¿Cómo las filtraciones de datos pueden afectar a tu negocio?
El vertiginoso desarrollo de las tecnologías de la información y su incorporación a la empresa conlleva que la generación de datos esté sujeta a un crecimiento continuo. La cantidad de datos en diferentes formatos que se manejan en las empresas no deja de aumentar, al igual que lo hacen los medios a través de los cuales se pueden compartir. El lanzamiento de los primeros sistemas operativos de Microsoft con una interfaz gráfica amigable en la década de los 90, precursores de los que utilizamos actualmente, facilitó la tarea de creación, acceso y difusión de información. En los puestos de trabajo de los usuarios se sustituyeron los terminales por PCs que, entre otros dispositivos, disponían de una disquetera. Éste fue, quizás, uno de los primeros medios tecnológicos a través de los cuales se propiciaba la fuga de información. Los menos jóvenes recordarán cómo en algunas empresas se daba la orden de desconectar esos dispositivos para evitar que los usuarios grabasen información en disquetes y se la pudieran llevar fuera de la compañía con fines no autorizados. Posteriormente, la irrupción del correo electrónico, la transformación digital y el viaje a la nube han ido multiplicando las facilidades para compartir información y, como consecuencia, la posibilidad de abrir puertas a filtraciones no controladas. Qué es una filtración de datos Suele ser habitual considerar siempre la filtración de datos como un ciberataque. Sin embargo, esto no siempre tiene que ser así. Como en el caso citado, la filtración puede tener su origen en un comportamiento indebido o, incluso, accidental de un empleado. De forma general, se considera una filtración de datos cualquier incidente de seguridad en el que terceros no autorizados obtienen acceso a datos o a información de una organización. La gravedad del incidente no dependerá tanto del volumen de información sustraída en la filtración sino por el tipo de información. Así, la filtración de datos de carácter personal con un nivel de protección alto (por ejemplo, informes médicos) podrá acarrear severas consecuencias para la organización. Cuando nos referimos a la filtración de datos estamos pensando en una sustracción que se realiza utilizando software malicioso y técnicas propias del ámbito tecnológico (ransomware, phishing, etc.) Sin embargo, una filtración de información también se puede acometer por métodos tradicionales: robo de documentos en papel, sustracción de dispositivos USB, robo de ordenadores portátiles, etc. Tipos y motivaciones de filtración de datos Desde el punto de vista de las causas que pueden provocar una filtración se pueden distinguir dos tipos: Accidental: el trabajo diario de los empleados está sujeto a numerosas vicisitudes. Así, con relativa frecuencia se realizan envíos de correos electrónicos a destinatarios equivocados o se comparte información en un repositorio incorrecto. Estas situaciones que parecen inocentes, sin embargo, dependiendo del tipo de información compartida, puede derivar en sanciones o en situaciones incómodas para la compañía. Maliciosa: se trata de filtraciones provocadas de forma intencionada con fines diversos. Los actores que las ejecutan pueden ser empleados internos, conocidos como “insiders”, o terceros ajenos a la compañía (ciberdelincuentes). Los empleados internos que provocan una filtración suelen estar alentados por dos tipos de motivaciones a la hora de ejecutar estas acciones. La más habitual es la del descontento con la empresa, el afán de venganza ante una situación que consideran injusta. Por otro lado, están aquellos que buscan un beneficio económico con su acción, que habitualmente se traduce en la entrega de información a la competencia. Por su parte, en las filtraciones de datos en las que intervienen ciberdelincuentes, generalmente, es la búsqueda de ingresos económicos el móvil que de manera recurrente está detrás de la ejecución de estas acciones, si bien hay otras claves no menos importantes. Así, dependiendo de los sectores productivos, se deben tener en cuenta estas otras: Espionaje industrial: aquí se incluye el robo de documentos relativos a patentes, diseños de productos o planes de desarrollos futuros e investigaciones realizadas por laboratorios y universidades. Acciones promovidas por estados: los objetivos que persiguen los grupos sostenidos por estados van desde el causar afecciones al funcionamiento de las organizaciones hasta dañar la imagen y la reputación de éstas. Principales amenazas Una vez determinadas las causas y las motivaciones, es necesario conocer que amenazas son las que, si se materializan, desencadena la filtración de información. Aquí nos fijaremos en las tres amenazas que con mayor frecuencia son identificadas por nuestro Centro de Operaciones de Seguridad: Ransomware: mediante este tipo de malware, los actores maliciosos cifran toda o parte de los datos de la empresa víctima del ataque. Para evitar vender o exponer la información en Internet y, por tanto, que se filtre la información, solicitan un rescate. Malware de tipo stealer: se trata de software malicioso desarrollado para ejecutarse en los equipos de los usuarios y robar información confidencial de todo tipo: números de tarjetas de crédito, credenciales de acceso, documentos, etc.…). Los actores maliciosos se sirven de la ingeniería social, fundamentalmente de campañas de phishing, para lograr sus objetivos. Robo de credenciales: conseguir credenciales que faciliten el acceso a los servicios de las compañías es uno de los principales objetivos de los ciberdelincuentes. Una vez logrado, les resulta muy fácil acceder a información y sacarla fuera de la organización. Coste de las filtraciones Una amenaza de filtración de datos provocada por la ejecución de un ransomware tiene unas evidentes consecuencias económicas. Dado que puede llegar a provocar la interrupción de las operaciones de la empresa. Más allá de esto, el perjuicio económico se puede ver incrementado a raíz de las sanciones en las que se hayan podido incurrir al incumplir determinada normativa de protección de datos. A esta circunstancia, se añadirá el consiguiente daño reputacional y de confianza que deberá soportar la empresa, lo cual también se traduce en un perjuicio económico. A todo ello hay que sumar el impacto legal que puede tener la filtración si con ella se pueden ver afectadas las relaciones con terceros, fundamentalmente con clientes y proveedores. Protección de los datos En otras ocasiones hemos hablado de las medidas de
CYBERSOC PARA EL CUMPLIMIENTO NORMATIVO DE LAS EMPRESAS
La digitalización es un hecho irrenunciable para cualquier organización pública o privada. La tecnología está permitiendo abordar la transformación de numerosos procesos, alcanzando una significativa mejora de competitividad y de eficiencia, así como una notable reducción de costes. Sin embargo, la incorporación de la tecnología y, muy especialmente, la utilización de Internet, han obligado a las organizaciones a hacer frente a nuevos desafíos. Las organizaciones están dedicando numerosos esfuerzos para salvaguardar los sistemas de información de las amenazas cibernéticas. Las entidades públicas y privadas se están viendo obligadas a adoptar un conjunto de medidas de seguridad para proteger la información sensible, con el fin de garantizar su disponibilidad, integridad y confidencialidad. Esta es una labor de enorme transcendencia como se desprende del hecho de que son muchos los sectores en los que son de aplicación normas que exigen el cumplimiento de determinados controles de seguridad informática. Reglamento Europeo de protección de datos. Uno de los aspectos fundamentales que tienen que observar las organizaciones es el tratamiento de los datos personales que puedan almacenar. Para regular este proceso se ha desarrollado en Europa el Reglamento Europeo de Protección de Datos (GDPR, en sus siglas en inglés), convirtiéndose en norma de referencia y de obligado cumplimiento para todas las organizaciones. El GDPR establece que se deben implementar controles de seguridad adecuados para proteger los datos personales contra posibles violaciones o brechas de seguridad. El GDPR exige, igualmente, que las organizaciones implementen medidas técnicas y organizativas apropiadas para este fin. ISO/IEC 27001. La ISO/IEC 27001 es un estándar internacional emitido por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) que establece los requisitos para un Sistema de Gestión de la Seguridad de la Información (SGSI). Este estándar proporciona un marco para gestionar de manera efectiva y sistemática la seguridad de la información, con el objetivo de proteger la confidencialidad, integridad y disponibilidad de la información. La /IEC 27001 es ampliamente reconocida y utilizada por organizaciones de todo tipo y tamaño en todo el mundo, y su implementación puede ser certificada por organismos de certificación acreditados. Esquema nacional de seguridad. En España, se ha desarrollado el Esquema Nacional de Seguridad (ENS) como marco regulatorio para garantizar la protección de la información y los servicios electrónicos en el sector público. De manera muy similar a lo establecido por la ISO-27001, entre los objetivos del ENS están el asegurar que la información manejada y los servicios prestados por las administraciones públicas estén adecuadamente protegidos. Para ello, en la norma se definen un conjunto común de medidas de seguridad que deben implementarse en todas las administraciones públicas. Todo ello encaminado a promover la evaluación y mejora continua de la seguridad de la información. Otras normas sectoriales. Junto con estas normas de ámbito generalista, existen otras que son de aplicación en sectores concretos que dada su relevancia económica y social requieren de un control exhaustivo de los procesos que implementan. Estos son algunos ejemplos: PCI-DSS (Payment Card Industry Data Security Standard): esta norma fija un conjunto de estándares de seguridad definidos para proteger la información de las tarjetas de pago y prevenir el fraude asociado con su uso. Esto se traduce en un grupo de requisitos que las organizaciones deben implementar para asegurar el adecuado tratamiento de la información. HIPAA (Health Insurance Portability and Accountability Act): es una ley federal de los Estados Unidos, que establece estándares para proteger la información médica y de salud personal. La HIPAA se diseñó para asegurar la portabilidad y continuidad de la cobertura del seguro de salud, así como para reducir el fraude y el abuso en el sector de la salud. También incluye disposiciones para la protección de la privacidad y la seguridad de la información de salud. TISAX (Trusted Information Security Assessment Exchange): es una norma de seguridad de la información específica para la industria de la automoción. Fue desarrollada por la Asociación Alemana de la Industria Automotriz. Su objetivo principal es proporcionar un estándar común de seguridad de la información para todos los que participan en la cadena de suministro de la industria de este sector. Como se puede observar, todas estas normas tienen como nexo común la protección de la seguridad de la información a través del establecimiento de mecanismos adecuados. La correcta implementación se verifica en las auditorías periódicas a las que están sometidas las organizaciones sujetas a este cumplimiento normativo. Durante el desarrollo de las auditorías es habitual que los auditores soliciten evidencias que demuestren la correcta implementación de estos mecanismos de seguridad como, por ejemplo: la política de cambio de contraseñas, la gestión de usuarios, la gestión del acceso a los servicios, la actividad registrada en el firewall, los registros de la herramienta antimalware, la retención de los eventos de seguridad, la detección de ciberataques, etc. Contribución clave del CyberSOC. establecer numerosos mecanismos de seguridad. Esta circunstancia desencadena nuevos Para alcanzar el grado de cumplimiento exigido en las distintas normas, las organizaciones deben procesos que deben atender las organizaciones como, por ejemplo, la revisión de los eventos de seguridad que registran las herramientas de seguridad. La realización de esta tarea de manera independiente resulta prácticamente imposible de abordar de manera continuada. Suplir esta carencia ha sido posible gracias al desarrollo de los Centros de Operaciones de Cibereguridad, más conocidos a través de sus siglas en inglés como CYBERSOC o SOC. Éstos contribuyen de manera esencial al cumplimiento normativo a través de las tareas que tiene encomendadas: Monitorización continua y registro de eventos de seguridad: el SOC se apoya en el SIEM (Sistema de Gestión de Información y Eventos de Seguridad) para monitorizar de forma continua la actividad que se genera alrededor de los activos de los sistemas de información. El SIEM centraliza los eventos de seguridad de las diferentes fuentes de eventos y, tras su tratamiento, puede generar alertas de seguridad. El SIEM, además, cumple con la función de almacenar y retener estos eventos durante el tiempo exigido por los estándares normativos. De esta manera, se asegura que los datos
Ciberinteligencia en infraestructuras críticas
Los ciberataques son una de las amenazas más significativas que pueden afectar a cualquier organización a través de la ciberinteligencia y, por ende, a una infraestructura crítica. Hoy en día, estos ataques son cada vez más sofisticados, con múltiples vectores y menos predecibles, lo que convierte su detección en una tarea más desafiante. Si bien detrás de la mayoría de los ciberataques están personas o grupos guiados por una motivación económica (un claro ejemplo son los ataques basados en ransomware), en el caso de las infraestructuras críticas, se deben tener en cuenta, además, otro tipo de motivaciones. El impacto que la materialización de un ciberataque puede tener sobre una infraestructura crítica las convierte en objetivo prioritario de ataque de los grupos afines o patrocinados por Estados. Estos ataques están diseñados, no sólo para causar afecciones directas en el funcionamiento de las infraestructuras, sino también para desencadenar campañas de desprestigio y movilizaciones sociales en los países afectados. A qué amenazas se enfrentan las infraestructuras críticas En el ámbito de las infraestructuras críticas, se debe prestar especial atención a los ciberataques en los que se vislumbre la influencia de los Estados. Estos ciberataques suelen encuadrarse dentro de las amenazas conocidas como APT (Amenaza Persistente Avanzada), diseñadas para atacar mediante procesos sofisticados y permanecer ocultos dentro de la organización con el fin de desencadenar acciones de manera sigilosa. Los ataques dirigidos contra infraestructuras críticas tienen por objeto, en la mayoría de los casos, causar afecciones a la operación de los servicios que prestan más que a robar datos. No obstante, estas organizaciones no son ajenas a las amenazas que impactan sobre las infraestructuras IT. El malware, el ransomware, el phishing y los ataques de denegación de servicio distribuidos (DDoS) son, igualmente, una amenaza a tener en cuenta por las infraestructuras críticas. La evolución tecnológica esta promoviendo que infraestructuras críticas que hasta hace poco operaban de forma aislada se vayan incorporando a un escenario en el que predomina la interconexión entre dispositivos e, incluso, entre entidades de diferentes sectores. Esta circunstancia está exponiendo elementos de su infraestructura que hasta ahora permanecían ocultos. La caída de una de estas infraestructuras críticas podría causar una reacción en cadena que afectase a otras organizaciones. Muchas de estas infraestructuras críticas pertenecen a sectores donde su operación depende en gran medida de los sistemas de control industrial (ICS) que integran la infraestructura OT. La protección de estos dispositivos genera gran preocupación dado que la seguridad que se aplica no alcanza el nivel que sí se observa en los entornos IT. Es por ello qué los ciberatacantes están centrando sus esfuerzos en alterar el funcionamiento de sistemas fundamentales para la operación, como los SCADA. Por todo ello, las infraestructuras críticas necesitan dotarse de nuevos recursos defensivos que permitan hacer frente a estas amenazas. Es aquí donde entra en juego la ciberinteligencia o inteligencia de amenazas, también denominada CTI por sus siglas en inglés (Cyber Threat Intelligence). Información de ciberinteligencia Entre las muchas definiciones que podemos encontrar sobre el termino ciberinteligencia, una de las que mejor lo describe es la que propone el prestigioso SANS Institute al considerar la CTI como la información relativa a amenazas activas que puede ser aprovechada por la organización tanto para prevenir ataques futuros como para detectar aquellos que no se pueden revenir de una forma más rápida. Así pues, una estrategia de ciberseguridad que dé cabida a la ciberinteligencia pretende recopilar información sobre las amenazas que pueden acechar a una organización, analizarla, procesarla y entregarla a los diferentes grupos de interés para adoptar medidas de prevención o respuesta. La ciberinteligencia se posiciona como un recurso defensivo proactivo que permite anticipar y detectar ciberataques facilitando información tanto de amenazas existentes como de aquellas consideradas potenciales. En el proceso de generación de información de inteligencia, la primera tarea a realizar es la de identificar quiénes van a ser los consumidores principales de esa información. En base a ello, se puede clasificar la información de inteligencia en tres categorías: Inteligencia táctica: Se trata de información de uso inmediato, generalmente utilizada por parte del Centro de Operaciones de Seguridad (SOC) o por el Equipo de Respuesta a Incidentes (CSIRT) para detectar y responder a ciberataques en curso. La inteligencia táctica se centra, fundamentalmente, en el siguiente tipo de información: Indicadores de Compromiso (IoCs). Direcciones IP pertenecientes a activos maliciosos. Hashes de archivos involucrados en ataques de malware y ransomware. Inteligencia operativa: Se trata de información que permite adoptar medidas proactivas frente a posibles amenazas. Los consumidores de esta información son los responsables de la toma de decisiones en materia de ciberseguridad. La inteligencia operativa identifica actores maliciosos, vulnerabilidades, vectores de ataque y TTPs que puede afectar a la organización. En base a esta información se pueden establecer controles y adoptar medidas que frustren los ataques. Inteligencia estratégica: Se trata de información de alto nivel orientada a la toma de decisiones por parte de los equipos directivos de las organizaciones. Aquí, se suele encontrar información sobre el estado de la ciberseguridad en el sector y la coyuntura geopolítica. Esta información sirve para justificar inversiones y validar las estrategias de ciberseguridad. Fuentes de inteligencia El hecho de que las infraestructuras críticas sean un elemento esencial para el desarrollo de la actividad diaria de las personas y, en algunos casos, de la operación de los Estados, hace necesario ampliar la obtención de información más allá de los cauces habituales. El esfuerzo conjunto de los equipos de ciberseguridad para hacer frente a las amenazas que se ciñen sobre las infraestructuras críticas es una herramienta muy efectiva que se debe considerar. Un claro ejemplo es la iniciativa abanderada en España por el Centro Criptológico Nacional que se ha concretado en la creación de la Red Nacional de SOC. Aquí, los equipos de ciberseguridad públicos y privados comparten información de inteligencia a través de una plataforma de ciberinteligencia (TIP). La información aportada por los miembros sirve para anticipar posibles ciberataques y tomar medidas de prevención. Otra fuente de información de ciberinteligencia muy valiosa
Ciberseguridad para las ciudades inteligentes en 2024
El desarrollo presente y futuro de las ciudades inteligentes no se concibe sin la incorporación de las nuevas tecnologías con el fin de crear entornos más sostenibles y eficientes. La apuesta por este nuevo modelo de ciudad se basa en la interconexión de áreas tan diversas como la economía, el transporte, la sanidad, la seguridad, la energía o el medio ambiente. Surge así el concepto de Ciudad Inteligente o Smart City. Riesgo para las ciudades inteligentes Este nuevo modelo de ciudad se construye sobre dos pilares fundamentales: la innovación tecnológica y la toma de decisiones basada en datos. Junto a las grandes oportunidades que se vislumbran, surgen también riesgos asociados a la utilización de la tecnología. La ciudad inteligente interconecta la tecnología con las infraestructuras OT de los distintos servicios gestionados. Esto hace que la potencial superficie de ataque se amplie considerablemente, convirtiéndose en un objetivo muy codiciado para los ciberatacantes. En la ciudad tradicional las diferentes infraestructuras son gestionadas de forma individual por lo que las amenazas se circunscriben a un determinado objetivo. Ahora, la ciudad inteligente interconecta todas esas infraestructuras creando una macro superficie de ataque. Este nuevo escenario abre la puerta a que los actores maliciosos puedan, por ejemplo, moverse lateralmente a través de la red después de haber comprometido un determinado dispositivo. Consecuencia de todo ello es el incremento constante de ataques que se observa contra los dispositivos OT integrados en las infraestructuras de las ciudades. Otro de los retos que debe afrontar la ciudad inteligente es definir los procedimientos que permitan establecer la gobernanza necesaria para coordinar el trabajo de los administradores y responsables de seguridad de las diferentes infraestructuras. Por este motivo, se deberán fijar claramente los roles y responsabilidades de los encargados de la gestión de estas infraestructuras críticas. El desarrollo de las ciudades inteligentes no se concibe sin la participación de proveedores de servicios y tecnología que faciliten la integración del hardware y el software de cada infraestructura, así como su mantenimiento. Estos actores necesarios deberán adoptar estrictos controles de seguridad con el fin de evitar convertirse en una puerta trasera de acceso para los ciberatacantes. La materialización con éxito de ciberataques contra la tecnología que sustenta la ciudad inteligente puede llegar a generar un gran impacto sobre las infraestructuras, provocando la interrupción de los servicios, pérdidas económicas, desconfianza de los ciudadanos en la prestación de los servicios e, incluso, afecciones a la salud y la seguridad de las personas. Ciberprotección de las ciudades inteligentes El desarrollo de las ciudades inteligentes deberá tener en cuenta estos riesgos como uno de los aspectos fundamentales a gestionar. Se deberán contemplar medidas que permitan minimizar o eliminar estos riesgos, para lo cual se podrán tomar como referencia las implementadas en otros ámbitos donde la ciberseguridad tiene una presencia consolidada. Veamos algunas de ellas: Seguridad desde el diseño: La incorporación de la ciberseguridad desde fases tempranas de los proyectos se debe considerar como un aspecto estratégico. La integración de la tecnología heredada requerirá de una exhaustiva planificación con el fin de que ésta pueda ser conectada de forma segura. Control de activos: El mantenimiento de un inventario actualizado de activos permite identificar manipulaciones, cambios de ubicación físicos y fallos en los activos que forman parte de las infraestructuras. Principio de mínimo privilegio: El acceso a la red se deberá regir por este principio. Los administradores deberán evitar las configuraciones predeterminadas y actualizar los permisos según se produzcan cambios en los roles de los usuarios. Se deberá limitar el número de cuentas con privilegio de acceso total a los sistemas. Igualmente, se deberá implementar un modelo de acceso por capas. Estas medidas deberán asociarse a la implementación de una arquitectura Zero Trust. Autenticación multifactor: El acceso a los servicios debe realizarse aplicando autenticación multifactor (MFA), tanto desde ubicaciones locales como remotas. Parcheo de sistemas y aplicaciones: Se deberán implementar procesos de parcheo y remediación de vulnerabilidades apoyados en herramientas automáticas con capacidad para analizar activos tanto en entornos IT como OT. Sistemas de respaldo: Se deberá diseñar un sistema de copias de seguridad que permita restaurar información de los sistemas IT y OT y que esté aislado de tal manera que una potencial amenaza de ransomware no pueda afectarle. Planes de respuesta ante incidentes: Éstos incluirán procedimientos que faciliten la intervención de los técnicos responsables de gestionar las operaciones de las infraestructuras para hacer frente a situaciones de contingencia. Los planes de respuesta ante incidentes detallarán las funciones y responsabilidades de todas las partes vinculadas a la implementación de la ciudad inteligente de manera que aseguren la resiliencia operativa. Evaluación de proveedores: Las organizaciones deben evaluar los riesgos de cada proveedor y evitar exponerse a la utilización de hardware o software poco confiable que permita la explotación de vulnerabilidades. Así mismo, se deberán establecer requisitos de seguridad detallados para los proveedores de servicios gestionados y de servicios en la nube. Cumplimiento normativo: Se deberán evaluar los riesgos legales, especialmente los referidos a la privacidad, y adoptar los marcos de referencia en materia de ciberseguridad que faciliten la auditoría de los controles implementados. Anticípate a los riesgos de las ciudades inteligentes Global Technology tiene una dilatada experiencia en el análisis e implementación de soluciones de ciberprotección en multitud de sectores, entre los que se incluyen infraestructuras críticas. El equipo de expertos en ciberprotección de Global Technology le guiará en el proceso de creación de la mejor estrategia de ciberseguridad para implementar la tecnología en el marco de las ciudades inteligentes. José Antonio Barrio PuyoResponsable de SOC en Global Technology
Tendencias de ciberseguridad empresarial para 2024
En este artículo, desde Global Technology, queremos aportar nuestra visión sobre cuáles serán los principales ejes que impulsarán la estrategia de ciberseguridad en el ámbito empresarial en tendencias de ciberseguridad 2024, para hacer frente a los retos que deben afrontar resultado de la imparable evolución tecnológica. El rol del SOC, uno de los pilares de las tendencias en ciberseguridad En primer lugar, habrá que estar atentos a la posible continuidad de los conflictos geopolíticos presentes en 2023 y que han tenido una significada réplica en el ciberespacio, donde actores maliciosos de diversa índole han acometido numerosos ataques contra organizaciones públicas y privadas de todo el mundo. La monitorización continua de la actividad que se genera alrededor de los sistemas de información cobra más relevancia, si cabe, ante escenarios de este tipo. Es aquí donde juega un papel fundamental el Centro de Operaciones de Seguridad (SOC). La capacidad que posee de concentrar y analizar todos los eventos que se registran en las distintas herramientas de ciberseguridad le permiten reaccionar de manera inmediata ante cualquier amenaza y coordinar las actuaciones necesarias en la respuesta a incidentes. El SOC seguirá siendo el núcleo central alrededor del cual girará la estrategia de ciberdefensa de la empresa. Ciberseguridad en entornos IoT A lo largo de 2023 se ha observado un creciente número de ciberataques contra sistemas de control industrial (ICS) desplegados en infraestructuras de todo tipo. Esta tendencia se prevé que siga al alza en 2024. La convergencia entre el mundo IT y el OT, que conlleva la necesidad de integrar soluciones de un lado y otro para optimizar la capacidad productiva de las compañías está generando una mayor exposición de los sistemas OT a las ciberamenazas. La repercusión de los ataques contra estas infraestructuras suele ser significativa, llegando a comprometer seriamente a las organizaciones. Por este motivo, la estrategia de ciberseguridad de las empresas contemplará la incorporación de herramientas que permitan mantener actualizado un inventario de todos los dispositivos OT y monitorizarlos para detectar al instante amenazas y vulnerabilidades. Incremento del ransomware La amenaza del ransomware seguirá expandiéndose. Después de dos años creciendo los casos más de un 20%, el número de organizaciones que se verán afectadas por ciberataques basados en este tipo de malware seguirá aumentando. Esta tendencia es consecuencia de la consolidación del modelo de pago por uso de herramientas para la comisión de estos ataques instaurado por actores maliciosos altamente sofisticados. Es el conocido malware-as-a-service. Este modelo permite que actores con menor cualificación accedan al lucrativo negocio de la extorsión a través de este malware. Las empresas deberán seguir reforzando sus sistemas antimalware, implementar o dar continuidad a las acciones de concienciación a los usuarios y adoptar tecnología de análisis del comportamiento para la detección de amenazas complejas. Las soluciones SIEM de última generación con capacidad para analizar el comportamiento del atacante y del usuario serán un arma altamente eficaz para identificar este tipo de amenazas. Inteligencia Artificial Desde el lanzamiento de ChatGPT en noviembre de 2022, la inteligencia artificial (IA) se ha convertido en uno de los principales temas de conversación. El potencial uso de esta tecnología en el ámbito empresarial tendrá un papel relevante, siendo una de las tendencia en ciberseguridad de 2024, al igual que lo hará la preocupación por resolver algunas dudas que esta tecnología suscita en el ámbito de la ciberseguridad. La confiabilidad y la privacidad de los datos será un asunto en el que se deberá seguir evolucionando. Por otro lado, la IA también será adoptada de manera creciente por los actores maliciosos quienes la utilizarán cada vez más para ampliar el alcance de sus actividades y dotarlas de mayor frecuencia y precisión. Probablemente, veremos campañas de phishing más sofisticadas y a mayor escala que se asemejarán cada vez más a la acción de un humano. Para hacer frente a esta amenaza creciente, los equipos de ciberseguridad se servirán de herramientas que incorporarán nuevas funcionalidades basadas en IA. Así mismo, se apoyarán en las capacidades que ofrece la IA para sus flujos de trabajo, lo cual agilizará los procesos de gestión de las amenazas. Protección del dato El cambio de modelo de trabajo que muchas organizaciones han abordado ya y el que otras están valorando afrontar, basado en la implantación del teletrabajo en alguna de sus variantes (híbrida, total) y en la adoptación de la nube como espacio para alojar su información, mantiene viva la preocupación de los responsables de ciberseguridad por la protección del dato. Las empresas necesitan herramientas que les permita clasificar los datos, identificar el potencial riesgo al que están sometidos y alertar de cualquier actividad anómala que pueda generarse entorno a ellos. Estas herramientas deberán integrarse con las plataformas en la nube más extendidas. Gestión de la identidad El robo de credenciales es uno de los botines más deseados por los actores maliciosos. Para unos es un producto con el que poder hacer negocio y para otros la llave que les da acceso a la realización de ciberataques de gran envergadura. Por todo ello, las empresas se esforzarán en implementar procesos que permitan realizar una gestión adecuada de la identidad y del acceso. La adopción de herramientas IAM será una apuesta creciente, siendo las grandes aliadas en este ámbito. Igualmente, se generalizará la presencia del MFA como mecanismo de autenticación. La distinta normativa vigente en materia de ciberseguridad seguirá ejerciendo presión a las organizaciones para implementar este tipo de soluciones. Expansión del ciberseguro La búsqueda de soluciones que faciliten la gestión del riesgo ha encontrado en el ciberseguro una herramienta muy útil para las organizaciones dado que les permite transferir el riesgo y responder de manera efectiva a situaciones que hacen tambalear la continuidad del negocio. Muy probablemente, 2024 será un año de expansión en la contratación de estos productos. No obstante, hacerse con ellos es una tarea que no está exenta de dificultades. Las empresas que quieran optar a una póliza de protección de este tipo deberán cumplir con los rigurosos requisitos que exigirán las aseguradoras. A su vez,
Inversión en ciberseguridad VS costes de un ciberataque
El Instituto Nacional de Ciberseguridad (INCIBE) en su informe “Balance de ciberseguridad 2022” remarca el hecho de que en el año 2022 se gestionaron un 9% más de incidentes de seguridad. La tendencia futura será la de crecimiento continuado por lo que es imprescindible la inversión en ciberseguridad. Los ciberataques afectan tanto a particulares como a empresas, en un porcentaje similar. En el ámbito empresarial se debe desterrar el mito de que no se ejecutan ciberataques contra las pequeñas empresas. Se podría pensar que una pequeña empresa carece de interés para los ciberatacantes. Sin embargo, éstos se aprovechan de que estas organizaciones no suelen contar con las defensas más eficaces en materia de ciberseguridad. Así mismo, esa posible debilidad defensiva atrae a los ciberatacantes noveles para ensayar las técnicas de ataque recién adquiridas. Uno de los ciberataques que prolifera entre las pequeñas y medianas empresas es el conocido como “Fraude del CEO”. Los ciberdelincuentes suplantan la identidad de clientes o proveedores, falsificando facturas con el fin de desviar a sus cuentas bancarias los importes acordados. Así, la apropiación de, por ejemplo, un importe de 50.000€ puede suponer un serio problema para la contabilidad de una pequeña empresa. Además, al evidente perjuicio económico, hay que sumar la problemática derivada de la gestión de estas situaciones que habitualmente acarrean tensiones en las relaciones entre las partes afectadas. Consecuencias de un ciberataque En los medios de comunicación es habitual encontrar noticias relacionadas con ciberataques dirigidos contra grandes compañías y entidades públicas, siendo predominantes los cometidos mediante ransomware. Es este uno de los ataques más extendidos y que peores consecuencias ocasiona a las organizaciones afectadas. Cualquier organización puede verse afectada, independientemente de su tamaño. Un ataque basado en ransomware sirve de claro ejemplo para determinar las enormes consecuencias que puede acarrear un ciberataque. Las operaciones de la organización puede paralizarse o verse afectada durante tiempo indefinido. En el mejor de los casos pueden ser únicamente horas, si bien es frecuente que sean días o, incluso, semanas. Para que esto ocurra no es necesario desencadenar un complejo ataque masivo contra todos los sistemas de información de la organización. El sólo hecho de comprometer una parte de los sistemas de información, como por ejemplo el ERP de gestión financiera, puede obligar a paralizar el resto de los sistemas para verificar su estado. Por otra parte, más allá de las consecuencias que un ciberataque tenga sobre la propia organización. Habrá que tener en cuenta las que se puedan desencadenar debido a aspectos relacionados con el sector al que pertenezca o a la actividad que desarrolle. Las consecuencias pueden llegar a ser extremas. A continuación, se describen algunos ejemplos: Empresas suministradoras: el hecho de que una empresa de suministro energético, de telecomunicaciones o de servicios básicos, como el agua, vea afectada su actividad puede impactar gravemente sobre la actividad de empresas y particulares. Empresas de transporte: compañías dedicadas al transporte de viajeros o de mercancías son esenciales para mantener la actividad cotidiana. Cualquier afección en sus servicios tiene efectos negativos evidentes. Hospitales: lamentablemente, ya se han producido ciberataques que han impactado sobre hospitales provocando afecciones sobre su infraestructura que han provocado el fallecimiento de personas. Entidades públicas: la actividad diaria de empresas y particulares está asociada a procesos en los que interviene la Administración. La alteración de su habitual funcionamiento puede acarrearles importantes afecciones. Costes de un ciberataque Todas estas consecuencias tienen una traslación económica evidente. El coste económico que conlleva un ciberataque es la principal preocupación para las organizaciones afectadas. Sin embargo, cuantificar ese coste implica realizar un análisis profundo, dado que son muy diversas las circunstancias que se deben contabilizar para conocer el coste real de un ciberataque. Es más, algunas son difíciles de identificar. Así pues, a la hora de valorar la realización de una inversión en ciberseguridad, deberemos asegurar que, al menos, se tienen en cuenta los costes derivados de los siguientes aspectos: Pérdida económica derivada de la afección a la producción: la pérdida de ingresos fruto de estas afecciones suele ser el mayor coste que debe soportar la organización. Pérdida de confianza externa por parte de los clientes y los proveedores: sufrir un ciberataque puede generar cierta desconfianza en aquellos que mantienen relación con la organización afectada. Pueden pensar que las afecciones pueden extenderse. Daño reputacional: la filtración, por ejemplo, de información que incluya datos personales, tarjetas de crédito o números de cuentas bancarias supone un enorme descrédito para la organización comprometida, viéndose afectada su marca. Adquisición no prevista de equipamiento informático (software y hardware) para sustituir el afectado o desplegar medidas de protección. Contratación de recursos expertos en IT o ciberseguridad: se encargarán de hacer frente al ciberataque y recuperar el normal funcionamiento de los sistemas. Contratación de servicios jurídicos especializados: gestionarán posibles incumplimientos contractuales o normativos. Contratación de servicios de comunicación externa: determinarán cómo se debe informar a terceros afectados. Desviación de recursos a tareas no previstas: la gestión de un ciberataque puede requerir la realización de tareas no previstas por los equipos de la organización, dejando aparcadas las que estuviesen planificadas. Multas o sanciones: éstas suelen derivase del incumplimiento de normativas o acuerdos privados. Adicionalmente, no conviene olvidar otro tipo de coste que las organizaciones deben soportar a la hora de gestionar un ciberincidente. Se trata del desgaste en los equipos humanos generado por la situación de crisis desencadenada. Inversión en ciberseguridad La inversión en ciberseguridad supone un esfuerzo adicional para las empresas que requiere de una adecuada planificación. En muchas ocasiones resulta difícil determinar el retorno de la inversión (ROI) dado que se da la paradoja de que, esa inversión está orientada a evitar un incidente y si éste no se produce, no será posible conocer su coste. Por este motivo, algunas tesis señalan que la inversión en ciberseguridad debe estar orientada hacia la reducción de riesgos. La inversión en ciberseguridad debe estar guiada por un Plan Director de Ciberseguridad en el que se detallen las prioridades, los responsables y los recursos que se van
Qué es el ransomware y cómo evitarlo de manera eficaz
El 12 de mayo de 2017, numerosas organizaciones de todo el mundo vieron de forma repentina cómo la información de sus ordenadores quedaba inaccesible y un mensaje solicitando un rescate aparecía en su pantalla. Éste fue el momento en el que se dio a conocer el ransomware Wannacry, causante de uno de los ciberataques con mayor impacto conocidos hasta la fecha. ¿Qué es el ransomware? El término ransomware surge de la unión de las palabras “ransom” (rescate) y “ware” (producto). Con él se define aquel tipo de software malicioso (malware) diseñado para cifrar datos o bloquear el acceso a los equipos con el fin de pedir un rescate que permita recuperar la información, evitar su publicación o restablecer un sistema. Esta amenaza puede afectar a cualquier tipo de organización, independientemente de su tamaño. En la mayoría de los casos, la motivación de los ciberdelincuentes para desencadenar un ataque ransomware suele ser económica. No obstante, estos ataques también se asocian a demostraciones de poder, extorsiones o a una forma de deteriorar y desprestigiar la marca de la organización. Consecuencias para las empresas En la actualidad, las organizaciones poseen un alto grado de digitalización y gran parte de su actividad se rige por la inmediatez en la ejecución de los procesos. Por este motivo, verse afectado por un ransomware suele tener un gran impacto económico. Por un lado, hay que asumir el coste de las afecciones sobre el normal desarrollo de la actividad de la organización. Por otra parte, habrá que sumar los gastos derivados de las intervenciones necesarias para recuperar los sistemas atacados. Así mismo, habrá que valorar en qué medida se ha podido ver resentida la reputación de la marca. Y, finalmente, deberemos tener en cuenta que el pago del rescate no garantiza que los ciberdelincuentes cumplan con sus condiciones. Vectores de ataque El ransomware puede introducirse en los sistemas de una organización por diferentes vías: Correo electrónico: es la vía más habitual para introducir el ransomware en la organización. Puede esconderse bajo un archivo adjunto de apariencia inocua o en la inclusión de enlaces a web maliciosas. Como consecuencia de su ejecución, el usuario desencadena el ataque, provocando que se propague por toda la organización si no dispone de las medidas de protección adecuadas. Robo de credenciales con privilegios elevados: éste puede producirse mediante la utilización de técnicas de phishing (engaño) o de ingeniería social dirigidas contra los usuarios de la organización. Igualmente, esa sustracción de credenciales puede realizarse explotando vulnerabilidades de las aplicaciones. Servicios expuestos a Internet sin medidas de seguridad robustas. En ocasiones, la publicación de estos servicios deja puertas abiertas que son aprovechadas por los ciberdelincuentes para alojar el ransomware y desencadenar un ataque. Como podemos observar, en muchos de estos casos la figura del usuario aparece como un actor a través del cual los ciberdelincuentes tratan de introducir el ransomware en las organizaciones. Por este motivo, es habitual identificar al usuario como uno de los eslabones más débiles en la cadena de la ciberseguridad. Tipos de ransomware El tipo de ransomware que mayor grado de proliferación tiene es el diseñado para cifrar los archivos del sistema. Como consecuencia de su activación pueden quedar inaccesibles documentos de diferente formato, contenido audiovisual, etc… En la mayoría de los casos, este tipo de programa no inhabilita el sistema. Sin embargo, existen algunas versiones que causan un impacto demoledor en las organizaciones. Es el caso de Ryuk. Este sistema fue desarrollado para atacar a organizaciones relevantes y está considerado como uno de los más peligrosos. Ryuk es capaz de cifrar los archivos, los datos y dejar inhabilitado el sistema, lo que impide el acceso a los programas y la recuperación de la información. Otro tipo de ransomware que podemos encontrarnos es el desarrollado para bloquear determinadas funciones de los equipos, a raíz de lo cual quedan inoperativos. En cambio, los datos y los archivos no suelen verse afectados. En estos casos, los ciberdelincuentes se limitan a dejar un mensaje en pantalla solicitando un rescate. ¿Cómo actuar frente a este tipo de ciberataques? La amenaza de sufrir un ataque de tipo ransomware es constante. Por este motivo, es necesario implementar una estrategia de ciberseguridad que ofrezca protección continua. Por fortuna, podemos adoptar un paquete de medidas básicas y de fácil adopción que se revelan muy efectivas a la hora de hacer frente a este tipo de ataques. A continuación, detallamos algunas recomendaciones: Instalar una herramienta antimalware en los equipos que permita detectar y bloquear el malware conocido a través de firmas y heurística. Implementar una solución de seguridad EDR o XDR en los equipos. Estas herramientas tienen capacidad para prevenir, detectar, eliminar y responder a amenazas avanzadas. incorporando funcionalidades adicionales a las que poseen los antimalware tradicionales. Así, son capaces de identificar comportamientos sospechosos y monitorizar la actividad, tanto en el endpoint (EDR) como en otras fuentes de la red (XDR). Además, facilitan una rápida respuesta al incidente y ofrecen la posibilidad de realizar un análisis forense del mismo. Aplicación de parches. El sistema operativo y las aplicaciones de los equipos deberán mantenerse actualizados y con los últimos parches de seguridad aplicados. Bloquear el acceso a sitios comprometidos. Permitir únicamente el uso de aplicaciones autorizadas. Restringir o prohibir el uso de dispositivos personales que no dispongan de medidas que garanticen la seguridad. Prohibir el uso de dispositivos de almacenamiento extraíbles o limitar su uso bajo unas estrictas medidas de seguridad. No utilizar cuentas de usuario con privilegios de administrador. Además de estas medidas técnicas, para hacer frente a la amenaza del ransomware, resulta fundamental realizar campañas de concienciación de los usuarios. Hemos visto que una de las principales vías de acceso que utilizan los ciberdelincuentes para introducir el programa en la organización es a través de la acción del usuario. Por este motivo, mediante la aplicación de algunas buenas prácticas, el usuario puede evitar ser víctima de estas amenazas. En Global Technology somos especialistas en soluciones de ciberprotección con capacidad para hacer frente a la amenaza del ransomware. Así
¿Qué es el SIEM? Descubre su importancia para las empresas
La gestión de los eventos de seguridad es uno de los retos principales a los que se enfrentan los equipos encargados de la protección de las organizaciones. El motivo es la gran cantidad de casos de este tipo que generan las diferentes herramientas que se despliegan para velar por la protección de los sistemas de información. Estamos hablando de miles o, incluso millones, generados en diferentes formatos, que deben ser analizados para determinar cuáles requieren de atención y tratamiento. Es aquí donde entra en juego una herramienta fundamental para gestionar de manera eficaz toda esa información: el SIEM (Sistema de Gestión de Eventos e Información de Seguridad). ¿Cómo funciona un sistema SIEM? Las funcionalidades con las que cuenta un SIEM permiten, en primer lugar, clasificar los eventos de seguridad y normalizarlos. A continuación, aplicando reglas de correlación, se pueden identificar anomalías o comportamientos sospechosos que desencadenan alertas. Como resultado de esta combinación, las organizaciones pueden satisfacer las necesidades de cumplimiento e identificar y contener a los atacantes más rápido. El origen de la tecnología SIEM está en la evolución y fusión de las herramientas SIM (Gestor de Información de Seguridad) y SEM (Gestor de Eventos de Seguridad). Desde su aparición, las herramientas SIEM han ido evolucionando, incorporando nuevas capacidades que han permitido acelerar el proceso de detección, análisis y respuesta a eventos de seguridad. Beneficios de los sistemas SIEM Las capacidades básicas que podemos encontrar en un SIEM son éstas: Recolección de eventos: a través de diferentes mecanismos, el SIEM recibe información de múltiples orígenes de datos (dispositivos de red, dispositivos de seguridad, servidores, equipos de usuario, aplicaciones…). Correlación de eventos: el SIEM busca patrones comunes entre los eventos recibidos que faciliten la identificación de comportamientos sospechosos. Generación de alertas: la correlación y el análisis continuo permiten generar notificaciones de alertas a través de diferentes canales de comunicación. Cuadros de mando: la información procesada por el SIEM se presenta en diferentes formatos gráficos facilitando la gestión y la operación de los analistas de seguridad. Cumplimiento normativo: el SIEM es una herramienta de apoyo en el proceso de cumplimiento normativo. Así, entre sus capacidades, estarán las que permitirán automatizar la recogida de información en base a lo exigido en la normativa aplicable y, también, la de generar informes que se adapten a las necesidades de gobernanza, seguridad o auditoría Retención: por último, el SIEM nos permitirá disponer de un periodo de retención de la información recopilada, lo que permitirá rastrear el origen de incidentes desde tiempo atrás. Adicionalmente, a estas capacidades, se suman en los últimos años otras que han hecho que las herramientas SIEM que las incorporan sean incluidas en la categoría de SIEM de próxima generación. Son aquellos que, además de utilizar reglas para la detección de amenazas, poseen capacidades avanzadas entre las que se encuentran las basadas en el comportamiento, tanto del usuario (UEBA) como del atacante (ABA). Así mismo, entre estas nuevas capacidades avanzadas figuran la tecnología de engaño y la supervisión de la integridad de los archivos (FIM). ¿Qué es el SIEM integrado en SOC? Cuando se define la estrategia de ciberseguridad de una organización, el Centro de Operaciones de Seguridad (SOC) se posiciona como el punto neurálgico desde el que se coordina la defensa contra los ciberataques. El SOC, tal y como se concibe actualmente, se configura con la suma de personas, procesos y tecnología. Dentro de esta última, el SIEM constituye un elemento básico, siendo la herramienta que permite monitorizar y centralizar los eventos de seguridad, así como, reconstruir los detalles de un ataque en tiempo real. Por esta razón, si disponemos de un SIEM con capacidades avanzadas podremos acelerar el proceso de investigación de las alertas que se desencadenen y crear flujos de trabajo para su gestión. Desde la consola central se podrá monitorizar, analizar y responder a eventos de seguridad. Igualmente, será posible medir y reducir el riesgo al que estén sometidos los activos. Adicionalmente, debemos tener en cuenta el papel esencial que juegan los analistas de seguridad que operan en el SOC y cómo se complementa su labor con el SIEM. Es más, para ser eficaz en la identificación de amenazas se requiere del análisis que realice el equipo que conforma el SOC. Los analistas consumen información y alertas generadas a partir de la tecnología SIEM y serán ellos los que juzguen si un evento concreto constituye un incidente de alto riesgo o es simplemente una falsa alarma. Cómo implementar el sistema SIEM con Global Technology El SOC de Global Technology opera con sistemas SIEM de próxima generación e incorporar la última tecnología para la detección de amenazas. Son herramientas que poseen una arquitectura híbrida. El almacenamiento de toda la información recopilada, los módulos de análisis del comportamiento, así como la consola central de la herramienta radican en la nube. La infraestructura que tiene que aportar el cliente es mínima, limitándose a la necesaria para alojar un sensor de red para analizar todo el tráfico de datos que fluye por su red y un servidor recolector de eventos que procedan de fuentes que no tengan conexión directa con la plataforma ubicada en la nube. El almacenamiento de datos en la nube no está sujeto a un número determinado de eventos por segundo o al espacio ocupado. Como consecuencia de todo ello, la solución SIEM que ofrece Global Technology permite que el cliente conozca desde el primer momento su coste y que no tenga que soportar costes de infraestructura elevados. Por último, es necesario destacar las ventajas que a nivel operativo incorpora la solución SIEM propuesta por Global Technology. Su despliegue se realiza en un corto espacio de tiempo, lo que permite acelerar el proceso de recolección de información. Como resultado, el cliente comienza a recibir información de la monitorización de su entorno en muy poco tiempo. José Antonio Barrio PuyoResponsable de SOC en Global Technology
MITRE ATT&CK ICS: Detección de amenazas en entornos OT
El desarrollo del concepto Industria 4.0 tiene en las estrategias de convergencia de los entornos IT y OT una de las claves para alcanzar mayores niveles de eficiencia en la producción. Lamentablemente, este proceso de integración conlleva que las amenazas que sobrevuelan sobre el ámbito IT se trasladen al mundo OT. Últimamente, se observa un incremento en la actividad que los actores maliciosos dirigen contra activos del entorno OT, a través de amenazas que incluyen malware, ransomware y botnets. La investigación de esta actividad potencialmente maliciosa en el ámbito OT se ha venido realizando con técnicas específicas para los entornos afectados. Esta dispersión de metodologías generaba un gran esfuerzo a los equipos de analistas en la realización de cada investigación. Afortunadamente, para hacer frente a estas amenazas, se ha conseguido trasladar desde el ámbito IT las metodologías de investigación que, con tanto éxito, se han desarrollado allí. Así, marcos como el del MITRE ATT&CK, que define tácticas, técnicas y procedimientos (conocidas como TTP) para acelerar la respuesta a las amenazas, fue replicado y adaptado en el año 2020 para identificar las tácticas y técnicas que los actores maliciosos utilizan para atacar los sistemas de control industrial (ICS). ¿Qué es MITRE ATT&CK? MITRE ATT&CK son las siglas de MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK). El MITRE ATT&CK Framework for ICS clasifica la actividad maliciosa en una matriz que recopila 12 tácticas dentro de las cuales hay alrededor de 90 técnicas distintas. Ambas están identificadas con un ID (TA para las tácticas y T para las técnicas) y con la fecha de su creación y de su última modificación. Fuente: https://attack.mitre.org/tactics/TA0108/ Como se puede observar en la matriz, las tácticas recorren toda la cadena de un ataque, desde el acceso inicial hasta el impacto. El formato en el que se presenta la matriz permite entender de forma muy sencilla la relación entre unas y otras. Fuente: https://attack.mitre.org/matrices/ics/ En la descripción de cada técnica se incorpora información precisa que resulta muy útil para la identificación de las amenazas y, también, para ayudar a las organizaciones a detectar fallos en la seguridad de la infraestructura OT y priorizar su mitigación en base a su nivel de riesgo: Uso que los actores maliciosos puede hacer de la técnica Algunos ejemplos de procedimientos de ejecución Medidas de mitigación específicas y mecanismos de detección. Fuente: https://attack.mitre.org/techniques/T0807/ Así mismo, entre la información aportada en cada técnica, encontraremos referencias a las posibles plataformas en las que el actor malicioso podría ejecutarlas. Así, si accedemos a la técnica “Interfaz línea de comandos” (T0807), perteneciente al grupo de las tácticas de “Ejecución” (T0104) vemos que puede ser ejecutada en estos activos: Servidores de control Historiadores de datos Controladores de campo (RTU, PLC…) Interfaz hombre-máquina, Servidores de entrada/salida En cuanto a los procedimientos, éstos se revelan como un instrumento muy útil para conocer cómo se pueden utilizar las técnicas. Incluso, pueden servir para simular escenarios que repliquen su presencia y obtener, así, información que ayude a la detección en situaciones reales. Las herramientas de monitorización y detección de amenazas se apoyan en estos marcos para asociar de forma inmediata el comportamiento malicioso con las técnicas en la cadena de ataque. De esta forma, los analistas del Centro de Operaciones de Seguridad (SOC) obtienen rápidamente información precisa sobre los comportamientos detectados. El tiempo dedicado a la investigación se reduce drásticamente. Si tenemos en cuenta que muchos de estos sistemas de control industrial operan en infraestructuras críticas o de gran dependencia para la actividad diaria de las personas, la agilidad en la respuesta a la amenaza resulta muy relevante para evitar daños que podrían afectar, incluso, a la vida de éstas. La utilización de marcos como el MITRE ATT&CK ICS no sólo son útiles para los equipos encargados de la ciberdefensa, sino que, además, pueden servir de referencia a las organizaciones para definir la estrategia de seguridad a aplicar en los entornos OT, ya que facilita la evaluación de las defensas implementadas, la identificación de posibles debilidades y permite valorar medidas orientadas a robustecer la protección del entorno. Alrededor del MITRE ATT&CK han surgido proyectos que han facilitado la generación de mapeos entre distintos estándares normativos y este marco de referencia. Gracias a estas iniciativas se evita que los encargados de la seguridad de los sistemas de control industrial tengan que dedicar tiempo a realizar sus propios mapeos, lo que favorece que puedan enfocar su tiempo y recursos a mitigar las amenazas. En el camino hacia la convergencia de los entornos IT y OT se debería incluir la convergencia de la gestión de la ciberseguridad en ambos lados, de forma que ésta se abordarse de forma global, apoyándose en herramientas que incorporen estos marcos de referencia para la detección de amenazas. El SOC de Global Technology cuenta con herramientas avanzadas para la detección de amenazas en entornos IT y OT que incorporan los correspondientes marcos del MITRE ATT&CK. Las herramientas utilizadas en entornos OT son capaces de abordar la monitorización de los dispositivos de forma pasiva, sin necesidad de desplegar agentes, lo cual se revela como un método ágil, nada invasivo y muy eficiente. José Antonio Barrio PuyoResponsable de SOC en Global Technology
Recolección y correlación de eventos
Cuando se define la estrategia de ciberseguridad de una organización, el Centro de Operaciones de Seguridad (SOC), se revela como un elemento fundamental para coordinar la defensa contra los ciberataques. El SOC moderno se configura con la suma de personas, procesos y tecnología. Dentro de esta última, el SIEM (Gestor de Eventos e Información de Seguridad) se posiciona como un elemento básico, siendo la herramienta que permite monitorizar y centralizar los eventos de seguridad, tanto del entorno IT (Information Technology) como del OT (Operational Technology). El SIEM clasifica estos eventos, los normaliza y les aplica reglas de correlación mediante las cuales se pueden identificar anomalías o comportamientos sospechosos. El conjunto de funciones básicas que debe incorpora un SIEM moderno son estas: Recolección de información Correlación de eventos Generación de alertas Cuadros de mando Cumplimiento normativo Retención Análisis forense En este artículo nos vamos a centrar en las dos primeras funciones: la recolección de información y la correlación de eventos. Recolección de eventos La recolección de eventos se consigue a través de la integración de diversas fuentes de datos en el SIEM. Cuanto más grande sea la organización mayor número de orígenes de datos serán susceptibles de alimentar el SIEM y, por tanto, mayor cantidad de información deberá procesarse. Se recopilan eventos provenientes de aplicaciones, servicios en la nube, redes y dispositivos. Los SIEM modernos permiten, además, integrar fuentes de inteligencia de amenazas de terceros que serán muy útiles en la fase de correlación para la detección de nuevos ataques. Active Directory Detectores de Malware Servicios en la nube Honeypot IDS/IPS Firewall DHCP DNS Correo electrónico Filtros de correo Sistemas de autenticación Servicios de directorio (LDAP) VPN WAF Otros Fuentes de eventos Esta diversidad de fuentes conlleva que la estructura de la información enviada sea heterogénea. Es en la fase de recolección donde se normalizan y clasifican para poder ser gestionados de forma eficiente. Las plataformas SIEM que encontraremos en el mercado disponen de diferentes modelos de licenciamiento, siendo los más extendidos aquellos que se basan en la cantidad de eventos por segundo a procesar (EPS) o en el tamaño del almacenamiento requerido para albergar los eventos recopilados, frente a los que se licencian en base al número de activos a monitorizar. Si se opta por un SIEM dónde el volumen de eventos condiciona el coste de la solución habrá que optimizar el proceso de recolección con el objetivo de recopilar únicamente aquellos eventos que sean útiles para la gestión de la seguridad. El volumen de datos almacenados deberá ser tenido en cuenta, además, para calcular los recursos necesarios en base al periodo de retención que se quiera habilitar. Normas como la ISO/IEC 27001 o la PCI-DSS exigen que los eventos estén disponibles durante un determinado periodo de tiempo. El proceso de integración de las fuentes de eventos es complejo debido a las diferentes tecnologías a gestionar y los diferentes mecanismos que facilitarán esa integración. Este proceso necesita de un análisis que permita asegurar la correcta integración y que los eventos que se envíen al SIEM sean los adecuados para alinearse con los casos de uso que se hayan definido. Los mecanismos para la integración de fuentes pueden ser diversos. Estos son algunos de los más utilizados: Agentes: en equipos de usuario y servidores se instalan agentes ligeros que recopilan los eventos de seguridad que se generan en el sistema. Reenvío de logs (Syslog): para la monitorización de aplicaciones y servicios o de dispositivos en los que no sea posible la instalación de un agente, se enviarán los logs a un servidor central desde el que se realizará la ingesta al SIEM. WMI: en entornos con tecnología Microsoft es habitual abordar la integración de determinados servicios mediante un conector WMI (Windows Management Instrumentation). Correlación de eventos Una vez realizada la ingesta de eventos en el SIEM, arranca la segunda fase con la correlación. Ésta es una técnica de análisis matemático que, partiendo de un conjunto de eventos, busca relaciones entre ellos que permiten generar alertas en tiempo real. Estos eventos, por si solos, pueden no ser significativos, pero dentro del conjunto pueden revelar comportamientos anómalos. Creación de alertas personalizadas en InsightIDR El sistema de correlación de eventos está basado en un motor de reglas. La potencia de este motor y la posibilidad que ofrezca al usuario de definir sus propias reglas adaptadas al entorno a monitorizar es un factor diferencial a la hora de determinar las prestaciones de una herramienta SIEM. Así mismo, habrá que tener en cuenta el grado de complejidad que posea el lenguaje requerido para la creación de esas reglas. Las reglas de correlación podrán tener en cuenta una o varias fuentes de datos, podrán ser simples o complejas y podrán desencadenar acciones, como el envío de alertas o la realización de actuaciones sobre el sistema afectado. La correlación de eventos es una funcionalidad esencial de las herramientas SIEM. Gracias a los motores de reglas se pueden identificar patrones de comportamiento y, por tanto, obtener información para detectar amenazas rápidamente. La automatización de este proceso complejo permite liberar de una gran carga de trabajo a los analistas de ciberseguridad y optimiza el tiempo de detección y respuesta. El SOC de Global Technology dispone de herramientas SIEM con capacidades avanzadas que facilitan la integración de todo tipo de fuentes de datos y la correlación de grandes volúmenes de eventos de manera ágil y con la posibilidad de crear reglas personalizadas para cada caso de uso. Además, estos SIEM están basados en modelos de licenciamiento que facilitan la determinación del coste de la solución desde su puesta en marcha. José Antonio Barrio PuyoResponsable de SOC en Global Technology