Qué hemos presentado en el Security Innovation Day 2018: On the path towards an Intelligent MSSP (II)

martes, 27 de noviembre de 2018


Durante el pasado Security Innovation Day 2018, Alberto Sempere, Global Security Director (ElevenPaths) y Ester Tejedor, Gerente de Plataformas de Seguridad (Telefónica), fueron los ponentes principales para la parte dedicada a producto dentro de nuestro evento anual en innovación y ciberseguridad: On the path towards an Intelligent MSSP. Además contaron con la colaboración de Nikolaous Tsouroulas, Head of CyberIntelligence de ElevenPaths, que presentó una demo sobre dos herramientas propias de la Unidad de Ciberseguridad: Dinoflux y Aldara.

Desde los Servicios de Seguridad Gestionada de Telefónica, somos plenamente conscientes que la Ciberseguridad no es solo un problema tecnológico sino también de carácter estratégico y de gestión de riesgos. Consideramos de vital importancia proveer de los mecanismos de control que nos permitan disponer de una evaluación y gestión del riesgo constante y permanentemente actualizada.

Desde siempre, el reto ha sido encontrar un modelo dónde podamos ver cómo confluyen las distintas fuentes de información sobre el riesgo y cómo impactan en los procesos de negocio, con el objetivo de dar soporte a la toma de decisiones. En el dashboard de Riesgo en Negocio que os presentamos en el pasado Security Innovation Day 2018, hablamos de nuestra propuesta sobre cómo entendemos qué debe ser esta aproximación.

En el panel podemos ver distintos indicadores de riesgo de negocio para cada uno de los contextos alineando. Además, esta información con las necesidades de distintos roles dentro de la organización (CEO, CISO, DPO, Responsables de Negocio, …) ofrece un dato global agregado.

Dashboard de Riesgo de Negocio. Nivel de riesgo global, nivel de riesgo por ámbito y evolución del riesgo de negocio imagen
Imagen 1: Dashboard de Riesgo de Negocio. Nivel de riesgo global, nivel de riesgo por ámbito y evolución del riesgo de negocio.

Los ámbitos de riesgo son múltiples y variables.: riesgos apreciados en las actividades de consultoría, riesgos de la capa operativa de seguridad por aparición de nuevas vulnerabilidades, riesgos en la cadena de suministros, etc. Cada ámbito del riesgo cuenta, aunque probablemente no todos en la misma magnitud. La herramienta nos va a permitir customizar los pesos de cada dominio, ya que naturalmente, no serán los mismos dentro de cada organización.

Además del dominio del riesgo, podemos distinguir el nivel de riesgo diferenciado de los procesos de negocio críticos. Análogamente a los ámbitos de riesgo, no todos los procesos valen lo mismo para la compañía y la criticidad de cada uno de los procesos es un factor a la hora de componer el nivel de riesgo global.

Por último, podemos ofrecer una visión específica para los responsables de las áreas de negocio. Un jefe de área puede poner foco exclusivamente en su área y tener una visión clara de cuáles son los ámbitos de riesgo que más deben preocuparle, sabiendo cual está siendo su evolución en tiempo real. De esta forma podremos saber si estamos evolucionando de manera satisfactoria según nuestro apetito de riesgo, y poner atención y recursos en aquellos dominios o procesos de negocio que así lo requieran.

Dashboard de Riesgo según proceso de negocio. Evolución y desglose por contexto imagen
Imagen 2: Dashboard de Riesgo según proceso de negocio. Evolución y desglose por contexto.

En la segunda parte de la sesión, nos centramos en la inteligencia de amenazas, uno de los pilares de nuestros SOCs inteligentes (Centro de Operaciones de Seguridad). Gracias a nuestros acuerdos con partners líderes en el mercado, nuestra participación en comunidades de intercambio de inteligencia de amenazas, como es la CyberThreat Alliance, y el procesado de telemetría anonimizada procedente de nuestros servicios, disponemos la mejor base para conocer a fondo el contexto global de las amenazas. Como MSSP Inteligente (iMSSP) usamos este conocimiento para mejorar nuestras capacidades de detección, hunting y respuesta de incidentes de nuestros SOCS.

Un iMSSP tiene que incorporar inteligencia de amenazas en sus operaciones. Pero un iMSSP líder tiene que, además, disponer de fuentes de inteligencia exclusivas, de calidad y con amplia cobertura de todas las tipologías de amenazas. En la sesión, presentamos dos ejemplos de herramientas de inteligencia de amenazas propias de ElevenPaths que cubren dos ámbitos de amenazas muy diferentes: Aldara y Dinoflux.

En primer lugar, nos dirigimos a los ataques que se organizan y se publican vía redes sociales. Ataques como aquellos que son organizados por grupos hacktivistas y activistas, el fraude de contenidos, los ataques reputacionales, etc. Mostramos Aldara, una herramienta desarrollada por ElevenPaths y que permite realizar análisis de las relaciones e interacciones de los perfiles que participan en este tipo de ataques, con el fin de identificar aquellos que mayor importancia tienen. Una información que puede ayudarnos a la hora de anticiparnos a ataques, entender mejor el riesgo asociado a una campaña o aportar más información en un ejercicio de atribución.

En contraste a este tipo de ataques que sus propios autores publican en redes sociales, existe multitud de ataques que se esconden detrás del malware que distribuyen de forma silenciosa las redes de cibercriminales. Una de las mejores formas de conocer el modus operandi de estos atacantes y aprender de los incidentes a otras víctimas es analizar el malware que dejan los cibercriminales en su paso. Este es el objetivo de Dinoflux, una plataforma de análisis de malware que permite procesar cientos de miles de muestras y que mediante técnicas avanzadas de inteligencia artificial extrae indicadores de compromiso y reglas que pueden mejorar nuestras capacidades de prevención, detección y de respuesta a incidentes.

Estos dos herramientas son solo ejemplos de lo que contiene nuestra propuesta de Managed Detection & Response, cuyo objetivo es ayudar a nuestros clientes en construir su SOC inteligente o contar con estas capacidades como servicio.

También te puede interesar:

No hay comentarios:

Publicar un comentario