Nikolaos Tsouroulas

Fue un miércoles a las 17:00h cuando el CIO de un potencial cliente que estaba visitando nuestras oficinas pidió una reunión con el equipo de producto antes de marcharse. Durante la sesión nos preguntó mucho sobre el alcance de nuestros servicios, los SLAs, el portal de cliente y los dashboards del estado de seguridad, la arquitectura de nuestra plataforma, los procesos de nuestros SOCs, el programa de formación que usamos para mantener a nuestro personal actualizado, nuestro roadmap y visión de futuro, etc. No preguntó nada sobre tecnologías. De hecho, cuando le pregunté sobre preferencias y opiniones su respuesta fue sorprendentemente “lo que vosotros consideréis mejor”. Sus preguntas dejaban claro que no quería un proveedor simplemente para gestionar su tecnología de seguridad. Tampoco buscaba un proveedor de seguridad para tapar algún agujero puntual que tenía en su programa. Necesitaba urgentemente un socio a quien podía confiar todas sus operaciones de seguridad. Su experiencia con una brecha recién sufrida le había dejado claro que reconstruirlo todo desde cero con recursos internos o con un puzle de proveedores no iba a funcionar. No tenía el tiempo, ni el presupuesto, ni el conocimiento para hacerlo. Y menos en un mercado donde abundan las tecnologías, pero escasean los profesionales experimentados. Esta reunión fue hace 3 años y desde entonces empezamos a notar una tendencia muy clara. Clientes muy sofisticados, como entidades financieras, pedían cada vez más externalizar mayor parte de sus operaciones de seguridad. Y organizaciones más pequeñas, y menos maduras en ciberseguridad, solicitaban directamente soluciones integrales llave en mano. Empezamos a responder a este tipo de demandas con proyectos especiales, configurados a medida para cada cliente. Esta aproximación personalizada es muy potente pero queda fuera del alcance de algunas organizaciones debido a su coste. Dejaba una parte de nuestros clientes desprotegidos. Nace NextDefense Como compañía líder en ciberseguridad de España y Latinoamérica teníamos la obligación de hacer algo para ayudar al mayor número de clientes posible. Y así nació la idea de NextDefense, nuestra nueva marca de servicios avanzados de ciberseguridad. “La misión de NextDefense es ofrecer una solución completa y puntera de ciberdefensa al alcance de cualquier organización.” El pilar más importante de una solución con esta ambición es sin duda el equipo humano, las operaciones de ciberseguridad. Durante los últimos años hemos estado armando la compañía con más de 1500 de los mejores profesionales de ciberseguridad, y construyendo un SOC global con 11 ubicaciones alrededor del mundo que ofrezca los servicios más avanzados que pueda pedir un cliente. Este año hemos inaugurado nuestro centro de competencia global en Detección y Respuesta Gestionada, con analistas de inteligencia, analistas de malware, hunters, forenses, analistas de vulnerabilidades y todos aquellos perfiles necesarios para ofrecer servicios avanzados de detección y respuesta. Este equipo humano se apoya en nuestra plataforma iMSSP que contiene todas las piezas necesarias para ofrecer los servicios de ciberseguridad de forma eficiente, eficaz e integrada. Una plataforma que si quisiera replicarla un cliente necesitaría varios millones de euros y varios años para poder construirla. El viaje empieza por el portal del cliente para una visión única e integrada de todos los servicios, gestión de casos para tener control total y medición milimétrica de todo lo que ocurre durante la prestación del servicio a un cliente. Contamos con una capa de orquestación y automatización para poder ofrecer un servicio lo más rápido y eficaz al menor coste posible. Y una telemetría y capacidad de analítica basadas en las mejores tecnologías de mercado seleccionadas tras pruebas exhaustivas en nuestro laboratorio y validadas en el día a día de cientos de clientes. Sobre estos pilares hemos construido un porfolio completo de servicios avanzados de ciberseguridad que pueden cubrir la mayor parte de las funciones del marco de ciberseguridad del NIST. Gestión de Riesgo de Vulnerabilidades La mayoría de los programas de ciberseguridad están condenados a fracasar por fallos básicos en el proceso de eliminación de vulnerabilidades conocidas. Gran parte de la complejidad está en el proceso de corrección de las vulnerabilidades y no solo en su descubrimiento. Por eso ofrecemos un servicio de Análisis de Vulnerabilidades gestionado que no se limita en el descubrimiento. Nuestros analistas filtran y priorizan las vulnerabilidades y nuestro portal hace muy sencillo a los clientes gestionar y seguir todo el ciclo de vida de una vulnerabilidad, desde su aparición hasta su resolución. Otra limitación básica de muchos programas de vulnerabilidades es que no monitorizan el riesgo que introducen sus socios. Gracias a nuestra solución de Benchmarking, Auditoría y Cumplimiento que utilizan técnicas de rating automático, podemos tener una visión muy amplia y en tiempo real de todo lo que ocurre con nuestra cadena de suministro y así tomar medidas. Finalmente, en todas las organizaciones existen vulnerabilidades de aplicaciones propietarias o de arquitectura que solo se descubren cuando analistas expertos intentan acceder combinando diferentes técnicas y dando varios pasos consecutivos hasta llegar al objetivo. Este tipo de problemas no se descubren con herramientas automáticas. Por eso en NextDefense incorporamos servicios de Pentesting y Asistencia en Seguridad, y también de Asistencia de Red Team para poder dar a nuestros clientes una garantía completa. Ciberinteligencia Sun Tzu decía en su “Arte de la Guerra” que un guerrero exitoso tenía que conocerse a sí mismo y también conocer a su enemigo. Si la gestión de vulnerabilidades es el conocimiento de uno mismo, la Ciberinteligencia es el conocimiento del enemigo. Hemos invertido mucho esfuerzo durante los últimos años para contar con las mejores herramientas, identificar las mejores fuentes y comunidades de intercambio de Ciberinteligencia, y seleccionar con cuidado los socios con quienes trabajamos para adquirir y compartir inteligencia. La inteligencia en NextDefense es tanto un atributo de diferenciación y de calidad como un catálogo de servicios. Tener nuestro propio feed de indicadores de compromiso que está de los mejores valorados en calidad en comunidades de intercambio como la CyberThreat Alliance, donde participan todos los líderes del mercado, nos permite ofrecer mejor calidad de detección y respuesta. Por el otro lado, también ofrecemos el servicio de Protección de Riesgos Digitales, líder de mercado en España que hemos incorporado en NextDefense, feeds especializados de nuestros socios para poder atender las necesidades más avanzadas de Ciberinteligencia. Detección y Respuesta Todo lo que hemos contado hasta ahora converge en el servicio principal de nuestra propuesta de valor: la familia de Detección y Respuesta. En definitiva, lo que nos piden nuestros clientes es hacernos cargo de todo el proceso detección y respuesta, y esto es precisamente lo que nos hemos propuesto hacer en NextDefense con nuestro servicio Detección y Respuesta Gestionada. Un servicio que permite a cualquier empresa contar con un SOC completo y moderno sin ninguna inversión inicial. Comercializado como una suscripción mensual que incluye tanto tecnología de detección y respuesta en endpoint de la mano de los líderes del mercado (Crowdstrike y Palo Alto Networks) como toda la capa de servicios de detección y respuesta: despliegue y configuración, monitorización 24x7 de las alertas, threat hunting gestionado de manera periódica, y un retainer de DFIR para dar tranquilidad en el caso que algo pasara. Un servicio integral que seguro que dará tranquilidad a muchos de nuestros clientes. Puedes consultar más información sobre NextDefense en este informe o ponerte en contacto con nuestros expertos.

¿Estás gastando más de lo que puedes permitirte en tu SOC pero sigues sin detectar y responder con suficiente rapidez a los incidentes? ¿Has sufrido un incidente y necesitas mejorar rápidamente las operaciones de seguridad antes de que llegue el siguiente? ¿Estás confundido con los cientos de productos y acrónimos que el mercado te ofrece cada día y solo buscas un socio MDR en el que confiar para que te ayude a crear una solución adaptada a ti? Esto es lo que hacemos en ElevenPaths, la Compañía de Ciberseguridad de Telefónica. Creemos que todas las organizaciones deben poder confiar en operaciones de seguridad modernas centradas en: Detección de vulnerabilidades en el endpoint y en la red, basada en técnicas de visibilidad total y de comportamiento Inteligencia de amenazas para detectar mejor las nuevas amenazas y guiar la preparación y respuesta Análisis avanzados de todas las fuentes disponibles en la organización para añadir una capa de detección avanzada adicional que unifique todos los vectores de amenaza Campañas de detección proactivas para asegurar que no se escapa nada Un programa de respuesta a incidentes y gestión de crisis con todas las capacidades necesarias disponibles para cuando llegue el día en que sea necesario ponerlo en práctica Escalabilidad y automatización para reducir los costes Todo lo que debes saber sobre el mercado de la detección y respuesta gestionada (MDR) Creemos que, al igual que no hay una talla universal para todos, tampoco todas las ofertas de MDR son iguales. Para ayudar aún más a nuestros clientes a comprender lo que deben buscar en un programa y socio MDR, hemos trabajado junto a Harden Stance y los principales proveedores de MSSP y MDR en la elaboración de un informe que examina el mercado de MDR y subraya todos los aspectos importantes que un cliente que busca mejorar sus capacidades de detección y respuesta debe tener en cuenta antes de comprometerse con un proveedor. Puedes encontrar el informe completo sobre qué esperar del MDR y de los proveedores de MDR por cortesía de ElevenPaths en este enlace. Si tienes alguna pregunta o comentario, puedes contactar con nosotros aquí. ¿Qué puede ofrecer ElevenPaths como socio proveedor de servicios MDR? Nuestros principales componentes son: Laboratorio MDR (detección y respuesta) Nuestro equipo de expertos en amenazas evalúa las tecnologías de los principales fabricantes (por ejemplo, EDR, NTA, TIP, Intelligence Feeds, Plataformas de Análisis Avanzado, etc.) con el fin de proporcionar servicios de consultoría basados en las necesidades y requisitos técnicos de las organizaciones. Servicios gestionados en tecnologías y plataformas ElevenPaths ofrece servicios gestionados adaptados o a medida para esas tecnologías y plataformas. Administración e investigación de alertas EDR o integración de IoCs y gestión de plataformas TIP para la aplicación de inteligencia de amenazas. SOC inteligente (iMSSP) Las capacidades tradicionales del MSSP se fusionan con las sofisticadas características de los servicios MDR para que así el cliente pueda subcontratar capacidades avanzadas de monitoreo, detección, búsqueda y respuesta en el i-SOC de ElevenPaths.

Una vez contamos con la visibilidad que aporta un Endpoint Detection & Response (EDR) y el conocimiento que proporciona la adopción de la inteligencia de amenazas, ya disponemos de los dos principales pilares para comenzar nuestro viaje hacia una organización ciber-resiliente. En la actualidad, la mayor parte de las compañías se encuentran en un nivel de madurez de seguridad básica. Cuentan con un SIEM como eje principal donde se almacenan ciertos y se generan alertas a partir de correlación de reglas, pero careciendo aún de toda la telemetría necesaria, así como de las herramientas e inteligencia necesaria para una detección efectiva de ataques sofisticados. ¿Cómo saltar al siguiente nivel? Combinando la telemetría completa ofrecida por un EDR, junto con la información de inteligencia de amenazas e indicadores de compromiso. De esta forma podemos dar el siguiente paso: mejorar la visibilidad sobre la actividad de los atacantes en los endpoints, mejores capacidades de detección en el SIEM -gracias al empleo de IoCs-, y más eficiente labor de triaje e investigación de incidentes sobre las alertas del SIEM a partir de la aplicación de contexto y enriquecimiento que aporta la inteligencia de amenazas. Con estos nuevos ingredientes en la mesa, nos encontramos ya en disposición de desbloquear la siguiente fase de nuestro viaje, y beneficiarnos de nuevas eficiencias en los procesos de detección de incidentes. No obstante, y como ya sabemos, en seguridad no existen garantías absolutas. Por ello, debemos introducir un nuevo concepto: el hunting proactivo de amenazas. Estos procesos de hunting se apoyan en analistas expertos o hunters que “bucean” de manera continua y proactiva sobre la telemetría recogida, con el propósito de identificar señales de compromiso a partir de la exploración de nuevas técnicas de ataques y artefactos empleados por actores y campañas emergentes. De esta forma, los hunters son capaces de frustrar los ataques antes, incluso, de que se produzca una brecha, así como detectar amenazas que hubieran podido evadir las anteriores capas de seguridad. Hasta el momento, nos hemos detenido en las principales aproximaciones que, aunque avanzadas y eficaces, tienen un carácter ciertamente reactivo y pretenden mantener a nuestros adversarios apartados de nuestra infraestructura. Existe un dicho que dice: “Mantén a tus amigos cerca, y a tus enemigos aún más”. Esta expresión nos lleva a la siguiente reflexión: ¿por qué no darle la vuelta a la ‘tortilla’ e intentar, en su lugar, atraer a nuestros adversarios hacia “nuestra red”? No, no nos hemos vuelto locos. Únicamente estamos introduciendo un nuevo concepto de defensa activa: los sistemas de deception. Estos enfoques, basados en las técnicas militares tradicionales de contrainteligencia, nos permiten desplegar escenarios falsos que simulan infraestructuras, activos y perfiles de nuestra organización para desencaminar a un atacante hacia un entorno controlado y monitorizado, donde se le plantean nuevos desafíos y dificultades a lo largo de un árbol de ataque, diseñado específicamente en base a la naturaleza de cada organización. De esta forma se consigue dirigir los recursos de un atacante hacia una infraestructura falsa, mientras nuestros verdaderos activos se encuentran protegidos y logramos obtener inteligencia del adversario (indicadores sobre su C&C, herramientas empleadas, capacidades, motivaciones, etc.). Y con esto, llegamos al último peldaño dentro de nuestro viaje: los sistemas de analítica avanzada, que emplean técnicas de procesamiento en tiempo real de altos volúmenes de información e inteligencia artificial, para detectar anomalías y desviaciones representativas de posibles intentos de compromiso. Hablamos aquí de una categoría emergente de capacidades y herramientas que engloban ciertas tecnologías SIEM de nueva generación, así como otras soluciones específicamente enfocadas a temas UEBA (User Entity Behaviour Analytics). Estas soluciones han despertado un gran interés por la promesa de resolver, de forma automática, el problema de detección de ataques sofisticados. Son, sin embargo, soluciones que requieren alta madurez operativa para poder ser implantadas y optimizadas, y en la actualidad están siendo analizadas en entornos reales y de laboratorio para determinar si podrán cumplir la totalidad de las expectativas generadas. Nuestro viaje para localizar a Wally y mejorar nuestras capacidades finaliza aquí, pero ¿cómo hacemos ahora para “eliminarlo de la foto”? Ser capaces de detectar una brecha mientras se está produciendo, sirve de poco si no somos capaces de ejecutar una respuesta rápida, eficaz y eficiente. Por tanto, dentro de esta evolución de las operaciones de seguridad no puede faltar un equipo de respuesta a incidentes (CSIRT) con capacidades avanzadas de Digital Forensics and Incident Response. Una capacidad que puede ser costosa de construir a nivel interno, ya que requiere perfiles expertos con mucha experiencia en análisis forense, reversing de malware, analistas de inteligencia, etc., todos ellos perfiles escasos en las plantillas de la mayoría de las organizaciones pueden disponer en su plantilla. Como conclusión, la pregunta que puede surgir a un profesional de seguridad que comparte esta visión es ¿cómo puedo llegar a tener todas estas capacidades?, especialmente en un momento donde existe una escasez muy importante de personal, una inmensa diversidad tecnológica en términos de proveedores y soluciones, y una enorme presión para prepararse y evitar que nuestra organización sufra una brecha de seguridad con daños irreparables. En ElevenPaths disponemos de un MDR Lab que facilita la elección de aquellas piezas tecnológicas que mejor se adaptan a las necesidades de cada empresa. En este laboratorio probamos a fondo los productos más punteros empleando nuestra propia metodología, infraestructura y técnicas de exploiting y malware. De esta manera, podemos eliminar de la foto parte de la complejidad inicial relativa a la selección de los componentes sobre los cuales basar sus operaciones de seguridad. Adicionalmente, podemos ofrecer estos productos como servicios gestionados, así como abordar proyectos de consultoría e integración para posibilitar una implementación integral dentro de los procesos operativos de su SOC. Finalmente, ofreceremos servicios de outsourcing completo de SOCs, incorporando estas capacidades avanzadas de forma transparente para facilitar aún más este viaje hacia las operaciones de seguridad basadas en inteligencia. » Detección y respuesta basadas en Ciberinteligencia. Parte 1: Los pilares básicos

Las operaciones de seguridad de hoy en día se asemejan a un “¿Dónde está Wally?” a escala masiva. El extenso y complejo enjambre de sistemas, alertas y ruido general, complica exponencialmente la acción de encontrar la aguja en el pajar. Y por si esto no fuera suficiente, nos encontramos con la problemática de la visibilidad: los operadores ni siquiera disponen de la imagen completa, ya que carecen de parte de la información relativa a la actividad de su infraestructura; o la “mutabilidad de Wally”: el cambio y sofisticación continua de las técnicas de los atacantes (Cybercrime as a service) dificulta aún más las posibilidades de encontrar a “nuestro Wally”. Con la llegada de GDPR, la mayoría de organizaciones tenemos la obligación de comunicar los incidentes y su impacto asociado dentro de nuestro ecosistema y, además, asumimos el riesgo derivado de las fuertes penalizaciones económicas que prevé la nueva regulación y que exige cambios rápidos e importantes, y. Desde ElevenPaths, hemos definido una estrategia para afrontar estos retos, construyendo una serie de productos, servicios y capacidades que ponemos a disposición de nuestros clientes para ayudarles a dar respuesta a este nuevo y complejo escenario. En primer lugar, resolveremos el problema de visibilidad. Para ello, el mejor punto de partida es el endpoint, un campo donde verdaderamente se gana o se pierde la batalla en la mayoría de las ocasiones, siendo el lugar en el que se almacena la información de las organizaciones más anhelada por los atacantes. Son fácilmente atacables e infectables (email, web, programas, disco USB, red local, etc.), e incluso en la mayoría de ocasiones se encuentran fuera del control del IT de nuestra empresa (escenarios de movilidad, conexión a redes no confiables, uso personal, BYOD, etc.). Actualmente, la mayoría de compañías emplean solamente antivirus tradicionales para proteger sus endpoints. Estos elementos de seguridad han llevado a cabo su función correctamente (bloquear amenazas conocidas) durante muchos años, pero en el escenario actual de sofisticación y mutación de los ataques actuales necesitan un complemento. Aquí es donde entra la nueva generación en protección de endpoint, los denominados sistemas de Endpoint Detection & Response (EDR). Un EDR ofrece: Visibilidad completa de lo que está ocurriendo en el endpoint: actividad sobre procesos, memoria, registro, ficheros, actividad en red, etc. Detección post-ejecución de malware o exploits desconocidos basada en análisis de comportamiento y el empleo de técnicas de inteligencia artificial. Capacidades de extracción de información forense completa para analizar incidentes, y acciones de respuesta manual y automática (aislar un endpoint, matar procesos/servicios, extraer un fichero o memoria del endpoint, actualización de programas, etc.). Por tanto, el EDR debe ser, sin ninguna duda, un elemento indispensable dentro de la estrategia de defensa de cualquier organización, pero no el único. Conocer y comprender a nuestros adversarios es crucial si queremos anticipar y detectar nuevos ataques que se escapan de nuestras soluciones defensivas. En este punto entra en juego la inteligencia de amenazas que nos proporciona la información necesaria para poder perfilar y divisar a nuestro particular “Wally”. En este punto, necesitamos información de alto nivel sobre el tipo de actores que atacan a nuestro sector o a nuestras regiones, cuál es su motivación o qué activos de nuestro negocio suelen atacar… es decir, se requiere de una inteligencia estratégica, que permita definir el perfil de riesgo y diseñar una estrategia de defensa. En un siguiente nivel, encontramos la información sobre las técnicas, herramientas y procedimientos específicos que utilizan normalmente estos actores. Este conocimiento, denominado inteligencia táctica, nos permite llegar a un mayor nivel de detalle técnico para organizar y fortificar nuestras defensas, así como para entrenar nuestro personal, y comprender más ágilmente el posible impacto de indicios de incidentes. Y, finalmente, necesitamos información operativa y técnica para poder buscar las huellas que dejan los atacantes durante su actividad, fuera o dentro de nuestra infraestructura: direcciones IP, dominios, URLs, nombres de ficheros, y en general, cualquier dato identificativo de nuevos incidentes y campañas. Los grupos cibercriminales funcionan como un negocio, empleando modelos cost-effective que reaprovechan al máximo su infraestructura para optimizar la rentabilidad de sus “inversiones”, y la inteligencia de amenazas ayuda a evitar segundos, terceros y sucesivos incidentes con éxito. Es lo que llamamos Indicadores de Compromiso (IoCs), piezas de información entregadas en formatos estándar para que puedan ser procesados por dispositivos de seguridad, así como por equipos de personas. Adicionalmente, y para aquellas organizaciones-suficientemente maduras que deseen potenciar las capacidades de telemetría, detección y analítica que proporciona un EDR, se recomienda el empleo de tecnologías complementarias dirigidas a cubrir la recolección y analítica sobre el tráfico de red (Network Threat Analysis). Estas soluciones recogen y analizan paquetes de red en tiempo real para detectar anomalías, apoyándose en técnicas de sandbox, analítica de comportamiento, bases de firmas e indicadores de compromiso. La posibilidad de almacenar y disponer del histórico del tráfico de red permite realizar búsquedas avanzadas hacia atrás (retrohunting) sobre nuevas amenazas, así como realizar investigaciones exhaustivas para determinar el alcance y las medidas de mitigación y remediación necesarias sobre posibles compromisos e incidentes de seguridad en curso.