Repasando la historia de los ciberataques, es más que probable que serán cada vez más complejos de detectar y perseguir. Además, cuanto mayor sea el esfuerzo en desarrollar nuevas herramientas para la protección de los sistemas de información, mayor será la sofisticación de los ciberataques para saltarse esas protecciones. Es importante asumir cuanto antes que nuestros sistemas van a ser comprometidos y que debemos hacer un mayor esfuerzo en tecnologías forenses para mejorar la respuesta a los incidentes de seguridad que, con toda probabilidad vamos a sufrir. Debemos preguntarnos no si seremos víctimas de un ataque, sino cuándo vamos a sufrirlo y cómo vamos a reaccionar.
En la actualidad, las tecnologías empleadas para mitigar el impacto de los ciberataques basados en APTs (una APT es un conjunto de procesos informáticos sigilosos y continuos, dirigidos en remoto por personas, y cuyo objetivo es acceder a sistemas IT evitando las medidas de seguridad) son las tecnologías sandboxing, que ejecutan y observan el comportamiento de malware sospechoso en entornos reales virtualizados. De esta forma, es posible mejorar la detección de APTs que usan técnicas avanzadas de ocultación para saltarse los sistemas de ciberseguridad tradicionales. Como cualquier sistema de protección, los sandboxing tienen limitaciones técnicas, por ello, es necesario añadir capacidades de análisis forense del tráfico y equipos que faciliten el análisis posterior a un incidente de seguridad. El objetivo principal es entender cómo nos atacan para reforzar los puntos débiles y evitar que vuelva a producirse la ofensiva por los mismos medios. Los sistemas de información deben integrar procesos de aprendizaje que faciliten la defensa de los sistemas en el futuro.
Como complemento a la tecnología, también es necesario compartir la información de las amenazas (threat intelligence) entre todos los sistemas y entidades encargados de la ciberseguridad de cualquier infraestructura. CrowdStrike concluye en su informe anual que las empresas que utilicen threat intelligence estarán mejor preparadas para detectar, parar y defenderse contra sus atacantes.
En definitiva, una solución que integre tecnologías sandboxing con análisis forense y threat intelligence mejorará considerablemente la protección contra estos ciberataques de nueva generación basados en APTs. Es evidente que esta solución debe estar soportada por profesionales de la ciberseguridad que entiendan cómo responder a incidentes de seguridad de forma efectiva.
¡Nos vemos en próximas entradas!
Responder