Jorge Sánchez Mayoral - Manager Cyber Risk Advisory, Deloitte

12 de mayo de 2017. Durante las primeras horas del día, se empieza a detectar un comportamiento extraño en multitud de sistemas de diferentes compañías a lo largo del mundo. Comienza en el sudeste asiático y en menos de cuatro horas se ha extendido por todo el planeta llegando a Europa. Oficialmente más de 360.000 equipos en más de 150 países fueron afectados en el mayor incidente de ransomware hasta la fecha. Estamos hablando de Wannacry, y su impacto real, nunca seremos capaces de calcularlo con exactitud.

Desde entonces los ataques de este estilo se han ido sucediendo hasta convertirse en la principal amenaza de ciberseguridad para cualquier empresa dada la relativa facilidad para llevarlos a cabo y el alto retorno económico que suponen para los actores maliciosos. A día de hoy, incluso se ha generado toda una lucrativa industria del cibercrimen alrededor del ransomware comparable, en términos productivos, al PIB de muchos países occidentales.

Teniendo en cuenta el impacto tan alto que supone para las compañías, la alta dirección se pregunta si realmente se está haciendo todo lo posible para evitar ser víctima de un ransomware.

Por poner un ejemplo, y aterrizándolo en la realidad de un SOC, desde hace 20 años se ha venido confiando la vigilancia de amenazas a las mismas soluciones, con protagonismo absoluto del SIEM donde en muchas ocasiones es la única herramienta de la que se dispone para monitorizar eventos.

El SIEM presenta multitud de beneficios, de ahí que lleve tanto tiempo siendo líder en este campo, pero, sabiendo el increíble ritmo al que evolucionan las amenazas día tras día, ¿podemos seguir confiando en que, dos décadas después, este siga siendo el principal, y a veces único, sistema para detectar intrusiones? ¿es realmente efectivo para enfrentar un ransomware?

La respuesta es sencilla: no. Esta tecnología presenta dos grandes problemas. Por un lado, sus capacidades de detección son bastante limitadas en tanto en cuanto depende totalmente de la telemetría ingestada desde fuentes remotas, siempre limitada por el tráfico generado y, por otro lado, carece de capacidades de respuesta algo imprescindible ante una amenaza de tipo ransomware

La conclusión es clara: aquellas compañías que deleguen la detección y respuesta ante un ransomware en el SIEM están en grave riesgo.

Por otro lado, la solución no pasa por reinventar la rueda, sino cambiar la filosofía de los SOC de estos últimos 20 años.

Debemos transicionar hacia un ecosistema de monitorización cuyo eje central no sea el SIEM y se haga uso de las nuevas herramientas disponibles que son más útiles de cara a la detección y respuesta ante estas amenazas tan sofisticadas.

Cuando pensamos en qué tecnología deberíamos poner en el centro de este ecosistema, el candidato es sin lugar a duda el EDR (Enpoint Detection & Response). Es un cambio natural y obvio ya que, lo que para el SIEM eran debilidades, para el EDR son precisamente fortalezas. Es capaz de analizar más en profundidad y más rápido el comportamiento de las máquinas sin requerir grandes cantidades de logs viajando por la red y al mismo tiempo permite responder de forma instantánea a las amenazas detectadas. Y, ¿con esta herramienta es suficiente?

No, pues estaríamos cometiendo los mismos errores que anteriormente dado que se estaría considerando que una sola herramienta puede por sí sola cumplir con los requisitos de monitorización que exigen las amenazas actuales.

Esta nueva filosofía no busca la eliminación del SIEM, sino un cambio en las prioridades de la arquitectura de un SOC tradicional y, por supuesto, una integración real de tecnologías.

Siguiendo esta nueva filosofía se debería dotar al EDR de integraciones y servicios que puedan maximizar el valor retornado. Estos podrían ser por un lado los relacionados con el estudio de las amenazas (Thread intelligence, modeling, haunting) y por otro con una adecuada y profesionalizada respuesta a incidentes (DFIR).

Llegados a este punto, con un modelo de dos capas, se tendría el entorno de los endpoints muy bien monitorizado, orientado hacia las amenazas (thread oriented) y con una adecuada capacidad de respuesta; pero aun así se estaría dejando fuera una parte importante del entorno tecnológico de una compañía.

Es el momento entonces de integrar herramientas adicionales a nuestro modelo. Es el turno, ahora sí, del SIEM, que vendrá acompañado de herramientas como el DLP, IAM, filtros de correo, gestión de vulnerabilidades, etc., que formarían esta tercera capa que nos da una visibilidad mucho más amplia.

Ahora ya se puede considerar que nuestro ecosistema de monitorización es completo y capaz de enfrentarse a la gran mayoría de amenazas actuales incluyendo el ransomware, sin embargo, se estaría todavía hablando de un enfoque reactivo, así que ¿por qué no tratar de adelantarnos a los adversarios?

Esto se puede conseguir mediante servicios como UEBA, BAS y Deception que formarían la cuarta capa de esta nueva filosofía de SOC. Nos permiten adelantar nuestras defensas los que nos ofrece mayores márgenes de maniobra y por lo tanto mayor agilidad al responder amenazas.

Como colofón, y por llevar el nuevo modelo a su máxima expresión, se podría pensar en añadir una última capa de automatización y orquestación o incluso inteligencia artificial, que dé repetibilidad y eficiencia a todo lo que se ha montado por debajo.

Este modelo se ha creado como respuesta a las nuevas ciber amenazas que atenazan el mundo empresarial, donde la respuesta debe ser cada vez mas rápida y donde ya no vale con atesorar casos de uso y capital humano para atender las alertas derivadas de los mismos sin un racional que los soporte.

La implantación de este modelo requeriría de un estudio previo y pormenorizado de cada necesidad particular donde se identifiquen las amenazas reales que atañen a cada compañía y donde se diseñe la mejor manera de llevarlo a la práctica poniendo nombre a las herramientas y diseñando los servicios necesarios.