El viernes 12 de mayo de 2017 es una de las fechas más señaladas en el mundo de la ciberseguridad. Ese día un ataque a nivel mundial fue ejecutado mediante el uso de técnicas que el común de los mortales no habíamos visto hasta entonces: el ramsonware WannaCry.
Desde ese día los ataques de ramsonware se han ido sucediendo y, actualmente, todo el mundo sabe de lo que hablamos cuando sale el tema. Sin duda, los mayores problemas que generan los ramsonware en las empresas son la exfiltración y el cifrado de los datos, así como la petición de rescate por parte de los actores maliciosos. Este tipo de ataques son muy dañinos para la reputación de las organizaciones y su sofisticada evolución las obliga a estar preparándose y mejorando constantemente sus defensas, pero ¿sabemos cómo detectar este y otros incidentes de ciberseguridad antes de que nos afecten?
En la actualidad, todas las empresas disponen, en mayor o menor grado, de medidas de seguridad: EDR, para analizar el comportamiento de los PCs; firewalls, para segmentar, filtrar y monitorizar redes; gestión de accesos privilegiados (PAM); planes de formación continua para los empleados…Todos estos recursos funcionan muy bien y son capaces de lograr su cometido, añadiendo seguridad y ofreciendo capas extra para que los ciberdelincuentes lo tengan lo más difícil posible.
Ahora bien, toda herramienta de seguridad es, en principio, como una isla, solo sabe de sí misma y gestiona la seguridad para cubrir el alcance para el que fue diseñada. Centradas en ciertos tipos de ataques están bien y son muy eficaces, pero ¿qué sucede con aquellos que utilizan técnicas y tácticas más complejas?
En este caso lo recomendado es disponer de un servicio SOC (Security Operations Center), que nos ayudará a detectar y responder a amenazas de forma rápida y eficaz. Su funcionamiento es relativamente sencillo y podríamos relacionarlo en algunos aspectos con una empresa de seguridad privada.
Correlación de eventos, identificación de incidentes y respuestas
Por una parte, el centro de operaciones de seguridad dispone de una herramienta que recibe toda la información de lo que sucede en la red: SIEM (Security Information and Event Management); y, por parte, de soluciones de seguridad (EDR, Firewall, NAC, NDR…). Dependiendo cómo esté configurado el servicio, lo mínimo que debe manejar son unos casos de uso que permitan identificar diferentes entradas de información de distintos dispositivos e indicar que estamos sufriendo algún tipo de ataque.
Esto se consigue mediante la correlación de eventos, es decir, relacionar información de diferentes dispositivos, que en principio de forma individualizada no indicarían nada, pero que al cotejarla nos permite ser capaces de detectar la estrategia y los pasos que van dando los actores maliciosos para poder pararles.
Una vez que hemos detectado el incidente y sabemos a qué nos enfrentamos, toca responder de forma proporcional. Es decir, no es viable apagar todos los equipos de comunicaciones de la empresa porque algún usuario haya metido cinco veces mal sus credenciales. Una respuesta proporcional sería bloquear usuario/login en la compañía hasta que un administrador verifique que no es un ataque y lo desbloquee.
Esas respuestas pueden aplicarse de diferentes formas, pero las más sencillas se pueden ejecutar desde una herramienta SOAR (Security Orchestration, Automation and Response). Esta recibe los incidentes escalados desde el SIEM y es capaz de orquestar y automatizar procesos de respuesta. Según el tipo de incidente, se encarga de enviar un mensaje a los administradores o incluso de ejecutar la respuesta de forma automática.
¿Podemos adelantarnos a los actores maliciosos? Sí, las herramientas de CiberInteligencia o Inteligencia a secas, son fundamentales en los servicios SOC y proporcionan información interesante para la empresa. Por ejemplo, monitorizan la dark web y la deep web en busca de comentarios, credenciales y demás datos en general de la empresa. Pero también pueden ofrecer información geopolítica, tipo eventos meteorológicos, sociales, etc., de forma que si en una zona del mundo se están dando retrasos en la llegada de barcos o de aviones, estos sistemas son capaces de preparar y alertar sobre una posible campaña de phishing en torno a vuelos retrasados o paquetes retenidos en aduanas. De esta manera, mantienen a nuestras empresas prevenidas antes de recibir los ataques.
Estas fuentes sirven para enriquecer los incidentes en el SIEM y en el SOAR, proporcionando un mayor contexto que nos permite responder de una forma mucho más rápida y eficaz para garantizar la continuidad del negocio incluso en situaciones adversas. Todo ello se centraliza en el servicio SOC, el corazón de la ciberseguridad integral.
Rafael Borné Jaular
Ingeniero de redes y ciberseguridad en Omega Peripherals
