Por: Omar Franco – Líder Centro de Competencia SOC
Los ataques a las plataformas y sistemas TI de las empresas son cada vez más frecuentes y sofisticados. Los atacantes tienen todo el tiempo del mundo, además de un acceso casi ilimitado a recursos, para planificar y ejecutar sus acciones; mientras que las organizaciones tienen restricciones que no les permiten responder de manera oportuna a las amenazas.
Cisco, en su Annual Cybersecurity Report del 2018, indica que apenas 26% de los problemas encontrados por equipos de seguridad, pudo ser resuelto sólo con tecnología. Esto deja una brecha de 74% de casos sin resolver.
El informe afirma, asimismo, que la tendencia actual es la tercerización de los servicios de seguridad. En 2014, 21% de las empresas no optaba por el outsourcing en este campo, pero en 2017 dicha proporción bajó a sólo 6%. En contrapartida, la contratación de servicios de monitoreo creció de 42% a 49% durante el mismo período.
De hecho, en Estados Unidos durante los últimos años la mayoría de las empresas ha contratado servicios de seguridad con terceros, buscando que la estrategia esté alineada con sus procesos de negocio. Además, delegar la seguridad en terceros, soluciona los problemas más comunes de las empresas, como restricciones de presupuesto, falta de capacidad de inversión en hardware y contratación de personal capacitado, y necesidad de responder más rápido ante los incidentes.
En SONDA creamos un centro de competencia para prestar servicios de seguridad estandarizados en toda la región, que utiliza las mejores prácticas de la industria, con personas, procesos y tecnologías de excelencia, para ofrecer a nuestros clientes una cobertura completa en todas sus necesidades de seguridad de sistemas TI. Destaca el servicio de monitoreo a través del Security Operations Center, SOC, el cual se realiza con un sistema de monitoreo de seguridad que realiza correlación de eventos. Se provee de manera remota y está a cargo de un equipo de ingenieros, organizados en diferentes niveles de conocimiento y con procesos de gestión de incidentes, basados en guías del NIST, como la SP 800-61 Rev. 2, y mejores prácticas de ISO2000.
Este servicio aumenta el campo de visibilidad del entorno del cliente, utilizando la infraestructura actual, configurando casos de uso adaptables a cada necesidad, como: ataques por punto ciego, robo de credenciales, acceso fuera de horario de oficina y descubrimiento de sistemas comprometidos actuando como bot http, entre otros.
Un caso paradigmático fue el de un cliente del sector Gobierno en Colombia. Durante el primer día de activación del servicio se detectó la mala utilización de una cuenta de administrador del directorio activo. Esto quedó al descubierto al observar que un usuario “X” tenía la mayor cantidad de login exitosos, y se autenticaba desde diversas ciudades durante un periodo muy corto. Al realizar una investigación, se determinó que dicho usuario “X” tenía privilegios de administrador y era utilizado por los administradores del dominio para pruebas. Esto traía consigo un importante problema de seguridad, pues si las credenciales de ese usuario caían en manos malintencionadas se podían realizar cambios importantes y hacer cualquier tipo de acción dentro del dominio sin problema.
Si no se hubiese contado con un sistema de seguridad adecuado, esta actividad (que se realizaba todos los días sin ser detectada), solo hubiese quedado al descubierto cuando se materializara algún incidente. Pero al contar con monitoreo adecuado, se detectó a tiempo para corregirla.
Por ello, recomendamos, como primer paso para gestionar la seguridad de manera eficiente, realizar un análisis del estado de la seguridad, que incluya revisión de la arquitectura, análisis de vulnerabilidades y revisión de las políticas de seguridad. Así será posible recomendar el servicio más adecuado a las necesidades y desafíos de la organización (Security Operations Center SOC, Managed Services, Gestión de Vulnerabilidades y Consultorías). El objetivo final debe ser orientar la seguridad a los procesos de negocio, y resguardar lo más preciado que tienen las empresas: sus datos y sistemas de negocio, manteniendo su continuidad operativa.