Durante el congreso de ciberseguridad realizado por Scitum y Telmex el pasado octubre, Shay Zandani, experto en ciberseguridad, habló de “la vieja escuela vs la nueva escuela” en seguridad, decía que la vieja escuela es seguir haciendo lo mismo que hasta ahora: controlar las vulnerabilidades, tener un firewall, un IPS y un correlacionador y esperar a que llegue un incidente, mientras que en la nueva escuela los individuos identifican las motivaciones de los atacantes y los posibles vectores de ataque, obtienen una radiografía de cómo está su seguridad, miden su nivel de riesgo de acuerdo a su entorno y realizan simulaciones de ciberincidentes.
Como vemos, la visión de “la nueva escuela” enfrenta los retos que imponen las nuevas ciberamenazas: no existen fronteras ni legislación, son difíciles de detectar y se caracterizan por ser persistentes y dirigidas. Son justamente estos retos los que nos obligan a revisar tecnologías distintas a las tradicionales para, por ejemplo:
- Identificar las llamadas a los centros de comando y control del malware.
- Detectar movimientos laterales en la LAN.
- Realizar análisis forense en línea sin necesidad de esperar horas a obtener una imagen del equipo infectado.
- Hacer uso de los indicadores de compromiso para saber rápidamente si un host en realidad ha sido comprometido o se trata solo de un falso positivo.
Y no basta con tecnología nueva, lo importante es contar con analistas que sean capaces de tomar acción a partir de la información arrojada por los dispositivos, ya que los falsos positivos siguen siendo el mayor desafío a la hora de integrar estas nuevas tecnologías a la seguridad por capas.
Entendiendo que la tecnología para afrontar las amenazas avanzadas es diferente a la tradicional, nos deberíamos preguntar ¿Los analistas de la seguridad tradicional son los mismos que podrán lidiar con las tecnologías enfocadas a amenazas avanzadas? No necesariamente, ya que las alertas que arroja un firewall, un IPS, un filtrado de contenido o un antivirus son relativamente simples de interpretar, mientras que la mayor parte de las herramientas antimalware despliegan el resultado de los cambios al sistema operativo por parte del malware (inyecciones de código, mutex, llamadas a sistema, y un largo etcétera).
Es justo esta información de cambio la que da pie a una investigación profunda, cuando la identifica un ojo experto, que entiende el comportamiento del malware, sus vectores de ataque y sus mecanismos de evasión, además de que es capaz de hacer ingeniería inversa al artefacto, en caso de que la evidencia no sea contundente sobre su afectación al sistema, porque recordemos que el poder de las amenazas avanzadas radica en que se mueven sobre protocolos conocidos, usan puertos conocidos y aseguran su persistencia por meses a través del uso de distintas técnicas.
Por ello, los profesionales de seguridad tradicional necesitan evolucionar hacia nuevas habilidades que les permitan estar a la vanguardia y no necesariamente todos los que administran la seguridad tradicional serán capaces de hacerlo, ya que para ello se requieren muy buenas bases en conocimientos de ensamblador, sistemas operativos, lenguajes de programación de bajo nivel, etcétera.
Como siempre, el éxito en la protección es producto de atender los tres ejes: personas, tecnología y procesos, sin embargo la preparación del equipo de trabajo a cargo de la seguridad de las organizaciones resulta más relevante que nunca, o de lo contrario estas se pueden preparar para identificar sus incidentes cuando ya sea demasiado tarde, sin importar que posean el último dispositivo de seguridad del mercado. Ya no solo basta con tener “cajas”, es imperativo proveer un monitoreo 7×24 para convertir las alertas en inteligencia accionable y de esta manera actuar en el menor tiempo posible, ya que dadas las circunstancias que nos rodean todos podemos ser comprometidos, pero la diferencia entre un incidente con enormes pérdidas y un incidente contenido antes de que cause un daño irreparable puede ser de solo unas cuantas horas o incluso minutos.
Deja tu comentario