Visto: 1377

Cómo aprendí a dejar de preocuparme por CVE y amé la inteligencia de amenazas

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

 

Cuando me dedicaba en mi anterior vida a servicios de consultoría en la mayoría de los casos me enfoca a que los clientes siempre tuvieran un análisis de vulnerabilidades como mínimo, es más en algo como PCI era obligatorio, después tener que explicar lo que era un CVE y enseñar a los altos mandos porque un CVE era peligroso, se sentían más seguros de contar con esta información. En otras palabras, el conocer y asegurar que el perímetro de la LAN estuviera protegido era suficiente, una capa a nivel firewall, una capa de seguridad a nivel router, mi ips e ids y si la compañía tenía suerte un SIEM, además los endpoints tendrían protección, ¿qué más podría pedir? Esto era suficiente para que alguien se sintiera seguro.

Y EternalBlue sucedió…

Y la fuga de datos de datos de Uber sucedió….

Y lo que personalmente me afectó -y ayudó a comprender el poder de un TIP (Threat intelligence plataform)- fue WannaCry.

¿cómo era posible que estas compañías enormes, con inversiones millonarias en infraestructura, seguridad, personal y con cumplimientos de los estándares reconocidos por la industria sufrieran esto?

Entiendo malas configuraciones, entiendo errores de configuración, entiendo que actualizar estaciones de trabajo es complicado, ¿pero no reconocer todos estos patrones en tu red?

No podía creer que sucediera esto, después de combatir y contener el caso para una importante compañía de la ciudad de México por más de 50 horas, en una reunión de trabajo con directores prácticamente al final la pregunta desde el fondo de la sala resumía todo lo que temía por el equipo de IT y de seguridad: ¿porque no identificamos esto? La pregunta del CEO a su equipo simplificaba lo que yo mismo pensaba:

¿Porque a pesar de todo fueron vulnerados? ¿Porque después de horas de publicarse el ataque nadie revisó los sitios de noticias?, la comunidad de IT sabia de esto, pero nadie revisó esta información pública que estuvo ahí por horas. Porque la operación tiene precedencia.

Fue a partir de aquí donde personalmente conocí el poder y el concepto de TIP como el lugar donde por ejemplo podía saber y ver la ip que me escaneaba era riesgosa o no, si era asociada a un ataque ya conocido, donde te atacaban, si existía un contexto para tomar una decisión. Esto era algo tan sencillo en idea como una CMDB de amenazas un lugar donde podrías buscar y encontrar lo que te podía afectar, (con algo llamado Indicadores de Compromiso “IOC” ), pero no solo se podía hacer todo lo anterior, también podía compartir información. Brillante así de sencillo y eficiente me parecía todo lo que conocí.

De seguro alguna empresa tendría esta tecnología lo antes posible, y mi respuesta cuando preguntaba por eso en las auditorías era un rotundo: NO.   ¿Porque pagar por otra tecnología? Incluso un CISO me comento: prefiero asegurar mi puesto y el valor de la compañía; su estimado es que sus activos superaban en costo más de un millón de dólares, una fuga de información o daño en su infraestructura por un ataque era cubierto por un seguro que no superaba los 150 mil dólares, Mi respuesta es que sí es un seguro, pero sigues sin solucionar el tema de fondo. Y un TIP es más que una solución a corto plazo, es saber que te puede afectar hoy y mañana, además de cómo el pasado pudo afectar tu presente. Al final casi todos mis clientes preferían saber que CVE podría afectarlos y cuales eran altos, medios y bajos. Y cómo esto podía afectar su cumplimiento regulatorio. Después el ataque al sistema del pago interbancario del banco central de México (SPEI) sucedió, y esto abrió más los ojos a la necesidad de contar con una plataforma que pudiera indicar el riesgo y los indicadores, dado que, si una autoridad con capacidad y dinero como el banco central no pudo evitar la vulnerabilidad de la banca Mexicana, ¿qué capacidad se podría esperar de un negocio de menor tamaño? Afortunadamente poco a poco algunas compañías están cambiando su forma de pensar, la necesidad de pensar fuera del perímetro me ha permitido ver implementaciones de soluciones de código abierta, ideas y soluciones locales y soluciones empresariales de primera línea como Anomali Threatstream.

Conocer y experimentar Threatstream en mi primer demo en 2018 me permitió ver de primera mano que era una solución mucho más avanzada de lo que yo imaginaba.Saber el riesgo de un indicador, conocer que tipo y que clasificación del indicador, la fuente y la evaluación de la fuente...etc. Mucho poder al alcance de mis manos. Pasar de datos a información y de ahí a inteligencia todo al alcance de unos clics. Poder saber las ligas y referencias entre actores y sus métodos, sus indicadores, información comprometida, búsquedas en Deep o dark web, ayudar a integrar soluciones, tecnologías, fuentes de información, todo desde la facilidad de una plataforma, que además ayudar a las organizaciones a saber qué información tienen que proteger y que deben de proteger. No importa cuántas capas de seguridad tengamos, cuantas regulaciones existan, cuantos cursos y entrenamientos tengamos en algún momento alguien hará algo o encontrara alguna forma de comprometernos …… pero siempre existirá un indicador que nos dirá si esto nos comprometerá así que ¿por qué no compartir y recibir indicadores desde una sola plataforma? Un indicador de riesgo puede ser igual de útil o alarmante que un CVE, no sugiero que dejemos de lado los CVE pero visualizarlos desde una plataforma y conocer quiénes y cómo los están utilizando, es una satisfacción tan práctica que vale la pena probarlo.  Al final lo único que está en riesgo es su información.

Autor:  Iker Alonso Magdaleno