¿Y la prevención para cuándo?

¿Y la prevención para cuándo?

Innovación, imaginación y organización

En nuestro mundillo de la ciberseguridad trabajamos con el sentido de urgencia, pero también con la conciencia de que tenemos que mantenernos un paso por delante del atacante. Es lo que hemos hecho en los últimos 20 años y es lo que siempre hemos intentado inculcar a nuestros clientes (porque todos sabemos que más vale prevenir que curar). Para anticiparse al atacante necesitamos estar siempre alerta, conocer lo que son capaces de hacer y mantenernos preparados. Se necesita innovación, imaginación y capacidad de organización de las defensas. Y un nivel avanzado de pensamiento estratégico, como en un juego de ajedrez en el ciberespacio.

En los últimos años parece que, llevados por la tormenta de ataques avanzados y del ransomware dirigido, dedicamos casi todo el esfuerzo a la detección y respuesta. Esto se traduce en una lluvia de lanzamientos de soluciones EDR, XDR y de servicios MDR. Para no dejar lugar a duda entre nuestros lectores, considero oportuno aclarar que el denominador común DR (detección y respuesta) representa una serie de soluciones y servicios que parten de la premisa de que el atacante ya está dentro; ha burlado nuestra prevención. Lo más importante es detectarlo, identificar lo que ha ocurrido analizando los síntomas (IoC, IoA, TTPs) y ser capaces de responder cuanto antes. Un esfuerzo que, en muchos casos, puede conducir a la falsa concepción de que el EDR/XDR es “the ultimate solution”. Y he tenido muchas veces la oportunidad de ver cómo empresas que no tienen analistas de seguridad, procesos de Incident Response o equipos dedicados, se han esforzado encontrar presupuestos y comprar soluciones que luego han luchado por gestionar, no siempre con los resultados esperados.

¿Cuál es el enfoque?

No me malentiendan, por favor, no tengo nada en contra de los EDR/XDR/MDR. De hecho, nuestra marca (Bitdefender) se clasifica en las mejores posiciones en todas las pruebas. Ha sido recientemente destacada por MITRE (el estándar de la industria) por ser la marca que mejor ha salido en su test anual MITRE Engenuity ATT&CK® Evaluation, detectando el 100% de las TTPs, incluido en entornos Linux. Como profesional de la ciberseguridad, con años y batallas a la espalda, soy perfectamente consciente del papel de la detección y de la importancia de tener un proceso consistente de Incident Response, armado con un equipo de especialistas, herramientas y pautas de actuación. También estamos ofreciendo, junto con nuestros partners, una consistente contribución en las iniciativas de Threat Hunting y Threat Modelling de varios clientes. Pero lamento ver que, no pocas veces, el enfoque se ha movido hacia las DR y las soluciones de prevención ya cayeron en desgracia.

Durante un tiempo he creído que es algo que me preocupaba solo a mí (o solo a mí y a algunos pocos más). Imagínense la sorpresa cuando he encontrado las siguientes palabras de Anne Neuberger, U.S. Deputy National Security Advisor for Cyber and Emerging Technology, en su discurso de bienvenida de la edición de este año de RSA Conference: “He observado que nosotros, la comunidad de ciberseguridad, hemos aceptado que nos vamos a mover de una incidencia a la próxima. Mientras que podemos aceptar que las brechas van a ocurrir y nos preparamos para tratarlas, no podemos simplemente transformar la espera de que se caiga el otro zapato en el statu quo con cual operamos.” Y ha considerado importante añadir: “Se necesita un cambio de perspectiva, de la respuesta a las incidencias a la prevención, pasando por priorizar inversiones para adelantarse a las amenazas y preparar la detección temprana.”

Directamente, Anne Neuberger nos invita revisar el concepto de threat prevention, en conjunto con la detección y respuesta, porque toda nuestra industria ha operado en los últimos años con el concepto not IF but WHEN you will be breached”. Es un concepto importante, pero no es el único, y una buena prevención es igualmente importante.

La importancia de la prevención

En una analogía Matthew Selheimer, Bitdefender Senior VP, decía: “Si alguien llega a la sala de urgencias con dolores en el pecho, el personal va a entrar en modo de detección y repuesta para averiguar si se trata de un infarto y cómo pueden salvar al paciente. Pero, aunque la medicina preventiva (revisión periódica, histórico de enfermedades, dieta, ejercicio, medicamentos de hipertensión) no va a eliminar todos los infartos, los puede reducir en un porcentaje significante, y esto cuenta… La prevención funciona en la medicina, como ya sabemos, y tiene que funcionar igualmente en la ciberseguridad.”

Espero que las reflexiones presentes, viniendo de gente que ha dedicado gran parte de sus vidas a luchar contra los cibercriminales, les den algo en qué pensar cuando se planteen su estrategia de ciberseguridad. Los analistas anticipan que en 2025 un 80% de las organizaciones van a usar una combinación de endpoint protection (EPP) y EDR en su ciberdefensa, complementadas con servicios gestionados de MDR. Pero ustedes no tienen por qué esperar el 2025… los cibercriminales tampoco esperan.

Horatiu Bandoiu

ISO 27001 LA y Channel Marketing Manager de Bitdefender

0/5 (0 Reviews)
Facebooktwitterpinterestlinkedinby feather
/ Ciberseguridad / Tags: , ,