc., lo que hace que el concepto de perímetro se diluya.

Tampoco vale ya disponer de múltiples dispositivos orientados a la seguridad, ya que de forma individual no aportan mucho y tratar de relacionar los resultados de cada uno tiene una complejidad exponencial a medida que evoluciona el entorno. Con ese enfoque nacieron las plataformas de correlación de eventos (conocidas como Security Information & Event Management o SIEM) que además aplican una capa adicional de inteligencia y automatización, con el fin de conseguir una detección rápida de problemas y tener un mejor tiempo de respuesta.

Por otra parte, si nos centramos en la gestión de la seguridad, hemos visto que se comenzó a gestionar internamente por parte de las organizaciones. Con el paso de los años, el mayor número de activos y la complejidad de los entornos hizo que la tendencia fuera contratar la gestión de la seguridad a empresas especializadas que se encargaban en modo dedicado a la monitorización de seguridad desde las propias instalaciones del cliente. Más adelante, dicho servicio pasó a ofrecerse también mediante la administración y gestión en remoto desde las instalaciones del SOC (Security Operations Center).

En la actualidad el escenario más frecuente es que las organizaciones tengan un entorno híbrido, con sus activos y servicios distribuidos en distintas sedes físicas, pero también con una presencia cada vez mayor en la nube. Si a esto le unimos la nueva visión en desarrollo con los contenedores y microservicios, el auge de IoT, así como el volumen creciente de información, el modelo evoluciona y nos encontramos con la monitorización de seguridad como servicio en la nube.

Telefónica Empresas, consciente de la evolución imparable de las amenazas en materia de ciberseguridad, apuesta por este modelo de servicio de monitorización de seguridad desde su nube, que ofrece todos los valores diferenciales y beneficios para sus clientes que explico a continuación.

Con la monitorización de seguridad como servicio en la nube se  pasa de un modelo dedicado en casa del cliente o en las instalaciones del SOC a una arquitectura modular y en capas en la que toda la tecnología del servicio se encuentra en la nube, aunque se puede poner alguna de las capas en el entorno del cliente. Esto se traduce en dos beneficios directos para él: una inversión mínima para tener el servicio desplegado y despreocupación sobre la necesidad de  renovar ningún equipo ni ejecutar actualizaciones en sus instalaciones. Cualquier mejora del servicio se realiza en la nube del proveedor, lo que representa una gran flexibilidad.

Respecto a su eficacia, la monitorización de seguridad como servicio en la nube no se basa solo en un SIEM, sino que se compone de un conjunto de tecnologías y servicios que complementan y amplían el alcance de la correlación clásica, como capacidades big data/analytics, análisis de comportamiento de los usuarios (User Entity Behavior Analytics – UEBA), plataformas de inteligencia de amenazas (Threat Intelligence Platform – TIP), o “Deception Platforms”, que ayudan a poner el foco en aspectos tan importantes como:

Cyber kill chain, que son las fases que sigue el atacante hasta que consigue persistencia en una infraestructura para poder robar información sensible, filtrar datos, inutilizar sistemas o servicios, etc.

Dwell time, que es el tiempo medio que se tarda en detectar una intrusión (en torno a 99 días) en los sistemas, con todo lo que implica (descubrimiento de activos críticos, movimientos laterales, robo de credenciales, filtración de información, etc.)

Pensemos que no solo es importante detectar las amenazas en tiempo real, sino también identificar cualquier actividad sospechosa o patrón a tiempo pasado, ya que ciertas acciones de los atacantes se van produciendo paso a paso y cada fase del objetivo marcado tiene unos tiempos muchas veces discontinuos.

Además, el servicio de monitorización de seguridad desde la nube, al ser multi-cliente y de enfoque proactivo permite una vez que se detecta una amenaza en uno de los clientes aplicar las medidas de detección y respuesta de forma automática en el resto.

Imagen: Jeremy Brooks

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *