Cuando hablamos de proteger una organización, hablamos de defender sus activos digitales. Datos, identidades, comunicación, webs… una red de información que puede estar en local, en la nube o en un bolsillo de un empleado. Cuanto más digitalizada, más puntos que vigilar.
No podemos más que asumir que evitar que información crítica de una organización acabe en manos de los atacantes es una tarea compleja, pero no imposible. Lo imposible es querer protegerla con herramientas que no están a la altura de la complejidad del objetivo. En estos casos, la leyenda del antivirus, el cortafuegos y el sentido común sigue pesando demasiado en la sabiduría popular. Es hora de desprenderse de estos consejos simples y abrazar la complicada modernidad. Es hora de evolucionar.
Cuando a muchos les preguntan qué tres herramientas usaría para proteger un sistema, la inmensa mayoría responderán estos tres conceptos. Pero veamos en qué punto están realmente.
Antivirus
Desde que en 2013 Symantec diera por muerta la tecnología antivirus tal y como la conocíamos, mucho se ha avanzado. No fue un titular matando una herramienta, sino preparando a la industria por lo que estaba por llegar. De hecho, finalmente se materializó en sistemas antimalware en general a la altura de los tiempos y de los atacantes. Esto quiere decir que un “antivirus” por sí mismo y como se entiende en el imaginario colectivo no es ya una opción como tal para las organizaciones.
Actualmente existen sistemas como EDR, NDR, XDR o MDR destinados a la detección de incidentes, relacionados o no con malware y conectados a sistemas complejos y adaptados a las posibilidades de los atacantes de hoy. En realidad, se tratan de sistemas de detección y respuesta (las DR son de “detection and response”) destinados a Endpoint (puestos de trabajo), Network (red), Extendido (una visión global de toda la red) o incluso “Managed”, esto es, manejados por un proveedor externo.
El concepto antivirus, por tanto, ha evolucionado a sistemas de detección y respuesta conectados.
Cortafuegos
Un cortafuegos, en su origen, permitía controlar las conexiones a una red o sistema. Pero hoy esta es solo una pequeña pieza de un gran puzle. Sería difícil resumir las capacidades de los sistemas actuales a los que históricamente se les pudo llamar cortafuegos.
Hoy tenemos herramientas de red que la vigilan en varios planos: desde los niveles de carga hasta los intentos de ataques relacionados con la identidad, pasando por la protección de los recursos que hay detrás. Por supuesto, muchos cortafuegos ya van incorporados al servicio de nube, con los que son gestionados de forma transparente para el usuario. El concepto de cortafuegos podríamos sustituirlo por sistemas de gestión integral de red.
Lo importante es que actualmente tanto los sistemas de detección y respuesta, como los de gestión integral de red, tienen la posibilidad de volcar la información relevante de seguridad a un SIEM (Security Information and Event Management), que aglutina lo relevante de cualquier incidente. Con esta información bien gestionada se alimenta una herramienta llamada SOAR (Security Orchestration, Automation and Response) que va a permitir responder y orquestar la respuesta a incidentes, quizás a través de un SOC (Security Operations Center).
Por ejemplo, si se intenta acceder a un proceso crítico del sistema operativo que se pueda relacionar con un ataque, el SOAR podría llegar a cortar el acceso a la red hasta que en el SOC se analice el incidente. Y este es el dibujo básico de lo mínimo de lo que debería disponer una organización. La buena noticia es que incluso pueden conseguirse sistemas gestionados para todo tipo de tamaños de redes.
Sentido común
El sentido común no existe en el entorno de la ciberseguridad. Solo se dispone de él a través de la experiencia y la formación. No podemos trasladar la responsabilidad de la complejidad actual de la ciberseguridad a los usuarios (ni tampoco al 100% a los administradores). Deben estar formados, alerta y con procedimientos claros que les permitan tomar decisiones no basadas en “intuiciones” o en un supuesto sentido común.
Es hora de evolucionar los conceptos que representan estas herramientas. La próxima vez que pensemos en tres sistemas básicos en ciberseguridad, para usuarios y o empresas, podemos actualizar nuestro arsenal hablando de sistemas de detección y respuesta, gestión avanzada de redes y formación concreta y especializada. No podemos quedarnos atrás o estaremos condenados. No ya a ser atacados, sino a no saber responder a ese ataque de forma eficiente y, por tanto, ser resilientes.