Los equipos de seguridad y TI corporativos tienen la poco envidiable tarea de mantener a raya a adversarios implacables y cada vez más sofisticados. A menudo se enfrentan a recursos limitados y superficies de ataque en expansión, pero reclutar y retener profesionales de seguridad de primer nivel para administrar un Centro de Operaciones de Seguridad (SOC) interno está fuera del alcance de muchas organizaciones. Al mismo tiempo, las amenazas continúan evolucionando y los adversarios perfeccionan sus técnicas, lo que genera incidentes que a menudo paralizan las operaciones comerciales.
Para evitar verse atrapados en la desventaja, los defensores necesitan un enfoque que sea proactivo y combine prevención, detección y remediación con inteligencia de amenazas precisa y oportuna. Si desarrollar esa capacidad internamente no es práctico, entonces alquilarla o comprarla como un servicio es una opción más realista. Por supuesto, este no es un concepto nuevo: las organizaciones más pequeñas han disfrutado de los beneficios de las nuevas innovaciones de TI durante décadas a través de oficinas, proveedores de servicios administrados y computación en la nube.
Hay argumentos sólidos para hacer lo mismo con los servicios avanzados de ciberseguridad, y aquí es donde la Detección y Respuesta Gestionadas (MDR) puede tener un impacto importante. MDR brinda a las organizaciones una capacidad de búsqueda y monitoreo de amenazas proactiva, impulsada por expertos y escalable, sin el costo de un SOC de élite. No hace mucho, un MDR era caro y complejo, aunque menos que una configuración interna dedicada. Ahora es cada vez más práctico que las organizaciones más pequeñas también lo consideren.
Recientemente nos reunimos con el Director de Investigación de Amenazas de ESET, Jean-Ian Boutin, para hablar sobre el trabajo de su equipo y cómo la investigación y la inteligencia sobre amenazas se incorporan a los flujos de trabajo de MDR. Jean-Ian también nos dio un vistazo sobre dónde la combinación de tecnología de punta y experiencia humana proporciona el valor más práctico, especialmente para entornos de PYMES.
¿Qué ganan la mayoría de los usuarios de pequeñas empresas? Investigación de amenazas de ESET? ¿Cómo cambia eso cuando usan ESET MDR?
ESET cuenta con un equipo de investigación de amenazas repartido en múltiples regiones; Estoy con el equipo en Montreal, pero también tenemos investigadores repartidos por Europa y Estados Unidos.
Hay cosas que todos pueden ver: nuestras publicaciones sobre WeLiveSecurity y charlas y presentaciones en conferencias sobre ciberseguridad en todo el mundo.
Luego hay cosas que sólo obtienen los clientes empresariales de ESET: todo tipo de “consejos y trucos”; es decir, información sobre los actores de amenazas: qué están haciendo, cómo están operando, todo lo que ayuda a nuestros clientes a mantenerse seguros.
cuando se trata de detección y respuesta gestionadas, inteligencia de amenazas es un componente clave que ayuda a nuestro equipo de detección y respuesta a comprender cómo operan los diversos actores de amenazas y cómo pueden usar esa información para proteger a nuestros clientes de infracciones.
Hemos hablado un poco sobre la punta del iceberg: toda la parte posterior de MDR que los usuarios rara vez ven, pero eso es absolutamente crítico. ¿Podrías explicar eso?
Las diversas alertas que pueden estar ocurriendo en su consola a veces serán detecciones de puntos finales que queremos investigar. Y mi equipo es responsable de garantizar que todas las nuevas muestras y amenazas se manejen y detecten en los entornos de los clientes. Entonces, parte del papel del equipo es realmente asegurarse de que todas estas nuevas tendencias, todas estas nuevas muestras, se analicen, investiguen y luego se detecten en las instalaciones de nuestros clientes. Este es uno de los aspectos clave.
Ponemos mucho cuidado en organizar los datos de inteligencia sobre amenazas sobre delitos electrónicos, ransomware, grupos APT y actores de estados-nación que apuntan a organizaciones globales. Nuestros investigadores utilizan estos conocimientos para vincular nuevas infracciones con casos pasados.
También evalúan la gravedad de la infracción y nosotros también podemos evaluar cuál podría ser el propósito detrás del ataque. Realmente le brinda al cliente una visión completa de lo que pudo haber sucedido, si se produjo o no una infracción, o incluso el grupo específico que lo atacó.
¿Qué agrega MDR a la protección existente de endpoints de ESET?
MDR está más personalizado y la relación con el cliente mejora y aumenta. Pero el resultado de mi equipo se distribuye entre todo el conjunto de productos.
Se ha hablado algo de Informes privados de ESET recientemente: ¿qué relevancia tienen para lo que enfrentan la mayoría de las pequeñas y medianas empresas? ¿Se enfrentan a ataques dirigidos? ¿Qué pasa con los actores del Estado-nación?
El perfil de amenaza variará de una organización a otra, y un actor estatal típicamente tendrá objetivos predefinidos y se dirigirá a víctimas que se alineen bien con esos objetivos.
En términos de delincuencia electrónica, esto es amplio. Esto es un objetivo masivo. Vemos muchos ladrones de información. También vemos mucho ransomware.
Entonces, nuestro papel es comprender cómo operan todos estos grupos y asegurarnos de que, si tienen nuevas técnicas, podamos actuar muy rápidamente y asegurarnos de bloquear todos los intentos.
Este es el objetivo final, pero igualmente, hay muchos actores de amenazas haciendo este tipo de cosas y hay muchas más familias de malware. Es realmente un trabajo diario asegurarse de que los clientes estén protegidos. Definitivamente no falta trabajo.
James Rodewald, uno de los analistas de seguridad de ESET, utiliza este concepto de triangulación: ver algo en la naturaleza, escuchar a un cliente afectado y consultar con el equipo de inteligencia de amenazas. Un ejemplo que ha utilizado es un ataque que involucra Gorrión famoso. ¿Puedes dar más detalles sobre eso desde tu perspectiva?
Es importante tener relaciones estrechas con las personas que realmente se ocupan de este tipo de casos, porque la función principal de mi equipo es observar la telemetría, por lo que los datos se recopilan de todos los puntos finales y estamos tratando de encontrar casos interesantes y los casos en los que necesitamos trabajar para mejorar la protección general.
Pero a veces el equipo de MDR se topa con algo que hemos visto en el pasado y que también nos permite tener una mayor comprensión de cómo está operando realmente el actor de la amenaza.
En ese caso específico, eso nos abrió los ojos, porque no habíamos visto a este actor de amenazas desde hacía bastante tiempo. Siempre que hay un caso que involucra a un cliente que utiliza MDR, es mejor en términos de investigación, porque una relación más cercana con el cliente significa que sabemos más sobre su infraestructura, por lo que podemos ayudarlo mejor. Podemos tener una mejor comprensión del impacto del caso. Y eso luego se transmite a otros clientes de inteligencia de amenazas, por lo que estamos tratando de estar lo más cerca posible de todos estos equipos y vincular estos incidentes para que podamos mejorar nuestra cobertura y nuestra comprensión de todas estas amenazas.
Hablaste de las relaciones laborales con los analistas de MDR y el equipo de D&R (detección y respuesta). ¿Cómo cambia eso la forma en que hace su trabajo y su comprensión de las amenazas cuando tiene ese tipo de relación uno a uno con los analistas y tal vez también con el cliente?
Lo cambia todo, porque con MDR ya tenemos una relación de trabajo con la persona que está a cargo de la seguridad de esta organización, por lo que podemos comprender muy rápidamente el alcance del ataque, qué sucedió exactamente, por qué los atacantes estaban allí, etc.
La información disponible para nosotros es exponencialmente mayor que la que podemos obtener con los puntos finales habituales. Entonces, para nosotros, esta relación es invaluable en términos de conocimientos, visibilidad y comprensión del caso.
El año pasado hubo una especie de serie de ataques en el Reino Unido que comprometieron a grandes organizaciones como Jaguar Land Rover y Marks & Spencer a través de servicios de asistencia técnica subcontratados. Las pequeñas y medianas empresas también han subcontratado servicios como este como parte de su cadena de suministro y, a menudo, también son las partes menos protegidas de la cadena de suministro de una empresa más grande. ¿Deberían preocuparse?
El riesgo que plantean los ataques a la cadena de suministro es significativo. A lo largo de los años, ha habido numerosos casos documentados en los que los actores de amenazas atacan vulnerabilidades en la cadena de suministro, a menudo centrándose en proveedores externos con medidas de seguridad menos estrictas. Al comprometer a dichos proveedores, los atacantes pueden obtener acceso inicial a la red de una organización.
Respecto a MDR, una ventaja es la amplia visibilidad que proporciona, asegurando una visión integral de todas las detecciones y alertas. Esta capacidad nos permite identificar incluso anomalías menores de manera más efectiva. Dado que nuestro equipo monitorea continuamente estas organizaciones para detectar posibles incidentes, podemos detectar y responder rápidamente a errores sutiles de los actores de amenazas.
Los ataques a la cadena de suministro presentan desafíos importantes debido a la dificultad para proteger todas las entidades de terceros. Sin embargo, implementar una solución eficaz mejora nuestra capacidad de reaccionar rápida y eficientemente ante tales eventos.
Como jefe de un equipo de investigación de amenazas, ¿cuál es la diferencia que cree que tiene MDR en los clientes? ¿Cuál es el impacto para una organización que tiene un servicio MDR y para una organización que quizás no necesariamente dé ese salto todavía?
En general, como mencioné antes, la visibilidad continua es mucho mayor con MDR. Si su organización se ve afectada por una campaña, tendrá mejores herramientas para reconstruir todas las diferentes acciones realizadas por los atacantes y comprender lo que hicieron dentro de su red.
En pocas palabras, MDR proporciona una visión más profunda de los ataques. Desde el punto de vista de la investigación de amenazas, esta es la principal ventaja y otra razón clave para valorar dicha visibilidad es la velocidad de respuesta. Con MDR, ya existe un canal seguro entre los investigadores y su empresa, lo que facilita llegar a alguien que pueda tomar medidas para contener una infracción rápidamente.
Pregunta final: ¿Qué les diría a las organizaciones que podrían pensar que MDR es demasiado complicado o costoso?
MDR actúa como una póliza de seguro, ayudando a identificar amenazas como el ransomware de manera temprana, a menudo antes de que surjan problemas importantes. Los atacantes suelen utilizar intermediarios de acceso inicial para entrar, pero se pueden detectar varias señales de advertencia de antemano. Si bien nunca se recomienda pagar un rescate, la recuperación aún puede ser perjudicial. MDR respalda la continuidad del negocio para que pueda seguir centrándose en sus ofertas principales.
¡Gracias!

