- Las “personas malas” lanzan un nuevo tipo o método de ataque
- Algunas (sino todas) las organizaciones atacadas son invadidas
- Las consecuencias oscilan entre una real pérdida económica hasta la destrucción de recursos físicos (no virtuales) que causan que las organizaciones acosadas empiecen a estudiar e identificar la nueva amenaza
- Al menos una organización identifica el nuevo método de ataque
- La organización o el vendedor de recursos de seguridad encuentra una defensa contra esta nueva amenaza
- Corre la voz, y armadas con esta nueva inteligencia, las organizaciones comienzan a configurar las defensas apropiadas
Aquí tenemos el problema: La demora entre la invasión, el desarrollo de una defensa y compartir la información puede tomar meses, sino más tiempo. ¿Por qué la demora? Porque las “personas buenas” no comparten suficiente información. Los hackers comparten agresivamente sus nuevas técnicas y enfoques. Por lo tanto, aplaudimos cualquier intento del gobierno por alentar el intercambio de información sobre amenazas a la ciberseguridad e informar sobre los nuevos métodos empleados por hackers y otros cibercriminales.
Tratando la Enfermedad, No Sólo los Síntomas
La lección que tenemos que aprender de esto es que compartir información solamente ayudará a acelerar el tiempo de despliegue de una solución a una amenaza o a un problema nuevo… ¿Pero qué hay de encontrar la causa original de esas amenazas mientras están sucediendo?
A diferencia de la carrera armamentista de la Guerra Fría, las batallas cibernéticas causan daño real (hasta el momento, por suerte, sólo pérdidas económicas) que es infligido durante cada ciclo de ataque. Esto significa que las empresas y otras organizaciones simplemente no pueden esperar complacientemente a que una tercera parte identifique el problema, desarrolle una solución y comparta la solución.
Como “personas buenas”, debemos empezar a trabajar en paralelo. Debemos buscar las amenazas que nos acechan e identificar las brechas a la seguridad de forma proactiva y colaborativa antes de que causen un daño real y se esparzan más allá del campo financiero. Compañías como Guidance Software y FireEye están colaborando mediante la integración de herramientas de seguridad claves y compartiendo información crítica. Este es un buen inicio, pero más organizaciones deben hacer lo mismo. Además, ¿Qué se puede hacer al respecto de las avanzadas amenazas actuales?
Cómo Investigar una Amenaza Sin una Firma: Proactivamente
Investigar una amenaza desconocida es casi imposible en organizaciones que dependen de sistemas de ciberseguridad basados en firmas. Aquí es donde el análisis de dispositivos, la detección de amenazas y la respuesta a amenazas representan una oportunidad significativa. El proceso sigue este orden:
- Recolectar datos de las actividades en los dispositivos
- Sintetizar una imagen general de su panorama desde una perspectiva alta, una “visión panorámica” que relacione anomalías que parecerían benignas al ser vistas de forma aislada, pero que apuntan a problemas de seguridad cuando son vistas en conjunto.
- Detectar anomalías dentro de esta “visión panorámica”
- Profundizar una investigación forense de estas anomalías
Traducido del texto original de The Cybersecurity Framework: Identification, Collaboration, and Proactive Defense por Alex Andrianopoulos, Vice President, Guidance Software
Guerra de Fronteras: Respuestas de Incidentes vs. Investigación Forense
Cómo EnCase Puede Complementar Sistemas de Prevención de Pérdida de Datos (DLP)
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
No hay comentarios :
Publicar un comentario