MDR: soluciones de ciberseguridad al alcance de todos

 

Hace tiempo que la ciberseguridad es una prioridad para todo tipo de empresas. Sufrir un incidente es un contratiempo que puede tener múltiples consecuencias: paralización de la actividad, sanciones por la filtración de datos personales, inutilización de equipos, pérdida de datos, incumplimiento de contratos con los clientes, impacto en la reputación de la compañía, deterioro de la marca… De hecho, muchas empresas no son capaces de sobrevivir y levantar cabeza después de sufrir un ciberataque.

Ninguna organización puede ignorar esta situación, sin importar su tamaño. En el caso de las grandes corporaciones, son un objetivo suculento para los ciberdelincuentes, tanto por el desafío que comporta derribar sus defensas como por la gran recompensa que se puede lograr si se consigue vulnerar su seguridad. Sin embargo, las pymes también son muy apetecibles para los cibercriminales, puesto que disponen de muchos menos recursos y son más vulnerables. Y si los ciberriesgos ya eran una amenaza que sobrevolaba a todas las empresas, la pandemia de la COVID-19 no ha hecho más que acrecentar los peligros.  

 

El enemigo está en casa

 

El primer elemento que ha introducido la COVID-19 ha sido la generalización del trabajo en remoto. Durante el confinamiento, el teletrabajo se convirtió en una solución de urgencia para poder seguir operando con relativa normalidad. El fin del encierro colectivo ha devuelto a muchas personas a las oficinas, pero con severas restricciones en los aforos, por lo que el trabajo en remoto sigue teniendo mucho protagonismo.

“Con la pandemia, ha cambiado el perfil de empleado. Gran parte de los trabajadores van a ser empleados remotos. Quizá vayan a la oficina, pero dos o tres días a la semana trabajarán desde su casa. Y sólo una pequeña parte de esos empleados van a trabajar con dispositivos corporativos. La mayor parte lo harán desde la red de su hogar y con equipos personales. O puede que lo hagan con dispositivos corporativos, pero de los que también hacen uso personal, lo que es otra fuente de problemas”, explica Alberto Bellé, analista de IDG Research.

Esta ampliación de la oficina al hogar del trabajador rebasa el perímetro de seguridad que las compañías tenían vigilado y controlado, aumentando los riesgos. “Hace que aparezcan brechas de seguridad. Algunas empresas están protegiendo al empleado remoto y otras no. Vemos incluso compañías que están favoreciendo que no haya soluciones de seguridad —como un antivirus, por ejemplo—, para que el trabajador disponga de mayor rapidez. Favorecen el rendimiento frente a la protección, asumiendo que no las van a atacar”, advierte Bellé.

Además, hace hincapié en que los ciberataques que se registran desde el arranque de la pandemia están cambiando. “Ahora están más diseñados para buscar el error del usuario, porque la psicología del empleado en su domicilio es distinta que en la oficina”, puntualiza.

 

"Con el teletrabajo, hay compañías que incluso no favorecen que haya soluciones de ciberseguridad"

 

Cambios en las redes

 

La necesidad de trabajar en remoto ha obligado a las organizaciones a realizar cambios en sus redes, con el fin de soportar la conexión de los empleados desde sus casas. “Sus redes no estaban preparadas para voz, datos, acceder a aplicaciones… Las empresas han tenido que redimensionarlas. Están cambiando su modelo de conectividad. No se trata de algo puntual para habilitar la entrada en remoto, sino que supone un cambio de arquitectura. Lo relevante para la ciberseguridad es que aparecen nuevos patrones de eventos que antes no se producían. Y los equipos de seguridad de muchas compañías no están preparados, porque no están familiarizados con estos nuevos ataques que antes no se detectaban y no tienen capacidad para gestionar y resolver las vulnerabilidades generadas”, indica el experto de IDG Research.

 

Ataques a la cadena de suministro

 

Bellé reseña que se ha producido un aumento muy significativo en el uso del cloud por parte de las empresas, puesto que “todas las compañías han tenido que construir canales digitales”.

Esta migración a la nube introduce el riesgo de ataque a la cadena de suministro. “En una cadena de suministro siempre hay un actor menos preparado. Los ciberdelincuentes buscan ese eslabón más débil. Es un foco muy importante porque un ataque de este tipo es muy rentable, ya que a través de ese actor más vulnerable se puede llegar a diferentes empresas clientes”, especifica. 

Además, apunta otro elemento que repercute en su peligrosidad. “La responsabilidad de seguridad en la cadena de suministro no está clara y es muy difícil hacer una respuesta coordinada frente a un ataque de este tipo. Las empresas todavía no entienden bien la seguridad en la nube, que es compartida y requiere una gran monitorización, coordinación y entendimiento con el proveedor de cloud”, comenta. Así pues, augura un incremento de este tipo de ataques.

 

Sofisticación de los ataques

 

Ricardo Maté, director general de Sophos Iberia, indica que en el último año hemos asistido a la “profesionalización y especialización de las cibermafias”. “Son auténticas organizaciones que viven de la extorsión de una forma muy sencilla. Los ciberatacantes disponen cada vez de más y mejores herramientas y soluciones de inteligencia artificial para llevar a cabo ataques quirúrgicos que les permiten no sólo desplegar ransomware de manera muy rápida y efectiva, sino también extraer información crítica de la empresa para pedir rescates millonarios”, añade.

 

"En el último año hemos asistido a la profesionalización y especialización de las cibermafias"

 

 

Mayor impacto de los incidentes

 

El analista de IDG Research afirma que el proceso de digitalización que han afrontado las organizaciones hace que el impacto de un posible ataque sea ahora mucho mayor que antes.

Cualquier incidente cibernético puede tener enormes repercusiones, como la paralización de la actividad, falta de puntualidad o incumplimiento de los compromisos adquiridos con los clientes, brechas de datos que impliquen posibles sanciones por el incumplimiento del Reglamento General de Protección de Datos (GDPR, de sus siglas inglesas), etc.

 

Limitación de los recursos

 

Pese al incremento de los riesgos, de sus repercusiones y de la complejidad de las amenazas, los presupuestos de ciberseguridad y los recursos humanos destinados a este cometido no están aumentando en la misma proporción. Las empresas tendrían que afrontar una importante inversión para contar con los recursos oportunos para garantizar su seguridad. Además, los ciberdelincuentes no entienden de horarios ni de vacaciones. “No puedes limitar la protección al horario de tu personal”, sentencia Bellé.

Por otra parte, resulta complicado atraer el talento necesario. Se trata de perfiles profesionales escasos y muy demandados, por lo que es difícil competir con las grandes corporaciones o con compañías especializadas en ciberseguridad. “Contratar personal experto en incidentes y malware no es sencillo, además de ser extremadamente costoso”, explica Maté.

 

Soluciones de seguridad gestionada

Los servicios de detección y respuesta gestionada (Managed Detection and Response, MDR) se ajustan a las necesidades de cualquier tipo de empresa y resuelven estos problemas. “Imaginemos que se reciben alertas de intentos de ransomware a las 2:00 horas de la madrugada y que no hay nadie en el departamento de IT para valorar estos intentos de ataque y analizar qué pasa en ese servidor hasta las 9:00 horas de la mañana. Esto permite que los cibercriminales tengan una ventana de siete horas para realizar todo tipo de actividades dentro de nuestros sistemas. "¿Una empresa se puede permitir que nadie revise qué sucede durante tanto tiempo?”, plantea el director general de Sophos Iberia.

“Muchas empresas pequeñas no se pueden permitir un SOC en 24x7 ni contar con personal experto en incidentes y malware. Nosotros proporcionamos este servicio para democratizarlo y que cualquier empresa, independientemente de su tamaño, lo pueda tener disponible. Si consideramos el ROI de esta solución, frente a incorporar recursos propios que estén disponibles 24x7, hablamos entre un 300% y un 500%. Y esto sin tener en cuenta el coste de recuperarse de un ciberataque, que puede estar de media en 700.000 dólares para una empresa de tamaño mediano”, detalla.

Además, Maté considera que este tipo de soluciones son “el complemento ideal para los SOC”. “El personal de un SOC es experto en la gestión de productos de seguridad, así como en resolución de incidencias en éstos. Sin embargo, es muy complicado que además dispongan de personal especialista en malware y threat hunting”, comenta.

En cualquier caso, el analista de IDG Research hace hincapié en que “no todos los servicios MDR son iguales ni ofrecen la misma calidad”. Así pues, recomienda tener en cuenta varios elementos a la hora de escoger proveedor: si ofrecen atención 24x7x365, si únicamente notifican al cliente en caso de sufrir un incidente o también lo resuelven, con qué capital humano cuentan, cuál es su tiempo de respuesta, qué nivel de integración ofrecen al cliente, etc.

 

"Las soluciones MDR son el complemento ideal para los SOC"

 

Sophos MTR

 

Managed Threat Response (MTR) es la solución MDR ofrecida por Sophos. “Llevamos a cabo las labores necesarias para contener una incidencia y solventarla, a diferencia de otras soluciones del mercado que tan sólo notifican al cliente sobre una potencial amenaza. Es un servicio ‘llave en mano’ para la gestión de la seguridad, basado en el agente de Sophos CIXA+EDR (Central Intercept X Advanced con EDR), en nuestro equipo de expertos de threat hunting y en unos novedosos sistemas de inteligencia artificial. Todo ello nos permite monitorizar, localizar, valorar y tomar acción”, especifica Maté.

Asimismo, pone el acento en su facilidad de integración, “Tan sólo hay que añadir la licencia. Aquellos clientes con CIXA+EDR pueden agregar esa licencia. Si se dispone de una versión inferior (Central Endpoint Protection), se agregarán las licencias para llegar a la versión antes indicada. Asimismo, se realizará una reunión de kick-off en la que el equipo MTR podrá obtener la información necesaria para su trabajo por parte del cliente”, explica.

Sophos MTR permite que el cliente controle cómo y cuándo se derivan los incidentes potenciales, qué acciones de respuesta desea que se tomen —en caso de ser preciso— y quién debe incluirse en las comunicaciones. Además, ofrece tres modos de respuesta a la hora de colaborar con el cliente durante un incidente: ‘Notificación’, enviando la incidencia detectada y datos para ayudar con la priorización y respuesta; ‘Colaborativo’, remitiendo la notificación y los pasos a seguir para responder al incidente; y ‘Autorizado’, realizando todas las acciones necesarias para la contención y solución de la incidencia, informando de las medidas tomadas.

“Si en un tiempo razonable el cliente no confirma haber seguido los pasos, el modo ‘Colaborativo’ pasa automáticamente a ‘Autorizado’, siendo el equipo MTR quien resolverá la incidencia. Tras todo esto, se enviará un informe al cliente”, puntualiza el director general de Sophos Iberia.

 

¿‘Standard’ o ‘Advanced’?

Sophos ofrece dos niveles de servicio. La modalidad ‘Standard’ contempla la búsqueda de amenazas a partir de pistas las 24 horas, comprobación del estado de seguridad, informes de actividades y detección de adversarios. La modalidad ‘Advanced’ añade también la búsqueda de amenazas sin pistas las 24 horas, telemetría optimizada, mejora proactiva de la posición de seguridad, responsable de respuesta a incidentes dedicado, soporte telefónico directo y detección de recursos. En ambos casos, Sophos MTR brinda a sus clientes servicios de threat hunting. “En la ‘Standard’, se basa en la detección de indicios ‘fuertes’. Por ejemplo, un binario de reputación desconocida que observamos que toma control de teclado y ratón —posible keylogger— o realiza conexiones a un sistema de comando y control. Ante una alerta del propio producto CIXA+EDR, el equipo MTR realizará la investigación; pero también de forma proactiva, realizando análisis basados en estos indicios fuertes. En la ‘Advanced’, además se buscarán indicios ‘débiles’. Por ejemplo, intentos fallidos de autenticación sobre un servidor, cuya investigación puede dar lugar al descubrimiento de una cuenta vulnerada, etc. Es decir, eventos que estarían lejos de ser detectados por sistemas antivirus tradicionales o incluso de nueva generación”, destaca. Maté asegura que la amenaza queda confinada aproximadamente en 2 horas, siendo eliminada en menos de 24 horas. Además, reseña que con el servicio ‘Advanced’ “se garantiza la limpieza no sólo del malware que pudiera haberse descargado en la organización, sino toda presencia amenazadora dentro de la cuenta, además de proporcionar la información de desde dónde se lanzó el ciberataque, qué pasos y componentes tenía, a qué equipos o sistemas afecto, etc.”.