David Grout Director de Ingeniería de Sistemas para el Sur de Europa de FireEye
	En el ISMS Forum participaré en una mesa redonda que analizará si una aproximación de ecosistema es efectiva para la ciberseguridad. Realmente es un área interesante en la que creo que se estarán centrando muchos asistentes.

Asegurar las infraestructuras usando capas de tecnología sin un enfoque de ecosistema es una pérdida de tiempo actualmente. Los atacantes avanzados están usando todas las debilidades y vectores potenciales para alcanzar sus objetivos y la única forma de atraparlos es organizar un ecosistema de seguridad.

El planteamiento del ecosistema permite a cualquier compañía la capacidad de centralizar la visibilidad, tomar mejores decisiones y gestionar las investigaciones. Este método no siempre equivale a un modelo de mono editor y no sólo está basado en tecnologías. Para desarrollar un ecosistema hace falta agregar importantes áreas de tecnología, personal, procesos e inteligencia para ganar agilidad al detectar, proteger o reaccionar durante un ciberataque.

Proteger solo las TI, y con tecnologías dispares, no es suficientemente eficiente.  Las empresas e instituciones necesitan crear una plataforma controlada por la inteligencia para comprender qué y contra quién están luchando lo que a su vez les permitirá reaccionar más rápido a los ciberataques. Como mencionamos en nuestro informe M-Trends, las empresas necesitan centrarse en reducir el tiempo medio de permanencia (el tiempo que pasa desde que la seguridad se ve comprometida y su detección). Para reducirlo, las empresas y sus SOC necesitan conocer en profundidad las TTP (técnicas, herramientas y procedimientos) de los atacantes para buscarlos de forma proactiva y reactiva.

El enfoque reactivo es el modelo estándar desarrollado hace décadas con las tecnologías de firmas que buscan artefactos conocidos usados por los atacantes. Hoy en día, para ir un paso más allá, las empresas necesitan buscar proactivamente a los atacantes, y no esperar a la simple detección, sino cazar y buscar de forma activa las TTP conocidas en sus redes.  También necesitan buscar actividades no maliciosas, ya que los atacantes están usando cada vez más herramientas conocidas y autorizadas, como Windows Management Instrumentation (WMI), PowerShell y otras. 

El enfoque o modelo de ecosistema aporta valor cuando se encuentra algo, las empresas pueden pivotar desde los indicios generados a piezas de otras redes como OT, plataformas cloud… y buscar más datos forenses para determinar si los atacantes están allí y, si es así, cuál es el perímetro de los ataques.

La inteligencia es la clave para construir diferentes escenarios de ataque potenciales y definir la investigación proactiva de artefactos. Los resultados brindarán valor añadido al sistema de protección para crear un ciclo de mejora global.

Crear un ecosistema de seguridad controlado por las capacidades de inteligencia y forenses es hoy en día el nuevo paradigma para rastrear a los atacantes avanzados en las redes de las empresas. Les invito al debate sobre este interesante asunto el próximo 20 de septiembre a las 10:10.