Inteligencia y monitoreo de ciberamenaza

La inteligencia y monitoreo de ciberamenaza es un aspecto fundamental para detener un ciberataque moderno. Aún así, muchas organizaciones no cuentan con el personal, experiencia o presupuesto para reunir, procesar y analizar la información requerida para detener ataques. Sin el acceso a la inteligencia de ciberamenaza más actualizada, su organización es más propensa a sufrir un ataque. 

Este artículo trata sobre la inteligencia de las ciberamenazas, cómo se desarrolla esta inteligencia, los tipos de inteligencia disponibles para diferentes audiencias y las alternativas disponibles para cualquier organización que no pueda emprender con un programa de inteligencia para ciberamenazas en un entorno local.

“La inteligencia de amenaza consiste en un conocimiento basado en la evidencia, incluido el contexto, los mecanismos, indicadores, implicaciones y consejos prácticos, acerca de una amenaza o peligro existente o emergente sobre los activos que puede utilizarse para informar decisiones con respecto a la respuesta del sujeto a dicha amenaza o peligro”. - Gartner  

La inteligencia de ciberamenaza (CTI) consiste en datos procesables recopilados y utilizadas por los sistemas de ciberseguridad o por los expertos en seguridad de una organización para ayudarlos a comprender de mejor forma las vulnerabilidades, adoptar las medidas correctas para detener un ataque y proteger la red y puntos finales de la compañía de los ataques futuros. Los datos incluyen información tal como la identidad del agresor y cuáles son sus capacidades, motivaciones y planes de ataque.

El monitoreo de ciberamenaza es una solución que emplea inteligencia estratégica para constantemente analizar, evaluar y monitorear las redes y puntos finales de una organización para obtener evidencia de las amenazas de seguridad, como la intrusión en la red, ransomware y otros ataques de malware. Una vez que se identifica una amenaza, el software de monitoreo de una amenaza emite una alerta y la detiene.  

No puede fidedignamente detener algún ciberataque sin un informe de amenazas detallado. En la era del trabajo moderno, en donde los empleados utilizan dispositivos BYOD y redes sin protección, CTI es más importante que nunca. Con la inteligencia y el monitoreo de amenazas, una organización posee la protección de datos más robusta, así como la información necesaria para detener o mitigar los ciberataques. CTI ofrece:

•  Conocimiento de los datos (contexto incluido) para ayudar a prevenir y detectar ataques

• Alertas con prioridad, que le ayudan a responder más rápido a incidentes

• Mejor comunicación, planificación e inversión identificando los riesgos reales para la empresa.

Organizaciones de pequeña o gran envergadura, gobiernos y estados-naciones pueden obtener ventajas de CTI. Sin embargo, algunas organizaciones tienen analistas en su nómina que se encarguen de trabajar a través del volumen de información y tomar decisiones respecto a qué datos son válidos y qué amenazas son reales. Los expertos han estimado que tomaría alrededor de 8.774 analistas trabajando a tiempo completo durante un año para procesar la misma cantidad de datos referentes a eventos de seguridad con respecto a lo que el aprendizaje automático (ML) puede procesar en el mismo marco de tiempo.

Es por esto por lo que muchas organizaciones acuden a inteligencia artificial (IA) y al aprendizaje automático para analizar la inteligencia de amenazas táctica y operativa necesaria para una detección y respuesta a incidentes oportunas para satisfacer una postura de seguridad sensible.

Ciclo de vida y proceso de inteligencia de ciberamenaza 

Los expertos en la industria declaran que existen cinco o seis fases del proceso iterativo en el ciclo de vida de las ciberamenazas, que convierte los datos brutos en inteligencia. La CIA desarrolló en primera instancia un proceso de ciclo de vida de seis pasos, mientras que otros expertos en materia de seguridad han combinado y condensado el proceso de ciclo de vida a cinco pasos de la siguiente manera:

Ciclo de vida de la inteligencia de ciberamenaza: planificación, recopilación, procesamiento, análisis, diseminación

1. Planificación y dirección. En esta fase, el CISO o CSO establece la meta y objetivos del programa de inteligencia de ciberamenaza. Esto incluye identificar la información sensible y los procesos comerciales que deben protegerse, las operaciones de seguridad requeridas para proteger los datos y procesos comerciales y dar prioridad aquello que debe protegerse.

2. Recopilación. Los datos se reúnen a partir de diferentes fuentes, como transmisiones de código abierto, inteligencia de amenaza interna, comunidades verticales, servicios comerciales y inteligencia para web obscura.

3. Procesamiento. Los datos recopilados a menudo se procesan en un formato adecuado para análisis posterior.

4. Análisis. En esta fase, los datos se combinan desde diferentes fuentes y se transforman en inteligencia procesable para que los analistas puedan identificar patrones y tomar decisiones fundamentadas. 

5. Difusión. El análisis de datos de la amenaza luego se publica y difunde debidamente a los accionistas o clientes de la compañía.

Nos referimos al proceso como un “ciclo de inteligencia de ciberamenaza” debido a que abordar los ataques digitales no corresponde a un proceso único, sino a un proceso circular que considera cada experiencia informática y la aplica al siguiente. 

El modelado de ciberamenaza es una práctica diseñada para optimizar la seguridad de red. Realiza este cometido encontrando las vulnerabilidades del sistema, identificando los objetivos evidentes y desarrollando una estrategia para contrarrestar los posibles efectos de los ciberataques contra una aplicación o un sistema informático.

Si bien puede ejecutarse en cualquier etapa del desarrollo, se traduce en mejores réditos si se completa al comienzo de un proyecto. La lógica es la siguiente: mientras más pronto identifique nuevas vulnerabilidades, más fácil le será lidiar con estas. Por otra parte, si los puntos débiles quedan desatendidos, podrían convertirse en problemas graves con el tiempo.

El enfoque le permite a su equipo de TI sumergirse en los riesgos posibles para su sistema y cómo estos pueden afectar su red. Los profesionales de la ciberseguridad pueden usar la práctica para fortificar todos los posibles puntos de ingreso, emplear seguridad de aplicación en línea con potenciales puntos débiles y proteger los entornos de internet de las cosas.

El procedimiento de modelado ante amenaza depende del sistema examinado. No obstante, cualquier organización que dependa de la tecnología puede beneficiarse de este. El modelado de amenaza permite a los profesionales de la seguridad reducir los ataques particulares enfocados en un sistema específico. Esto elimina una potencial confusión y le permite a los equipos enfocarse únicamente en aquellos capaces de afectar su empresa. Armado con dichos conocimientos, su equipo de seguridad podría defender el sistema de la compañía mucho antes de que se presente un ataque.

Sin embargo, el modelado de amenazas requiere de un proceso exhaustivo para optimizar sus defensas informáticas a su máxima capacidad. En la próxima sección, discutiremos los pasos necesarios para que el modelado de amenazas beneficie a su empresa lo más posible. Cada uno de ellos puede “actuar” de manera individual ya que consisten en procesos independientes. Asimismo, ejecutarlos en conjunto proporciona la vista más completa de cualquier situación potencialmente perjudicial.

Es momento de repasar las etapas.

Las etapas para el modelado robusto ante amenaza pueden simplificarse en preparación, examinación, implementación y revisión. Sin embargo, todo aquello depende de una serie de preguntas para funcionar de manera óptima.

A continuación, se presenta una lista de preguntas que los cazadores de amenazas deben plantearse antes de concluir un modelo de amenaza final.

• ¿Qué modelos de amenaza se adaptan mejor a su compañía?

Responder a esta pregunta requiere de la inspección de las transiciones en el flujo de datos, clasificaciones de datos y diagramas de arquitectura que llegan a un modelo de red virtual con una necesidad de protección.

• ¿Cuáles son los inconvenientes?

Primero, usted debe investigar las principales amenazas que pueden afectar su red y aplicaciones.

•  ¿Qué hacer en aras de un posible ciberataque?

Para esta pregunta, usted necesitará identificar la mejor manera de contrarrestar problemas que impliquen una vulnerabilidad específica y situaciones con agentes de riesgo aprovechando dichas vulnerabilidades.

• ¿Cómo se desempeña el modelo de amenaza?

Las compañías deben dar seguimiento a los procesos de contra ataque para determinar su calidad, eficiencia y factibilidad. Realizar una revisión exhaustiva del rendimiento del modelo podría catalizar un mejor proceso de planificación y agilizar su progreso.

Para englobar las preguntas en una lista de pasos, puede revisar a continuación.

1.     Señalar las preocupaciones de seguridad de un sistema, aplicación o proceso específico.

2.     Elaborar una lista de sugerencias de las posibles amenazas que deben verificarse a medida que cambian las condiciones.

3.     Formar una lista concreta de amenazas.

4.     Formar una lista de acciones de reparación y eliminación.

5.     Monitorear y calificar los métodos a usar para determinar su tasa de éxito y validez a medida que evolucionan las amenazas.

Ahora que conoce los fundamentos básicos del modelado de amenaza, es momento de repasar el proceso de modelado de amenaza en mayor profundidad.

Tal como hemos mencionado, el modelado de amenaza puede definir los activos de una organización, determinar el rol de las aplicaciones en una perspectiva más amplia y constituir un perfil de seguridad para aplicaciones específicas.

El proceso continúa identificando y priorizando potenciales amenazas. Luego, los profesionales encargados de la seguridad pueden utilizar los datos reunidos (y las conclusiones) para clasificar eventos posiblemente perjudiciales y determinar qué medidas deben adoptarse para resolver los problemas.

Básicamente, el modelado de amenaza consiste en dar un paso hacia atrás para acceder a los activos digitales y de red de una compañía, detectar amenazas internas y externas, determinar los indicadores maliciosos existentes e idear un plan para protegerse contra estos (o recuperar información sensible en caso de que una amenaza se las arregle para irrumpir en las defensas de la compañía).

De la misma manera en que una “cadena asesina” expone la estructura de un ataque en la milicia, usted puede crear una “cadena asesina informática” para comprender cómo los agresores piensan y contrarrestarlos de manera proactiva.

A continuación, desglosaremos el proceso de modelado de amenaza en pasos adicionales para que pueda seguirlos con mayor facilidad.

Tenga en cuenta que cada proceso individual es único dependiendo de la red, preferencias de la compañía y problemas emergentes. Sin embargo, el enfoque básico sigue siendo algo concreto.

1.     Crear un diseño seguro, modelo de red o sistema de defensa de aplicación.

2.     Garantizar que la inversión de recursos sean lo más eficiente posible para evitar un gasto innecesario (ya sea invirtiendo más dinero o asignado demasiado personal para realizar una tarea).

3.     Darle el máximo nivel de prioridad a la seguridad. En la mayoría de los casos, una seguridad robusta supera la rentabilidad a corto plazo, ya que un sistema protegido producirá mayores ganancias a largo plazo (y les brindará protección de manera más efectiva mientras se mantenga operativo).

4.     Informar a los accionistas del desarrollo de sistema.

5.     Especificar todas las amenazas potenciales del sistema.

6.     Identificar los requerimientos de cumplimiento en línea con el sistema o aplicación específicos en el que se esté trabajando.

7.     Garantizar que todas las medidas adoptadas cumplen con las normativas necesarias.

8.     Definir los controles necesarios para contrarrestar a los cibercriminales antes, durante y después de posibles ataques.

9.     Desarrollar dichos controles y presentarlos de manera transparente a todos los accionistas.

10. Evaluar todos los riesgos conectados al sistema de gestión de amenaza.

11. Documentar las amenazas de alto impacto para el sistema.

12. Documentar los esfuerzos de mitigación aplicados para contrarrestar las diversas amenazas.

13. Garantizar que las metas de la compañía no se vean afectadas por agentes malintencionados o eventos adversos.

14. Probar el sistema para garantizar su viabilidad de cara a los indicadores de compromiso para proteger la red de su compañía.

15. Construir sobre los cimientos que ha creado hasta completar un plan de seguridad exhaustivo para su caso de uso específico.

Ventajas del modelado de amenaza para mitigar el efecto de las ciberamenazas

Aunque pareciera implicar un nivel de exigencia elevado, el modelado de amenaza beneficia significativamente a las empresas que lo implementan de manera correcta.

Por ejemplo, el enfoque puede ofrecer una panorámica robusta de los proyectos de software y detectar las medidas de seguridad necesarias para resguardar los datos en dichos proyectos. Con él, usted puede documentar las amenazas conocidas de seguridad (para la aplicación) y tomar las acciones necesarias para abordarlas de manera adecuada. De lo contrario, si sus equipos de TI actúan únicamente en base a su instinto y sin evidencia que los respalde, puede que no consigan tomar las decisiones más convenientes con respecto a la seguridad de sus datos.

Los modelos de amenaza bien diseñados pueden garantizar que una aplicación en su red cuente con la debida protección contra todas las ciberamenazas conocidas. Además, el modelado de amenaza realista posee el potencial para convertirse en la forma mas eficiente de cumplir con una lista de tareas prácticas para su empresa.

Es momento de repasarlas a continuación.

·       Detectar problemas en el ciclo de vida de desarrollo del software (SDLC) antes de que haya iniciado cualquier trabajo de codificación.

·       Determinar fallas de diseño evasivas e indetectables por métodos de prueba tradicionales y revisiones de código.

·       Evaluar una lista extensa de las amenazas que podría no tener en cuenta.

·       Optimizar los presupuestos de análisis.

·       Identificar los requerimientos de protección de datos y seguridad.

·       Reparar los problemas de software antes de la liberación de una aplicación, y así evitar incurrir en costos adicionales por recodificación posterior al despliegue.

·       Considerar amenazas exóticas específicas en función de la naturaleza única de su aplicación.

·       Mantener una vista clara de las posibles amenazas externas e internas con respecto a una aplicación específica.

·       Detectar activos, vulnerabilidades, agentes maliciosos y los controles necesarios para optimizar los componentes de la aplicación (a fin de reducir la potencial superficie de ataque para agentes malintencionados)

·       Calcular y establecer una posible ubicación de los hackers, habilidades, motivaciones y capacidades para comprender y ubicar potenciales criminales informáticos que atenten contra su arquitectura de sistema.

El término “modelado de amenaza” plantea varios conceptos erróneos para muchos usuarios. Algunos perciben que el enfoque solo puede aplicarse durante el diseño de una aplicación. Otros lo consideran como una tarea adicional, que puede sustituirse fácilmente por la revisión de código y pruebas de penetración. También hay compañías que ven el proceso simplemente como una actividad demasiado compleja y redundante.

A continuación, examinaremos estas ideas erróneas para ofrecerle un panorama más claro.

·       La revisión de código y las pruebas de penetración no son substitutos del modelado de amenaza

La revisión de código y las pruebas de penetración son eficaces al buscar bugs en el código; son pieza fundamental de cualquier proceso de desarrollo de aplicación. Sin embargo, con el modelado de amenaza, usted puede iniciar evaluaciones de seguridad específicas y descubrir fallas de diseño complejas que, en caso de no corregirse, podrían propiciar filtraciones de seguridad.

·       El modelado de amenaza también puede efectuarse en una etapa posterior al despliegue

Como hemos mencionado, lo mejor es iniciar el modelado de amenaza al comienzo de la etapa de diseño. No obstante, aquello no implica que tenga que recurrir también al enfoque posterior al despliegue.

A medida que una aplicación adquiere mayor accesibilidad, pueden surgir nuevas ciberamenazas posteriores al despliegue. Sin una evaluación de amenaza de todas las amenazas actuales para una aplicación, usted no puede protegerse de todos los posibles riesgos. Al monitorear las debilidades en la etapa posterior al despliegue, usted permite una reparación más rápida y efectiva de la aplicación.

·       El modelado de amenaza no es un proceso complejo si se aborda razonablemente

Varios desarrolladores indican que el modelado de amenaza puede ser difícil. El proceso parece tomar bastante tiempo y ser agotador cuando se examina antes del diseño de un plan. Sin embargo, usted puede dividirlo en tareas funcionales clasificadas en etapas sistemáticas. Cada tarea continúa después de la anterior, por lo que, siempre que siga el “guión”, usted puede completar el modelado de amenaza sin muchos inconvenientes. Puede ser para una simple aplicación web o una arquitectura compleja.

La descomposición es una parte esencial en el proceso de modelado de amenaza. En este contexto, el término alude a tomar una aplicación o infraestructura, dividirla en elementos y luego tomar cada elemento para inspeccionarlo en busca de posibles debilidades.

Al descomponerlo, usted puede comprender cómo funciona una aplicación e interactúa con todas las entidades del sistema. Es más, usted puede determinar qué entidades podrían plantear amenazas de ciberseguridad o traerle problemas a la aplicación.

Para completar un proceso de descomposición, usted necesita estudiar la conducta de la aplicación (o del sistema) dentro del contexto de todas las diferentes situaciones posibles. Dichos casos podrían contemplar:

·      ¿De qué manera se comporta la aplicación para usuarios con diferentes niveles de acceso?

·      ¿Cómo se comporta mientras está conectada a diversas arquitecturas de red?

·     ¿De qué forma el sistema procesa diferentes tipos de datos?

Después de responder a las interrogantes expuestas, usted debería contar con una lista exhaustiva de los posibles puntos de entrada y puntos vulnerables y, aún más importante, comprender cómo estos cambian dependiendo de una interacción específica.

Para aligerar su proceso de trabajo, los equipos de TI deben depender de diagramas que describan el flujo de datos. De esta manera, pueden ver en realidad una representación visual del movimiento de los datos dentro, a través y fuera de un sistema (o una aplicación).

Los diagramas también podrían mostrar cómo los datos cambian en diferentes etapas del procesamiento o almacenamiento. Por último, los diagramas muestran en donde usted guarda datos específicos mientras se desplazan por el sistema.

Los diagramas de flujo de datos también les permiten a los equipos identificar los límites de confianza. Básicamente, los equipos deben ser capaces de determinar los puntos en que los datos deben validarse antes de que se les permita ingresar a una entidad específica (que utilizará dichos datos para ejecutar tareas)

Los datos deberían tener la capacidad de fluir a donde sea que deban procesarse (servidores locales, la nube, almacenamiento de ubicación secundaria).

Independiente de la ubicación, los datos ingresarán a diferentes redes. Los diagramas de flujo de datos deberían destacar el momento exacto en que la información sensible cruza desde una red a otra. Una vez establecidos los puntos de intersección, sus equipos pueden determinar los límites de confianza en ubicaciones particulares. Esto alertará a los protocolos de seguridad para activar procedimientos de protección a fin de resguardar la red contra código malicioso en caso de que un hacker intente penetrar en sus defensas.

Enfoques del modelado de amenaza

Ahora que tiene conocimiento de las prácticas básicas, es momento de analizar los enfoques específicos del proceso.

La primera metodología en la lista fue desarrollada por Microsoft y ayuda a los equipos de TI a identificar las debilidades del sistema en seis categorías.

Falsificación de IP: cuando un intruso se hace pasar por otro usuario, componente u otra función del sistema que contiene una identidad en el sistema bajo ataque.

Intrusiones: alterar los datos dentro de una aplicación o un sistema para posibilitar actos malintencionados.

Repudio: cuando un intruso niega la realización de una actividad maliciosa debido a la falta de evidencia sobre sus acciones.

Divulgación de información: la exposición de datos protegidos ante usuarios sin autorización.

Denegación de servicio: cuando un intruso utiliza medios ilegítimos para extraer o denegar servicios requeridos para proporcionar servicio a los usuarios.

Elevación de privilegio: cuando un intruso ejecuta comandos y funciones para los que no cuentan con permiso.

DREAD

Microsoft eliminó este enfoque en 2008 a causa de las inconsistencias encontradas. Sin embargo, muchas otras organizaciones lo utilizan actualmente. Básicamente, le permite clasificar y gestionar riesgos en cinco categorías.

Daño potencial: clasificar el alcance del daño posible debido a una debilidad explotada.

Reproducibilidad: clasificar la complejidad necesaria para reproducir un ataque.

Explotabilidad: asignar una clasificación numérica a los esfuerzos necesarios para iniciar un ataque malicioso.

Usuarios afectados: presentar un valor para calcular de qué manera se afectaría a varios usuarios en caso de que un exploit estuviera a disposición de todos.

Capacidad de descubrimiento: medir la facilidad de descubrimiento de un exploit específico.

Trike

Trike presenta una red de inteligencia de código abierto destinada a defender un sistema, en lugar de intentar replicar la manera en que atacan los hackers. Con Trike, usted puede crear un modelo de una aplicación o sistema y confiar en el acrónimo CRUD para determinar quien puede acceder a las acciones específicas de un sistema.

Las acciones son las siguientes: crear datos, leer datos actualizar datos y borrar datos.

Mediante el uso de los datos de CRUD, los equipos de TI pueden asignar niveles de riesgo a diferentes clases de activo. Pueden identificar enlaces débiles, asignar valores de riesgo a estos y luego desarrollar un modelo de riesgo que involucre activos, acciones, roles y calcule la exposición a los riesgos.

P.A.S.T.A.

P.A.S.T.A. significa “Process for Attack Simulation and Threat Analysis” (Proceso para simulacion de ataque y análisis de amenaza). Consiste en una metodología de siete pasos enfocada en la gestión de riesgos.

Con ella, sus equipos pueden acceder a la identificación de amenazas dinámicas, clasificación y procesos de calificación. Una vez que apliquen técnicas analíticas estructuradas para inspeccionar los exploits conocidos, los desarrolladores pueden implementar la inteligencia táctica para un enfoque de mitigación centrado en activo dado que pueden “ver” la aplicación (o sistema) a través de los ojos de los agresores.

P.A.S.T.A. sigue siete pasos para completar su curso:

1. Definir objetivos

2. Definir el alcance técnico del proyecto

3. Descomposición

4. Análisis

5. Análisis de debilidades

6. Modelado de ataque

7. Riesgo e impacto en el análisis empresarial

Attack Tree

En este enfoque, los equipos pueden desarrollar un diagrama conceptual para mostrar cómo los activos (u objetivos) pueden ser objeto de ataques a modo de árbol. El diagrama admite un nodo raíz, con nodos hijos y hojas que se añaden gradualmente.

Los nodos hijos representan las condiciones a cumplir para validar al nodo padre (directo). Cada nodo padre se satisface exclusivamente por sus nodos hijo directos. También contempla opciones “Y” y “O” para representar pasos alternativos disponibles para alcanzar metas específicas.

VAST

El elemento fundamental del ThreatModeler, VAST significa “Modelado de amenaza visual, ágil y simple”. El enfoque ofrece inteligencia táctica para las necesidades específicas de los arquitectos de una aplicación, desarrolladores, equipos de ciberseguridad, etc.

En pocas palabras, VAST apunta a ofrecer una aplicación y plan de visualización de infraestructura únicos para tranquilizar a todos los individuos involucrados en la creación de una aplicación. Puede hacerlo al presentar un modelo que no requiere de ninguna experiencia de seguridad especializada que deba visualizarse y comprenderse.

Sistema de Puntuación de Vulnerabilidad Común (CVSS)

CVSS aspira a capturar las características principales de una vulnerabilidad y exhibir su gravedad por medio de un puntaje numérico. La puntuación varía de 0-10, en la que 10 significa el mayor nivel de gravedad.

Los equipos de seguridad implicados pueden traducir la puntuación en una representación cuantitativa: bajo, medio, alto o crítica.

Dicha representación debería ayudar a las compañías a evaluar las vulnerabilidades únicas y a optimizar su proceso de gestión de vulnerabilidad de manera efectiva.

OCTAVE

Un enfoque diseñado por Carnegie Mellon University, OCTAVE significa “Evaluación operativa crítica de amenazas, activos y vulnerabilidad”. Es una estrategia de planificación y evaluación basada en el riesgo. Enfatiza la evaluación de riesgo organizativo sin abordar los riesgos tecnológicos.

El enfoque abarca tres fases:

1.     Evaluación de organización: los equipos de seguridad deben desarrollar perfiles de amenaza basados en activo.

2.     Evaluación de infraestructura de información: aquí, usted necesita identificar los puntos débiles en su infraestructura.

3.     Evaluación de riesgos potenciales para los activos críticos de la organización y toma de decisiones: aquí usted debe desarrollar y planificar una estrategia exhaustiva de seguridad.

T-MAP

T-MAP está principalmente dirigido a los sistemas comerciales registrados (COTS). Se utiliza para calcular las cargas en la ruta de ataque. El modelo creado engloba diagramas UML con valores en cuatro categorías: clase de acceso, activos objetivo, vulnerabilidad y valor afectado.

Método de modelado de amenaza cuantitativa

Aquí, tenemos un enfoque complejo que abarca STRIDE, árboles de ataque y CVSS. El método supervisa varios aspectos urgentes para los sistemas ciberfísicos. Tales sistemas por lo general contienen independencias complejas para sus componentes, por lo que resulta mejor abordar un entorno híbrido mediante metodología híbrida.

En primera instancia, usted puede desarrollar árboles de ataque para componentes para todas las categorías STRIDE. Los tres deben ilustrar las dependencias en todas las categorías de ataque, así como los valores para los atributos de componente de bajo nivel.

Posteriormente, usted debe aplicar la táctica CVSS para calcular las puntuaciones correspondientes a los componentes del árbol.

NIST

NIST significa Instituto Nacional de Estándares y Tecnología. El Instituto ha desarrollado un sistema de modelado de amenaza que se enfoca principalmente en los datos. Sugiere cuatro cursos de acción:

1.     Primero, usted debe identificar el sistema y señalar cómo funciona, mencionando de qué manera gestiona los datos (esto incluye los datos dentro del sistema y los datos de los cual depende el sistema).

2.     Determinar las rutas aplicables de ataques abordadas por el modelo.

3.     Concluir con respecto a las operaciones necesarias de seguridad para contrarrestar las ciberamenazas.

4.     Analizar el modelo creado para determinar su efectividad.

El modelado de amenazas puede desglosarse en dos procesos principales: descubrimiento e implementación.

Estos procesos luego pueden dividirse en tres subprocesos.

• Descubrimiento

Este es el proceso en el cual los profesionales de la ciberseguridad identifican la infraestructura crítica y los problemas en su entorno.

También utilizan inteligencia táctica para determinar las posibles rutas que los hackers podrían usar para intentar una infiltración.

• Implementación

Este proceso depende de la inteligencia estratégica reunida en la fase de descubrimiento. Los profesionales de la ciberseguridad pueden analizar los datos para establecer el impacto a nivel organizativo y reiterativo, priorizar los ataques más perjudiciales y calcular los pasos necesarios para fortificar los activos junto a las rutas priorizadas para dichos ataques.

Descubrimiento

La fase de descubrimiento abarca tres pasos cruciales: localizar los activos de información sensible y priorizarlos para completar una evaluación de riesgo exhaustiva con respecto a su entorno digital.

1.     Identificación de activos

En primer lugar, usted debe catalogar todos los activos de la compañía; estos incluyen datos, aplicaciones, componentes de red, etc. Usted puede dividir los activos en dos categorías principales.

·       Activos de datos

Los activos de datos abarcan datos, componentes y funciones que los hackers pueden usar para penetrar en su sistema. Por ejemplo, los hackers pueden explotar diversos activos de datos para “ayudar” con sus operaciones de criptominado o cosechar datos de clientes para vender en la web oscura.

·       Activos empresariales

Aquí, usted colocará los datos, componentes y aplicaciones fundamentales para las operaciones continuas de su organización. Los cibercriminales que tengan como objetivo sus activos comerciales podrían asociarse a campañas de sabotaje continuas para interrumpir su actividad empresarial.

Algunos activos se asignarán a ambas categorías. Para estos, la mejor práctica es catalogarlos de manera exhaustiva en lugar de definirlos estrictamente.

2.     Analizar la superficie de ataque

La mayoría de los hackers modernos no se tomarán las molestias de personalizar los ataques para dirigirlos a su empresa. Usted puede verlos como oportunistas que bloquean los puntos de entrada más directos de cualquier sistema. Su objetivo principal es sacar provecho de las vulnerabilidades más conocidas o robar datos sensibles.

Los exploits principales dentro de la mayoría de las compañías corresponden a hardware en peligro, software y cuentas de administrador desprotegidas (aquellas que aún tienen sus contraseñas predeterminadas).

Los hackers pueden analizar los tres puntos de entrada hasta encontrar un exploit y ejecutar un ataque.

Para contrarrestar eso, las empresas deben mapear los componentes ambientales que rodean a los activos antes mencionados. Tenga en cuenta que el proceso no solo incluye los componentes principales, sino también aquellos con cualquier acceso a estos (sea comunicación o contención).

Una vez completado el mapeo, usted dispone de un plan exhaustivo para su superficie de ataque. La superficie de ataque abarca los componentes expuestos que permiten a un agente malintencionado tener acceso a sus activos.

Los especialistas en seguridad deben señalar todos los elementos presentes en la superficie de ataque, calcular el flujo de datos y demostrar cómo un ataque podría penetrar a través de uno (o más) de los componentes.

3.     Analizar los vectores de ataque

La superficie de ataque se refiere al plano de los componentes asociados a activos en exposición. Los vectores de ataque corresponden a las rutas diferentes que los criminales pueden tomar para llegar a uno de los puntos débiles en el plano.

Usted debe mapear todos los componentes y sus funcionalidades disponibles para contemplar aplicaciones y controles de seguridad. Por lo general, los hackers pueden utilizar múltiples maneras de explotar una ruta específica.

Después de aquello, usted debe reunir todos los datos relevantes con respecto a los exploits conocidos que correspondan a cada uno de los componentes en la lista.

Ahora que posee toda la información, usted debe intentar pensar como un hacker. Depende de sus equipos de seguridad la tarea de determinar el enfoque del hacker para lanzar un ataque basado en la información recopilada sobre los puntos débiles. Aquí, debe considerar todo en lo que pueda pensar: sus objetivos, motivaciones, niveles de habilidad para hackear, capacidad para monetizar sus esfuerzos, etc.

Una vez realizado esto, usted debería ser capaz de evaluar cómo un potencial hacker podría intentar infiltrarse en sus sistemas.

Implementación

Si bien contar con todos los datos gracias al descubrimiento es algo bueno y todo, aún se requiere de un análisis exhaustivo para obtener el máximo beneficio posible. Primero, usted tendrá que desglosar el impacto de cada vector de ataque, luego priorizar sus posibles efectos para toda la compañía y, por último, desarrollar una lista completa de instrucciones respecto a la mitigación de vulnerabilidad acerca de cada cuestión posible.

4.     Análisis exhaustivo

La evaluación y gestión de riesgo son los pilares de las mejores prácticas de ciberseguridad para este paso. Le permiten garantizar que usted está tomando las mejores medidas posibles para mitigar riesgos y proteger sus recursos.

Aquí, usted puede usar todos los datos del descubrimiento para evaluar el impacto previsto de cada ataque. Lo mejor es incluir cualquier deducción realizada en la fase de descubrimiento y toda inteligencia de amenaza e indicadores de riesgo.

Ya que los ciberataques generalmente detonan una cadena de eventos, es fundamental repasar todos los posibles hitos y determinar las diversas maneras en las que un ataque podría dañar su compañía. Usted puede seguir la lista a continuación para aligerar su fase de análisis:

·       Filtraciones de datos que provoquen divulgación de datos con respecto a todas las partes involucradas

·       Aumento en los costos para reemplazar cualquier equipo en riesgo

·       Daño a la reputación de su compañía entre los consumidores y la competencia

·       Cualquier acción legal emprendida a raíz de un ataque exitoso

·       Tiempo de inactividad comercial general como consecuencia de un sabotaje de componentes cruciales

5.     Priorización

Como ya se habrá dado cuenta, cada paso depende del anterior para reunir información y mejorar su estrategia de seguridad crítica.

En el paso 5, su meta es priorizar todos los puntos débiles antes descubiertos. Ya que es casi imposible eliminar el riesgo de todas las potenciales amenazas, sus especialistas de ciberseguridad deben enfocarse en la protección contra las amenazas más temibles y de mayor impacto.

Entender la ocurrencia potencial de un ataque de alto impacto es una parte fundamental de cualquier proceso de gestión de riesgo. Sin embargo, calcular el impacto de dichos ataques excede su posible ocurrencia.

Al seguir las mejores prácticas, usted podría mitigar la mayoría de (¿¡o todos!?) los exploits críticos y contrarrestar tantos problemas adicionales como sea posible, dependiendo de su postura en su lista de evaluación de impacto.

6.     Aplicar controles de seguridad

El último paso gira en torno a los controles de seguridad. Tales controles deben contrarrestar, eliminar o mitigar de manera eficaz todas las vulnerabilidades expuestas.

Aquí, es primordial analizar las operaciones de seguridad existentes para aplicar mejoras constantes. Al hacerlo, usted podría detectar brechas de seguridad adicionales e ignoradas en la fase inicial de descubrimiento.

Por último, se debe percibir un modelo de seguridad completo como un elemento viviente en su infraestructura. Incluso después de haber repasado todos los pasos de creación, el monitoreo de rendimiento y la aplicación de la validación de seguridad para garantizar un nivel de seguridad constante para sus activos es vital.

¿Por qué la ciberseguridad se convierte en una parte fundamental de la tecnología de información?

Examinemos las estadísticas de crimen informático actuales en lugar de sumergirnos en la disputa filosófica.

Según un estudio de UpCity, las empresas estadounidenses informaron un déficit de $6.900 millones en pérdidas durante el 2021 por causa de crímenes informáticos. “Solo el 43% de aquellas empresas se siente financieramente preparada para enfrentar un ciberataque en 2022”.

Desde 2016, los ataques de vulneración del correo electrónico de empresas han generado $43,31 mil millones en botines por casusa de cibercriminales, de acuerdo con el Centro de Reclamos por Delitos de Internet del FBI (IC3).

De acuerdo con el Almanaque de empresas de ciberseguridad, la actividad criminal informática tiene tal presencia que se estiman costos a las organizaciones y particulares en todo el mundo por un valor de $10,5 trillones al año en 2025.

Las cifras entregadas podrían parecer más relevantes para las grandes empresas e instituciones gubernamentales, aunque los usuarios particulares también pueden ser víctimas de filtraciones de datos.

De acuerdo con un informe de Proofpoint, los cibercriminales recurren en mayor medida a los dispositivos móviles, ya que los smartphones son una puerta a la información personal y credenciales de inicio de sesión. Luego de un ataque exitoso, los hackers pueden tomar como rehén sus datos sensibles para pedir dinero o venderlos en el mercado negro.

Ya que las campañas de ingeniería social no tienen la intención de frenarse, los intentos de SMiShing se han duplicado en grandes cantidades en los Estados Unidos durante los últimos años. En el Reino Unido, más de la mitad de los ataque se diseñaron en torno a notificaciones de entrega. Además, los cibercriminales realizan más de 100.000 ataques telefónicos al día.

El cibercrimen es una presencia en constante evolución en la tecnología moderna y el panorama de la comunicación. Los merodeadores digitales pueden amenazar los datos de diversas maneras, por lo que las empresas y usuarios particulares deben depender de las mejores prácticas en materia de ciberseguridad para mitigar el riesgo de perder sus datos o de sufrir un ciberataque.

Los niveles de amenaza se diseñaron para indicar la probabilidad de un ciberataque. Estos son los siguientes:

1. Bajo: un ciberataque que es demasiado poco probable que ocurra
2. Moderado: un ciberataque que es posible, pero que probablemente no ocurra
3. Sustancial: un ciberataque que es probable que ocurra
4. Grave: un ciberataque que es demasiado probable que ocurra
5. Crítico: un ciberataque que tiene grandes probabilidades de ocurrir en el futuro próximo

Tipos de inteligencia de amenaza y monitoreo

Dependiendo de los requerimientos y de la audiencia, existen tres categorías o tipos de inteligencia de ciberamenaza. 

La inteligencia de amenaza estratégica se desarrolla para el nivel ejecutivo o revisión de junta. Incluye informes de inteligencia no técnicos que describen las tendencias, riesgos y consecuencias detrás de un ciberataque para que los lectores comprendan el impacto de las decisiones comerciales. El enfoque suele generarse bajo petición y la información puede asumir un formato de estilo informe, reporte, documento, documentos normativos o publicación industrial.

¿Cuál es la inteligencia de amenaza táctica?

Los defensores de la seguridad y el personal detrás de la toma de decisiones utilizan datos tácticos sobre las amenazas que los ayudan a comprender los más recientes vectores y técnicas de ataque. Al entender constantemente lo último en materia de enfoque y métodos de ataque, una organización puede desarrollar mejores estrategias de defensa y designar recursos de seguridad.

¿Qué es la inteligencia de amenaza operativa?

La inteligencia operativa ofrece información específica para ayudar a los equipos de respuesta por incidentes a detener un ataque al entender de mejor manera la naturaleza del ataque, el método de ataque y su temporización. Una solución de ciberseguridad moderna que utiliza ML es el mejor método para desarrollar la inteligencia de amenaza operativa.  

Acronis proporciona a sus clientes inteligencia de ciberamenaza constante 

Acronis Cyber Protect Cloud, parte de la plataforma Acronis Cyber Cloud para proveedores de servicios y Acronis Cyber Protect para sistemas dentro de las dependencias son las primeras soluciones en la industria que integran capacidades de respaldo y ciberseguridad en una solución para proteger todos los datos, aplicaciones y sistemas. La ciberprotección requiere de investigación y monitoreo de amenaza, además de cumplir con los cinco vectores de Ciberprotección: seguridad, accesibilidad, privacidad, autenticidad y seguridad (SAPAS).

Para respaldar su enfoque, Acronis estableció una red global de Centros de Operación para Ciberprotección (CPOC) a fin de monitorear e investigar ciberamenazas 24/7. Su red global constantemente supervisa a los socios y clientes de Acronis, además de un conjunto de fuentes externas para detectar y analizar el amplio espectro de los ciberataques. Este monitoreo permite a los ingenieros de Acronis investigar las amenazas modernas para ayudar a desarrollar soluciones de ciberprotección sencillas, eficientes y seguras. Además, la investigación de CPOC también se utiliza para crear Alertas de amenaza y Planes de protección inteligente con el objetivo de mantener a los usuarios de Acronis Cyber Protect protegidos contra las amenazas más recientes.

Los socios y clientes de Acronis cuentan con la posibilidad de acceder a alertas sobre amenazas en tiempo real para lo más reciente en malware, vulnerabilidades, desastres naturales y otros eventos a escala global que pudiesen afectar su protección de datos. Como un usuario, esto le permite a su organización obtener actualizaciones constantes respecto al panorama de la ciberseguridad sin la necesidad de monitorear múltiples fuentes diferentes por cuenta propia a cada instante. Además, usted puede ajustar automáticamente sus planes de protección en base a estas alertas de seguridad para garantizar la protección proactiva contra las amenazas emergentes.

Si su organización es una empresa de pequeño a mediano tamaño (pyme), es probable que usted no cuente con expertos en materia de seguridad y con el presupuesto para desarrollar y monitorear la inteligencia de ciberamenaza y detener ataques actuales. Es por esto que Acronis desarrolló Acronis Cyber Protect Cloud para sus proveedores de servicio. Les permite al proveedor de servicios administrados (MSP) con el que trabaja proteger todas sus cargas de trabajo de ciberataques avanzados de manera proactiva. Además de resguardar los datos empresariales críticos, la solución puede garantizar el cumplimiento del Reglamento General de Protección de Datos de manera más sencilla.

Con Acronis Cyber Protect, su organización cuenta con protección en tiempo real gracias a las tecnologías heurísticas conductuales y estáticas basadas en IA que incluyen antivirus, antimalware, anti-ransomware y anti-cryptojacking.