Todos los CIO y CISO lo tienen claro: la organización está bajo ataque, ha sido invadida y, dentro del entorno digital de la empresa, se esconden amenazas controladas por bandas digitales. En la era de la nube híbrida y distribuida, el panorama se vuelve aún más complejo. El estudio Estado de la Estrategia de Aplicaciones 2023, realizado por F5 a partir de entrevistas con 1.000 líderes, entre ellos 92 brasileños, muestra que el 85% gestiona entornos variados, incluidas implementaciones locales, en Edge Computing y en nubes públicas como Microsoft Azure, Google, AWS. Más del 20% de los encuestados ejecutan aplicaciones y API en seis entornos diferentes.
Las pérdidas en cascada pueden deberse a ataques centrados en vulnerabilidades en este contexto. Esto es lo que muestra el informe Cost of Data Breach, elaborado por el Instituto Ponemon por encargo de IBM y publicado en agosto de 2022. Este estudio analizó las violaciones de datos reales que enfrentaron 550 organizaciones de todo el mundo, incluidas 43 empresas brasileñas, en 2022. Cada violación de datos en Brasil le cuesta a la empresa afectada, en promedio, 6,45 millones. Para compensar pérdidas de esta magnitud, el 60% de las organizaciones que participaron en este estudio aumentaron el precio de sus productos y servicios.
Los delincuentes digitales están dentro de los sistemas de la empresa
El mismo estudio indica que, a lo largo de 2022, el tiempo medio para identificar y contener una violación de datos fue de 347 días. Las organizaciones con más del 50% de sus empleados trabajando de forma remota tardaron 14 días más en identificar la invasión, alcanzando la marca de 361 días en los que los delincuentes digitales permanecieron sin ser detectados, recopilando datos dentro de los sistemas empresariales.
Esta realidad ha llevado a los CIO y CISO brasileños a ampliar su visión de ciberseguridad. El objetivo es utilizar Inteligencia Artificial (IA), Aprendizaje Automático (ML) y análisis de comportamiento para ir mucho más allá del antiguo SIEM y obtener una visión consolidada de todos los entornos empresariales de la organización.
En busca de la máxima automatización tanto en el análisis cruzado de registros (el objetivo es detectar comportamientos extraños) como en la fase de corrección de brechas y vulnerabilidades, ha crecido el interés por un nuevo tipo de solución de seguridad digital. La base es la tecnología NDR (Network Detección y Respuesta), una especie de “policía” que realiza labores de detective en todos los entornos digitales de la empresa. Utilizando IA y ML en profundidad, NDR opera 24 horas al día, 7 días a la semana buscando comportamientos no estándar. El alto grado de precisión de este análisis reduce la cantidad de falsos positivos, lo cual es importante para los equipos de seguridad de TIC cada vez más sobrecargados.
El análisis realizado por el NDR comprueba el incidente atípico desde todos los ángulos, hasta determinar si se trata de un intento de invasión o si se trata de un fallo estructural de los sistemas. NDR también se encarga de la segunda parte de la acción correctiva: corrección de vulnerabilidades y parches.
El papel del SOC en la consolidación de nuevas posturas de seguridad
Las grandes organizaciones han agregado la plataforma XDR (Detección y Respuesta Extendidas) a NDR. Cada vez veo más XDR ejecutándose en los SOC de estas empresas. Esta plataforma actúa como el “jefe de policía”, con múltiples paneles de control que cruzan datos intensamente para generar una visión que va más allá de la mirada específica del “oficial de policía” del NDR. Mientras NDR identifica matices, XDR juzga, condena y elimina al atacante y sus amenazas de forma sistémica, consolidando la nueva postura de seguridad de la empresa. XDR produce inteligencia en tiempo real que protege a toda la empresa, en sus múltiples nubes e innumerables puntos de acceso.
He participado en PoCs (Pruebas de Concepto) de estas plataformas en muchas organizaciones. De cada 10 PoC, en 9 identifico amenazas dentro de los sistemas de las empresas usuarias. Es común que 1 o 2 descubrimientos revelen problemas graves, donde bandas digitales que han irrumpido en aplicaciones empresariales están extrayendo activamente datos para venderlos en la Dark Web o utilizarlos en otros ataques.
Hay empresas brasileñas que ya están aprovechando la madurez en seguridad digital entregada por la inteligencia y automatización de las plataformas NDR y XDR.
La puerta de la impresora intenta acceder a la base de datos de un gran aeropuerto
Es un sector absolutamente crítico para la economía brasileña. Los aeropuertos brasileños están cada vez más automatizados y cada vez más atacados por bandas digitales. Recientemente identificamos, en un aeropuerto de una capital brasileña, que un puerto de impresión estaba intentando acceder a la base de datos. NDR detectó este extraño comportamiento (normalmente el puerto de la impresora solo recibe datos, no realiza consultas de datos) y construyó, de forma automatizada basada en IA y ML, un "bote de miel" para los delincuentes. Se desarrolló un entorno aeroportuario falso, con datos falsos, etc. El atacante no fue bloqueado y avanzó hasta el “bote de miel”, dejando sus huellas a lo largo del camino, con todos los registros documentados por la NDR. La banda digital copió los datos falsos con la esperanza de realizar un ransomware que pudiera inmovilizar fácilmente todo el tráfico aéreo de la ciudad. El SOC de este aeropuerto utilizó la plataforma XDR para recibir los análisis generados por el “honey pot” del NDR y consolidar la protección de todos sus entornos digitales contra el modus operandi de los malhechores.
Invasión a X de un banco (ex Twitter)
El foco en la mejor experiencia de usuario llevó a los bancos brasileños a invertir fuertemente en las relaciones a través de las redes sociales con sus clientes. En este caso, el Twitter de un banco brasileño de tamaño medio utilizó Bots tanto para enviar mensajes a sus clientes como para responder, desde un menú automatizado, a las principales preguntas de este universo. Una banda digital comenzó a utilizar este canal de acceso para insertar bots maliciosos en el Twitter del banco, buscando acceso de este a oeste a las aplicaciones críticas de la organización. Esto se hizo mediante comandos con código malicioso inyectados en el Twitter del banco. El ojo “policial” de la NDR detectó que estos mensajes fueron publicados en menos de un segundo en la red social del banco. A un ser humano le toma más tiempo escribir un mensaje en Twitter. La plataforma cortó inmediatamente el acceso a estos Bots maliciosos. Esta acción “subió” al SOC que ejecuta XDR, generando un informe que, analizado por el CIO y CISO, ayudó a reforzar aún más la postura general de la empresa en sus canales de redes sociales.
Falta de profesionales de seguridad: MSSP y automatización basada en IA y ML
Estos casos son muy diferentes entre sí y muestran que las plataformas de detección de amenazas y remediación de vulnerabilidades “aprenden” efectivamente del contexto empresarial en el que se insertan. Esto se hace a través de IA, ML y análisis de comportamiento adaptados a los desafíos de las organizaciones.
Sin embargo, como ocurre con todo lo que concierne a la evolución de la postura de seguridad de la economía brasileña, es necesario analizar esta situación a la luz de la falta de profesionales en ciberseguridad. He visto empresas que adoptan NDR y XDR abordar este hecho de dos maneras. La primera es identificar un MSSP con credenciales en estas disciplinas y la capacidad de comprender cómo utilizar esta inteligencia en beneficio del negocio de la empresa. El segundo es utilizar los recursos de IA y ML de estas plataformas para automatizar NDR y XDR tanto como sea posible, reduciendo drásticamente la cantidad de hora/hombre necesaria para extraer valor para el negocio y para Brasil de esta nueva tecnología.
