¿Estás interesado en conocer más acerca del asesoramiento de ciberdefensa? En Seven Ice te explicaremos todo lo que necesitas saber para mejorar tu conocimiento al respecto. En este artículo te mostraremos un extracto sobre conceptos como definición ciberdefensa y como aplicarla a tus equipos de trabajo.

Forma Primero, hablemos acerca de qué es ciberdefensa. No existe un concepto de ciberdefensa en los diccionarios actuales, pero si podemos desglosar el término en dos partes, ciberespacio y defensa para poder llegar a una definición, y la cual sería “acto de defender a uno o más activos de la información en el ámbito virtual creado por medios informáticos”.

Uno de los aspectos más importantes en la ciberdefensa es el monitoreo de los activos de la información, ya que la sola visión de ellos no nos da la certeza de que un ataque no se va a ejecutar, como tampoco la inclusión de herramientas de ciberdefensa no es suficiente para poder evitar el 100% de los ataques, por ello es que veremos algunos usos de herramientas de ciberdefensa.

Tipos de herramientas de  Ciberdefensa

Las herramientas de ciberdefensa son variadas, ya que existen diferentes puntos donde se debe tener en cuenta, pero para este artículo veremos algunas de ellas:

EndPoint protection y XDR: Esta herramienta tiene la finalidad de poder verificar en un equipo o red TTPs (Tácticas, técnicas y procedimientos) desplegados por un atacante, pero esta herramienta no tiene las reglas cargadas por si sola, razón por la cual siempre se deben tener en cuenta las mejores prácticas, división de usuarios ya sea por rol o tipo, creación de payload, pruebas de concepto antes de poner en práctica las reglas, entre otras.

SIEM: Esta es una herramienta de monitoreo por excelencia de sus siglas en inglés Sistem Information Event Manager, sirve para poder observar y monitorear eventos de un sistema de la información, crear reglas que nos puedan generar alertas y con ello realizar alguna gestión dentro del sistema, por ello es importante tener presente que los equipos deben tener comprehensión de las fuentes de datos indexadas a la plataforma, con un parseo adecuado de los datos, como de la misma forma saber cuales fuentes no están siendo consideradas y los motivos por los cuales no están, ya que al no tener visibilidad de ellas se puede estar entregando brechas para la ejecución exitosa de un ataque.

SOAR: Esta se refiere a sus siglas en inglés Security Orchestration, Automation, and Response, la finalidad de esta herramienta es la de complementar las acciones de monitoreo de un SIEM con acciones automatizadas de manera preventiva o de respuesta de incidentes, en muchas ocasiones acompañadas la creación de ticket de incidentes para poder tener claridad de la fecha de ocurrencia del incidente, quien es el owner del proceso y quien lo tiene asignado, de la misma forma entrega un nivel de importancia en conformidad a los datos que se le han entregado. Es importante hacer presente que esta herramienta no realiza acciones de manera intuitiva, el día de hoy, no obstante que si se realiza una buena hardenización de la herramienta su uso es bastante bueno para los equipos de ciberdefensa.

UEBA: Esta se refiere a sus siglas en inglés User and Entity Behavior Analytics, siendo una tecnología de seguridad de la información que utiliza técnicas de análisis de datos para detectar patrones anómalos en el comportamiento de los usuarios y entidades en una red. Esto incluye el análisis de datos de seguridad como registros de inicio de sesión, registros de red y registros de aplicaciones. El objetivo de UEBA es detectar comportamientos inusuales que puedan indicar una amenaza, como un usuario que accede a un sistema o a una aplicación a una hora inusual o desde una ubicación inusual.

IoC: Esto se refiere, como lo señala el acrónimo en inglés a los indicadores de compromiso (Indicator of Compromise), estos deben ser usados por los diversos equipos de ciberdefensa para la creación exitosa de listas negras, el hecho de tener a tiempo indicadores de compromiso hace que la exposición a la amenaza sea la menor posible, dentro de los indicadores de compromiso más usados en el mercado son CVE, CWE, como de la misma forma las aplicaciones de diferentes vendor o aplicativos como virustotal, Alien Vault, entre otros que pueden ser consultados, de la misma forma en el caso de los dos últimos tienen la posibilidad de ser indexados mediante el uso de API.

Métodos de Uso

Siempre es importante no solamente el tipo de herramienta y las características de esta, sino la capacitación de los equipos de ciberdefensa para la creación correcta de hipótesis y el refinamiento de las mismas considerando los conceptos de presition y recall. Presition se refiere, como lo señala la palabra a la precisión, es decir evitando al máximo posible los falsos positivos, esto es importante para los equipos de seguridad para evitar el desgaste que provocan los falsos positivos, pero así mismo provocan la posible pérdida de visibilidad de algunos falsos negativos que se pueden producir por el aumento de la misma, por lo tanto es recomendable solamente para activos de la empresa no críticos. Recall se refiere a la suma de la totalidad de falsos positivos y eventos reales tenidos durante un proceso, por lo tanto este aumenta la cantidad de eventos, pero reduce los perdidos, esto puede provocar un desgaste en el equipo de ciberdefensa, pero en el caso de activos críticos de la información es siempre recomendable. Ahora sabiendo los dos conceptos es importante llegar a una media de ambos conceptos para evitar el desgate por el alto consumo en horas de los falsos positivos por un lado y la perdida de incidentes o ataques por otro. Es importante igualmente saber la criticidad del activo con el cual se está trabajando.

Conclusión

La ciberdefensa es parte de la ciberseguridad, y una importante si queremos saber como poder enfrentar a quienes desean hacer daño a las organizaciones no solamente por el hecho de tener una animadversión contra la empresa, sino también por juego, descuido de un usuario, entre otras acciones. En nuestro servicio de asesoramiento de ciberdefensa, por lo tanto, buscamos entregar a cada uno de los equipos de nuestros partner elementos y conocimiento para que puedan sacar el mejor provecho de las herramientas que tienen contratadas, ya que como podemos ver durante este artículo, el vendor puede ser importante por su soporte técnico 24/7, por las mejoras que se puede aplicar pero las hipótesis generadas, el refinamiento de esta hipótesis es parte de las acciones de los equipos de ciberdefensa que deben estar presentes durante todo el proceso.