5 formas en que una empresa debe responder ante un ciberataque

Las compañías en México y Latinoamérica están en riesgo de perder la batalla contra la ciberdelincuencia si no están preparadas para detectar, analizar y responder ante cualquier tipo de amenaza, así lo considera Arbor Network, la división de seguridad de NETSCOUT.

La mayoría de los ataques que tuvieron éxito no se aprovecharon de una vulnerabilidad crítica. Muchos de ellos no utilizaron un malware como herramienta para atravesar las defensas del objetivo. Los cibercriminales gozan de ventajas inalcanzables en este medio, es difícil identificarlos técnicamente, son muy competentes y cuesta mucho más procesarlos legalmente.

Para Carlos Ayala Rocha, solution architect LATAM para Arbor Networks, el 100% de las organizaciones tiene un cierto nivel de compromiso, hay algunas que lo saben y tratan de combatirlo, mientras hay quienes están comprometidos y simplemente no se enteran y creen que nunca les ha pasado. La planeación de un ataque puede tomar meses; sin embargo la ejecución de un ataque exitoso puede tomar únicamente horas.

Ante esta situación, destaca los cinco puntos para mejorar la detección y respuesta ante amenazas avanzadas, los cuales son básicos en una estrategia de seguridad ya que le permitirá a una organización conocer a los atacantes antes de que ellos lo hagan.

1. Implantación de herramientas de detección temprana y forense

Tener visibilidad total de lo que está pasando en materia de riesgo contribuye a una detección oportuna de amenazas o de actividades anómalas. Para ello se requieren de soluciones específicas, tales como la Monitorización de la Seguridad de la Red (NSM) a fin de obtener datos de múltiples fuentes como sea posible, utilizar herramientas que digieran y analicen grandes cantidades de datos en tiempo real, e incorporar interfaces amigables para hacer consultas en lenguaje natural y visualizaciones rápidas.

Carlos Ayala informó que la automatización de la detección y la aplicación de revisiones y controles periódicos son los métodos más populares actuales; sin embargo, existen herramientas que ofrecen una visibilidad total de la actividad de la red con un análisis de paquetes y flujos en tiempo real, y mediante una búsqueda rápida y sencilla en la actividad de los meses pasados.

2. Integración de ciberinteligencia de amenazas y respuesta a Incidentes

La generación de ciberinteligencia cobra amplio valor, debido a que facilita la toma de decisiones a través de una visión razonada de posibles ciberamenazas futuras; busca proporcionar múltiples fuentes de información para agregar contexto, así como tener una visión macroscópica de lo que sucede en el ciberespacio con el objetivo de mejorar el proceso de Respuesta a Incidentes.

Como proveedores de soluciones de seguridad deben aplicar el ciclo de ciberinteligencia de amenazas (ASERT) que está relacionado con la identificación de la necesidad de inteligencia de cada cliente, instrumentación de procesos y gente, cambios en la arquitectura.

La ciberinteligencia reside inicialmente en los datos y las capacidades técnicas para recopilarlos y analizarlos; sin embargo, éstas deben desarrollarse a tal grado que la información analizada pueda ser distribuida a lo largo de toda la organización de forma entendible a todos los niveles. Existen cuatro niveles de inteligencia: Inteligencia Estratégica, Táctica, Técnica y Operacional, lo cual supone roles y responsabilidades que deben ser cubiertos con diferentes objetivos y capacidades.

3. Mejorar el proceso de priorización

La razón por la que las organizaciones tienen dificultad para enfocarse en lo importante no solo es por la naturaleza avanzada de las amenazas, sino porque tienen muchos datos por analizar. Por lo tanto, se requieren procesos analíticos de largo término, con múltiples fuentes de información para enfocarse en lo significativo y proporcionar conciencia situacional.

Al respecto, Carlos Ayala comenta que las organizaciones no deben perder tiempo en falsos positivos o en información que no aporta tanto valor ni tiene contexto.

4. Incrementar el personal de seguridad

No solo se trata de cantidad sino de calidad de analistas de seguridad en la organización, y sobre todo de técnicas de Análisis de Hipótesis Competitivas (ACH) para tomar respuestas con base en la evidencia tangible del entorno.

La mayoría de las organizaciones no crea hipótesis, todo es con base en lo que creen, piensan o sienten. Es necesario enseñarle a la gente que está en campo y a los analistas de inteligencia a crear hipótesis y refutar incluso indicadores.

5. Crear un equipo de caza

Si las organizaciones no tienen un equipo de caza están perdiendo la batalla contra la ciberdelincuencia. Requieren de un equipo activo de caza para que la ciber inteligencia de amenaza tenga un impacto positivo en la organización.