Análisis de amenazas como herramienta de estrategias de seguridad eficientes: Si conoces al enemigo y te conoces a ti mismo, no necesitas temer el resultado de cien batallas.
“Sun Tzu”.
En multitud de ocasiones, la primera pregunta cuando nos enfrentamos a la definición de una estrategia de seguridad de una organización, gira alrededor de los marcos y metodologías de trabajo que se utilizan, siendo NIST CSF e ISO 27001 los más reconocidos y utilizados para el diseño de estrategias de seguridad que ayuden a aumentar la seguridad de la información de una organización.
La triste realidad de muchos responsables de seguridad es la escasez de recursos, – tanto financieros como humanos- para implementar todos los controles en los que se puede traducir una estrategia de seguridad completa, por lo que es importante detectar los puntos más susceptibles de ser afectados para generar una estrategia de seguridad eficiente.
Estrategias de seguridad: Identificación de elementos susceptibles
Es en estos casos, una de las opciones más eficientes es tratar de identificar los elementos más susceptibles de ser atacados, los más expuestos, los más vulnerables. Después, entender cuáles son nuestros adversarios más probables.
Las características principales de una organización definen en gran medida su atractivo para un atacante. ¿Cuáles son las principales características de nuestra organización? ¿Qué parámetros definen el contexto de amenaza interno de una organización? Nos podemos fijar en varios elementos: el sector y tipo de servicio son relevantes, pero también el tamaño de la organización, sus estados financieros, su tipología de clientes, exposición a internet, sensibilidad de la información, etc…
Ahora pongámonos en la piel de un atacante. ¿Cuál puede ser el interés de un atacante para mi organización? La mayor motivación es, por lo general, el beneficio económico. En la actualidad, la ciberdelincuencia es una de las actividades ilegales más beneficiosas que existen, por encima del tráfico de drogas o armas. No obstante, existen otros objetivos, como el espionaje, o causar impactos sobre la disponibilidad y reputación de una empresa.
Si nos fijamos en el contexto externo, debemos ser conscientes de los eventos que ocurren a empresas con similares características o atractivo. ¿Cuáles son las principales amenazas y los incidentes más sonados actualmente? Desde hace ya varios años, resuena la palabra ransomware con cierta frecuencia y otro tipo de amenazas, como los ataques de DDoS, ya son tan comunes, que ni siquiera llaman la atención del gremio. Sin embargo, en las últimas semanas ya son varios casos de fugas de información relevantes en entidades de diferente sector y tamaño, incluso gigantes con grandes capacidades.
Una característica curiosa de los atacantes más sofisticados, -como los grupos de crimen organizado- es que utilizan tácticas, técnicas y procedimientos similares. Esto puede ser interpretado como una firma de sus actividades, una especie de patrón que puede convertirse en un factor identificativo.
Tecnología en el análisis de amenazas
¿Y la tecnología? Evidentemente es un factor a considerar, pero con mesura, en el hype cycle de tecnologías ofensivas no dejan de sonar Inteligencia Artificial y Computación Cuántica, pero hoy por hoy, la IA incrementa ciertas capacidades a atacantes con menos recursos; y la computación cuántica, aún no está madura para que suponga una amenaza real, pero ojo, se caracterizan por una evolución vertiginosa.
Pues bien, si conocemos nuestros puntos débiles, nuestro atractivo, quienes serán nuestros principales contrincantes, sus motivaciones, características e incluso su modus operandi, enfocaremos mejor los esfuerzos en la protección de nuestros elementos más susceptibles de ataque ante los eventos que acontecen con más frecuencia.
Aprende mucho más sobre estrategias de seguridad y análisis de amenazas en el blog de nuestro Máster Profesional en Ciberseguridad, Hacking Ético y Seguridad Ofensiva.