Los CyberSOC son cada vez más importantes para la seguridad empresarial
En la actualidad vivimos en un un mundo cada vez más digital, y los ciberdelincuentes tratan de sacar beneficios con sus acciones ilegales. Las empresas tienen que estar preparadas para responder ante estas amenazas que les pueden causar un grave perjuicio económico, y también de reputación. Las organizaciones están implementando sus equipos de CyberSOC para dar respuesta a los incidentes y a los servicios de seguridad.
Años atrás, todos dependían del SOC (incluidos los firewalls, WAF, SIEM, etc.) y la prioridad en la construcción del SOC proporcionaba seguridad a la empresa. No obstante, con la llegada de los ciberdelincuentes, la amenaza se convierte en un desafío mayor, y el SOC no puede ofrecer la suficiente seguridad a la organización. Hay muchas razones para el fracaso del SOC existente, donde sólo depende del SIEM.
Qué aporta el SIEM a la seguridad de una empresa
SIEM viene del inglés Security Information and Event Management. Las soluciones SIEM se basan en detectar actividades sospechosas que amenazan los sistemas de una organización, con el objetivo de solucionarlas de forma inmediata. Estas herramientas SIEM pueden procesar una gran cantidad de registros de sucesos. De esta forma, luego envían alertas sobre los fallos de seguridad y de las actividades sospechosas que están ocurriendo.
Un problema que tienen los SIEM, es que almacenan demasiados datos inútiles no estructurados. Por esta razón, encontrar la causa o solucionar una incidencia urgente no será posible, ya que llevará bastante tiempo y esfuerzo analizar toda la información.
Muchas organizaciones creen que la integración de todos los dispositivos de seguridad como firewalls, enrutadores, SIEM etc, les proporcionará un 100% de seguridad. Sin embargo, esto es falso desde que surgió los APT.
Los ataques de los grupos APT
APT son las siglas en inglés de Advanced Persistent Threat (Amenaza Avanzada Persistente). Este concepto saltó a la fama tras la divulgación de ataques realizado por una unidad militar china llamada APT.
En el momento que los defensores empezaron a aprender, los atacantes también evolucionaron mejor y empezaron a atacar en grupo. Estos grupos de APT están explotando las aplicaciones que usamos con frecuencia, y las explotan durante años hasta que son descubiertas. En RedesZone tenemos un tutorial en el que explicamos cómo protegernos de los APT.
Las empresas deben tener un modelo de defensa con CyberSOC
Las organizaciones necesitan estar preparadas para recibir estos ataques, necesitan un equipo de CyberSOC para dar respuesta a los incidentes y controlar los servicios de seguridad. Nuestra defensa contra los ataques APT, o de otro tipo, debe construirse pensando en cómo actúa nuestro oponente. En ese sentido, para preparar nuestro modelo de defensa, debemos conocer las tácticas que utilizan, cómo entran, cómo se propagan y cómo exfiltran los datos.
Otro factor importante es la inteligencia de amenazas que proporciona información sobre amenazas globales. Muchos fabricantes están proporcionando información de matriz de amenazas, herramientas utilizadas, artefactos utilizados, etc. Por lo tanto, hay que estar al día sobre las amenazas que pueden afectar a nuestras empresas.
Sabemos que los grupos APT están bien capacitados para aprovechar una vulnerabilidad. En ese sentido, esa información que hemos recopilado debe utilizarse para corregir esas brechas de seguridad antes de que los atacantes las exploten.
Con todo esto no sería suficiente, hay que realizar más trabajo, en este caso de prevención. En todas las organizaciones se deberían tener equipos de búsqueda de amenazas que busquen eventos sospechosos y se aseguren de que no se conviertan en incidentes. Para ello se debe hacer una búsqueda exhaustiva dentro de nuestra red, entre otras cosas de:
- Balizas de red.
- Escaladas de privilegios internos.
- Derivación UAC.
- Túneles sospechosos.
Asimismo, debemos ocuparnos para que el tiempo de permanencia de estos ciberdelincuentes sea el menor posible, para no dejarles el tiempo suficiente para que encuentren los puntos más vulnerables de la red. Por este motivo es fundamental el hardening de los equipos, para retrasar que los cibercriminales sean capaces de comprometer el sistema.
Por último, si todo esto falla, hay que dar una respuesta al incidente, pero si estamos preparados con un equipo de CyberSOC y hemos hecho bien nuestros debere,s sin duda la consecuencias de ese ciberataque serán mucho menores.