Por qué la inteligencia de amenazas es imprescindible en ciberseguridad
Por Martín Hoz, vicepresidente de Ingeniería de Preventa y Servicios Postventa en Fortinet para América Latina y Caribe
Latinoamérica recibió 41 mil millones de intentos de ataques informáticos en 2020, con un ranking encabezado por phishing, malware y ransomware. Entre otras características, vemos que los ataques son cada vez más sofisticados en los mecanismos utilizados para detectar y atacar objetivos, y son más eficientes tanto en tamaño, velocidad, impacto y asertividad. Esta es una tendencia que se ha mantenido por algunos años y se ve difícil se revierta.
Además, últimamente los ciberdelincuentes están apelando cada vez más al uso de inteligencia artificial para realizar ataques dirigidos más efectivos. La inteligencia artificial permite a los atacantes realizar un mayor número de tareas de forma automática y tomar decisiones en tiempo real que permiten ajustar las amenazas para evadir las defensas y aprender tanto de errores como de aciertos. En simultáneo, se observa otra tendencia: el número de ataques que buscan afectar a las organizaciones y a la fuerza de trabajo remota crece cada trimestre en el 2021. No es de extrañarse, dado que la pandemia trajo consigo un consabido incremento en la superficie de ataque derivado de tener más dispositivos en línea, muchos de ellos sin protecciones adecuadas.
Frente a este panorama dinámico y complejo, cuyos datos surgen de la organización de investigación e inteligencia de amenazas de Fortinet, FortiGuard Labs, toma relevancia el concepto de Threat Intelligence o Inteligencia de Amenazas. Se trata de la organización, análisis y refinamiento de información en tiempo real sobre ataques potenciales o actuales, e incluye una retroalimentación constante y una labor ininterrumpida.
Paso a paso, cómo se trabaja en inteligencia de amenazas
El trabajo de un equipo de Inteligencia de Amenazas consta de expertos en ciberseguridad que analizan en tiempo real información de múltiples fuentes. Así es como la combinación de técnicas de aprendizaje automático e inteligencia artificial con herramientas especialmente desarrolladas permite a los analistas desempeñarse con celeridad no solo en el monitoreo sino también en el lanzamiento de soluciones para contrarrestar las amenazas de seguridad que puedan impactar el entorno de operaciones.
Para que esta tarea sea exitosa es necesario cumplir con cuatro requisitos clave:
- Procesos adecuados y maduros que permitan la adquisición amplia pero también el procesamiento ágil y certero de la información recabada. La madurez y el liderazgo de un proveedor en la industria le permite determinar no solo qué es malicioso o no, sino el nivel de peligrosidad, el impacto derivado de las condiciones globales en ese momento, el tipo de servicios, verticales y geografías impactados. La capacidad de intercambiar información en organizaciones de la industria también resulta relevante.
- Personas calificadas con entrenamiento adecuado que se mantengan actualizados con el dinamismo que exige la velocidad con la que nuevos modelos de ataque aparecen a nivel local, pero también con la conciencia del impacto al negocio y a la sociedad. Esto, sin olvidar la parte ética debido a la información altamente sensible a la cual se tiene acceso.
- Tecnologías correctas e innovadoras como Sandboxing para descubrir códigos maliciosos desconocidos hasta ese momento (ataques día cero) a través de emulación y análisis de comportamiento. Además de otras tecnologías como Deception que permite adquirir conocimiento sobre herramientas, tácticas y procedimientos de los atacantes, integradas con herramientas de análisis para correlacionamiento (SIEM) y respuesta orquestada (SOAR) que permitan operaciones de ciberseguridad realmente integradas, automatizadas e impulsadas por Inteligencia Artificial.
- Base instalada de amplia envergadura para obtener una muestra importante dentro del universo de ataques. En este sentido, Fortinet es la compañía con la mayor cantidad de dispositivos de seguridad instalados en América Latina, con el 53%, según la consultora IDC. Esto implica que más de la mitad del equipamiento de ciberseguridad en las redes corporativas de la región es Fortinet, lo cual entrega capilaridad y músculo mayores que cualquier otra infraestructura de adquisición de datos.
Es con lo anterior que FortiGuard Labs consigue bloquear cada minuto a nivel global más de 240.000 accesos a sitios web maliciosos, más de 375.000 intentos de intrusión a nivel red, y más de 60.000 intentos de control y comando para botnets, por mencionar solo algunas estadísticas.
Para defenderse de los ciberataques, es necesario conocer tanto a los adversarios como a las amenazas de manera proactiva, esto es el objetivo de la Inteligencia de Amenazas. Al ritmo con el cual las organizaciones están transformando la forma en que hacen negocios a través de procesos digitales, manejan niveles de datos cada vez más elevados, así como también más críticos, por lo que deben extremarse las medidas de seguridad de la información.
La ciberseguridad ha pasado de ser competencia exclusiva de las áreas tecnológicas, para ser relevante en las áreas de negocio debido a su posibilidad de acelerarlo y mitigar riesgos. La ciberseguridad impacta en los tiempos de respuesta y capacidades de atención, las posibilidades de aprovechar analítica y movilidad, así como la percepción de confiabilidad de un negocio hacia sus clientes. En este contexto, la Inteligencia de Amenazas proporciona alertas en tiempo real sobre amenazas y cambios en los riesgos, brindándole a las organizaciones las herramientas que necesitan para estar lo más protegidas posibles.