Una amenaza cibernética es un acto malicioso que busca dañar, interrumpir u obtener acceso no autorizado a un sistema informático o red. Las consecuencias en caso de tener éxito pueden ser desastrosas, con pérdidas financieras, daños a la reputación y en algunos casos daños físicos.
Por ello, es crucial tomar en serio estos ataques y para reducir su impacto se hace uso de la monitorización y la detección de las amenazas, siguiendo una metodología, utilizando ciertas herramientas y teniendo en cuenta las buenas prácticas para que todo el proceso vaya de manera correcta.
En cuanto a la metodología, es importante monitorizar la red, ya que permite detectar anomalías e identificar infracciones de seguridad antes de que puedan causar daños. Además, también permite optimizar el rendimiento de la red, para conseguir una red fluida y eficiente. Tras la red, están los endpoints, que son el objetivo mayoritario de los ataques, por lo que es esencial una buena gestión de estos para protegerse de las amenazas. Consiste en tener una vigilancia constante de dispositivos como pueden ser ordenadores personales (PC) o móviles y analizar el comportamiento para identificar algún problema de seguridad. Otro método crucial para detectar las amenazas es analizar los diarios (logs). Analizar los diarios de los sistemas puede ayudar a identificar actividad sospechosa, así como alguna posible mala configuración de algún programa, servicio, etc. Gracias a los diarios se puede mantener la pista en caso de que un ataque haya tenido éxito, lo que permite responder al incidente de manera rápida. Por último, está el proceso de recolectar, analizar e intercambiar información sobre posibles amenazas cibernéticas desde diversas fuentes. A este proceso se lo conoce como inteligencia contra amenazas (thread intelligence) y está dividido en cuatro partes: estratégica, operacional, táctica y técnica. Respecto a las herramientas, cabe destacar la importancia de implementar varias para una mayor seguridad global, ya que muchas de estas se complementan e integran entre sí, para dar una respuesta mejor a los incidentes de seguridad.
Por ejemplo, se cuenta con las herramientas siguientes:
- Los cortafuegos (firewalls) y los WAF (web application firewall) que actúan de barrera entre una red y amenazas externas, controlando el tráfico entrante y saliente por medio de reglas que pueden configurarse.
- Los IDS (intrusion detection system), que son sistemas de detección de intrusiones que monitorean el tráfico en busca de actividad sospechosa. Los hay basados en firmas y basados en anomalías y se pueden implementar en toda la red o en un host específico, monitoreando solo ese tráfico entrante y saliente.
- Para poder detectar y responder incidentes en tiempo real en una organización la mejor herramienta es un SIEM (información de seguridad y gestión de eventos). Los SIEM se encargan de recopilar y analizar datos de diversas fuentes para identificar amenazas y alertar a los equipos de seguridad de modo rápida. Consta de aprendizaje automático y se puede implementar on premise o en la nube.
- Otra herramienta muy conocida es el antivirus, que es vital para proteger a las organizaciones de ataques maliciosos. Su funcionamiento consiste en escanear archivos y programas en busca de firmas de programas malignos (malware) para detectar archivos maliciosos. Es importante utilizar otras medidas de seguridad ya que el antivirus no es infalible y puede pasar por alto algunos archivos infectados.
- Para complementar al antivirus, una opción importante son los EDR (endpoint detection and response), que también monitoriza y analiza los endpoints de manera continua y tiene respuestas automatizadas basadas en reglas. Aísla en la nube el archivo sospechoso y tras varias pruebas con aprendizaje (machine learning) aprende su comportamiento y decide si es peligroso o no. El NDR (network detection and response) es el análogo a la red, que supervisa, detecta, analiza y responde automáticamente a las amenazas. Para conectar estas soluciones se hace uso del XDR (extended detection and response), que recopila los datos de estas herramientas y reduce el tiempo de respuesta.
- A modo de metabuscador existe una solución desarrollada por el CCN-CERT para agilizar el análisis de ciberincidentes llamada Reyes. Reyes busca información de diversas fuentes y se integra con otras herramientas de análisis del CCN-CERT, como puede ser su SIEM Gloria. Para el intercambio de información se hace uso de una herramienta llamada MISP (Malware Information Sharing Platform).
En cuanto a las buenas prácticas, la mejor manera es seguir un orden coherente. La primera fase consiste en identificar los activos, donde se establece una jerarquía de activos y se ordenan para tener una idea de su importancia y criticidad. Tras ordenarlos, el segundo paso es clasificarlos, centrándose en los elementos críticos y posibles activos relacionados con estos. Una vez se ha conseguido clasificarlos, es importante identificar a un responsable que pueda actuar rápidamente cuando un problema afecte a los activos y definir correctamente las alertas.
Todos estos problemas se agravan más cuando el sector objetivo es el de la salud. La industria sanitaria es uno de los sectores más vulnerables a los ciberataques debido a la naturaleza sensible de los datos de los pacientes y cada vez van en aumento los ataques a este sector.
En resumen, las ciberamenazas son un problema grave que de no tomarse en serio puede causar graves daños a una organización. Para ello, es vital hacer uso de la monitorización y contar con métodos y herramientas para poder detectarlas a tiempo
Le recordamos que la seguridad de la información es cosa de todos y que empieza por cada uno.