A continuación la entrevista a Andrés Dandrau Lisboa, Head of Cybersecurity y CISO de Security Advisor.
¿En qué consiste el Análisis de Inteligencia de Amenazas?
Es un servicio que investiga en toda la Internet (clear-deep-dark) por información expuesta que representa un riesgo a la organización y a través del que somos capaces de detectar filtraciones de información y bases de datos, cuentas robadas o menciones en lugares donde no es algo positivo que se haga mención de ciertos activos. Para graficar, podemos detectar cuando se registra el nombre de una web apenas diferente con el objetivo de usarse para phishing: si se registra sitiosc.om, sittio.com o siti0.com, en lugar de sitio.com.
También este tipo de observación permite analizar las tendencias de amenazas por sector/industria y de los distintos grupos de ciberdelincuentes para saber cómo se comportan, qué están atacando, cómo y con qué herramientas.
¿Por qué es necesario hacer este tipo de análisis?
La principal razón que justifica este tipo de análisis es poder detectar filtraciones y accionar una respuesta temprana, antes de enterarse por la prensa de las consecuencias. En este punto, cabe destacar que las empresas pueden exponerse porque un colaborador se conectó a una red insegura, inició sesión desde su dispositivo personal que estaba comprometido con malware, entre otras causas, pero independientemente de ello, con este análisis será posible detectar esa credencial robada que está expuesta en Internet.
¿Qué fases considera este servicio?
En primer lugar, se definen los activos a monitorear, pudiendo ser direcciones IP, sitios web, marcas y productos, nombres de ejecutivos y proveedores. Asimismo, los canales de alertamiento y la criticidad de cada hallazgo para, luego, monitorear de forma continua y responder a esos incidentes.
También, dado que bases de datos expuestas las hay públicas y a la venta, podemos gestionar la compra para poder ver el contenido de qué es lo que se vende y así tomar acciones concretas; no es lo mismo resetear la totalidad de los empleados que tan sólo 20 usuarios cuando se sabe cuáles son los afectados. Otro caso similar es cuando se filtra información de un proveedor, el que puede tener datos y afectar por consecuencia a la compañía. Esta información se descarga en lugares seguros y se analiza para conocer la afectación si es que la hay.
En algunos casos, es posible solicitar la baja (o “Takedown”), por ejemplo, para suspender un sitio web apócrifo.
¿Qué empresas se ven más beneficiadas con esta metodología?
Sin duda, es un servicio útil para cualquier empresa, aunque siendo consciente en términos de las prioridades de las distintas áreas, está orientado a organizaciones que tengan un considerable nivel de madurez en seguridad. No recomendaría poner alarma a quien no pone llave en la puerta y, de la misma forma, no recomendaría la ciberinteligencia de amenazas a empresas que carecen de antivirus corporativo o de firewall.
De igual modo, es especialmente útil para empresas que tengan una amplia superficie tecnológica que pueda ser atacada, como múltiples portales de usuarios, practicantes, colaboradores, clientes y proveedores.
¿Cuál es la diferenciación que marca Security Advisor con esta solución?
Nuestro servicio de Análisis de Inteligencia de Amenazas es una solución bien disruptiva, ya que en la medida que en la industria es común ver organizaciones que dedican el 100% del presupuesto a prevenir los “incendios” y no hay extintores por si estos ocurren, este servicio tiene un pie en la prevención y otro en el post-incidente.
Se trata de Ciberinteligencia de Amenazas, que brindamos desde nuestro SOC, apoyándonos en herramientas y plataformas tecnológicas de primer nivel.
