.png)
20 Nov Inteligencia y monitorización para detectar y prevenir ciberamenazas
En anteriores post, hemos comentado cómo proteger los distintos dispositivos que conforman la arquitectura TI corporativa y con qué productos. Gestionar de forma individualizada todos estos recursos es muy complejo. En este post plantearemos cómo llevar a cabo una gestión centralizada de la ciberseguridad mediante soluciones de inteligencia y monitorización integral para detectar y prevenir ciberamenazas.
Ya que el riesgo de sufrir un ciberataque es continuo, es necesario realizar un control también continuo a toda la infraestructura protegida identificando brechas de seguridad y comportamientos sospechosos. De esta manera, lograremos no solo tener a salvo el negocio, sino asegurar el cumplimiento de normativas como el RGPD.
El GDPR obliga a llevar a cabo un registro de eventos con el que documentar e informar sobre cualquier incidente de ciberseguridad sufrido. Los equipos protegidos y las soluciones de seguridad vinculados a estos generan sus propios logs, pero aglutinar todos de forma coherente es un trabajo lento y complicado.
Por es muy recomendable contar con sistemas SIEM (Security Information and Event Management) con los que agrupar todos los eventos de los distintos recursos TIC, hacer una trazabilidad de la información entre ellos, analizar la información, almacenarlos de forma segura y asegurar que los ciberdelincuentes no borren esos eventos al atacar un dispositivo determinado.
¿Qué es un sistema SIEM? Registro de eventos de múltiples dispositivos
Los sistemas SIEM capturan y reciben todo lo que está pasando en una infraestructura TI empresarial a partir de eventos y flujos de red. Proporcionan una visión completa. Toda esa información, aparte de servir para alertar sobre incidentes concretos, es fundamental para aplicar técnicas de correlación y análisis forense de ciberseguridad. El objetivo es no solo saber qué ha ocurrido, sino aprender de lo ocurrido para tomar las medidas correctivas y preventivas adecuadas.
Es fundamental realizar una custodia veraz, completa y consistente de los registros de los eventos para, llegado el momento, poder justificar satisfactoriamente ante las autoridades competentes un ciberataque. Esta tarea se puede externalizar en una empresa especializada en servicios de seguridad con el objeto de garantizar su almacenamiento tal y como establecen las normativas.
Existen productos de ciberseguridad como McAfee EPO (ePolicy Orchestrator) que facilitan la operativa anteriormente descrita. Es una plataforma abierta en la que integrar los distintos sistemas de seguridad utilizados en la empresa. Desde un único mando de control, es posible configurarlos y monitorizarlos en tiempo real.
Mediante un fácil acceso a una consola web interactiva, se automatiza todo según las políticas de seguridad corporativas, desde las actualizaciones de seguridad y software a la creación de informes que son exportables a múltiples formatos. Así la identificación de vulnerabilidades y problemas es más rápida, y el tiempo de respuesta a las ciberamenazas se reduce.
Soluciones inteligentes de Ciberseguridad de reporting de incidencias
Más allá de la protección puntual de equipos y redes, es necesario contemplar la implantación de soluciones de inteligencia para luchar contra las ciberamenazas avanzadas. Son un tipo sofisticado de ciberataque que sin esa inteligencia puede quedar oculto esperando el momento adecuado para actuar.
Las APTs (Advanced Persistent Threat, Amenaza Avanzada Persistente) son ciberataques muy complicados de combatir y que cada vez son más frecuentes. Ya sea como modalidad phishing o malware ransomware (como el popular Wannacry), suelen infiltrase a nivel de usuario, tras abrir un email o pinchar una página web.
En esos casos, la combinación de técnicas analíticas y de machine learning permiten detectar comportamientos sospechosos cotejando automáticamente registros de incidentes anteriores o de BBDD de conocimiento de los principales fabricantes de soluciones de ciberseguridad.
McAfee Active Response (MAR) y McAfee Advanced Threat Defense (ATD) son dos productos que se enmarcan en este escenario. Con McAfee MAR es posible capturar y supervisar eventos, archivos, flujos de host, objetos de proceso, contexto y cambios de estado de los sistemas que podrían ser indicadores de ataque o componentes de ataques al acecho. Las respuestas de protección se lanzan de manera automatizada sin que sea necesaria la intervención manual.
McAfee ATD es una solución abierta que permite compartir estándares con otras soluciones de seguridad desplegadas para compartir información sobre amenazas por toda la infraestructura. Los appliances físicos y virtuales se adaptan a cada una de las preferencias de cada organización.
Orbit Consulting Group es una empresa especializada en diseñar e implantar soluciones de arquitectura TI para pymes y empresas de Madrid, y el resto de España.
