Una amenaça cibernètica és un acte maliciós que cerca danyar, interrompre o obtenir l’accés no autoritzat a un sistema informàtic o xarxa. Les conseqüències en cas de tenir èxit poden ser desastroses, amb pèrdues financeres, danys a la reputació i en alguns casos danys físics.Per això, és crucial prendre’s seriosament aquests atacs i per reduir-ne l’impacte s’empra el monitoratge i la detecció de les amenaces, seguint una metodologia, utilitzant certes eines i tenint en compte les bones pràctiques perquè tot el procés vagi de manera correcta.
Quant a la metodologia, és important monitorar la xarxa, ja que permet detectar anomalies i identificar infraccions de seguretat abans que puguin causar danys. A més, també permet optimitzar el rendiment de la xarxa, per aconseguir una xarxa fluïda i eficient. Després de la xarxa, hi ha els endpoints, que són l’objectiu majoritari dels atacs, per la qual cosa és essencial una bona gestió d’aquests per protegir-se de les amenaces. Consisteix a tenir una vigilància constant de dispositius com poden ser ordinadors personals (PC) o mòbils i analitzar-ne el comportament per identificar algun problema de seguretat. Un altre mètode crucial per detectar les amenaces és analitzar els diaris (logs). Analitzar els diaris dels sistemes pot ajudar a identificar activitat sospitosa, així com també alguna possible mala configuració d’algun programa, servei, etc. Gràcies als diaris es pot mantenir la pista en cas que un atac hagi tingut èxit, la qual cosa permet respondre a l’incident de manera ràpida. Finalment, hi ha el procés de recol·lectar, analitzar i intercanviar informació sobre possibles amenaces cibernètiques des de diverses fonts. A aquest procés es coneix com a intel·ligència contra amenaces (thread intelligence) i està dividit en quatre parts: estratègica, operacional, tàctica i tècnica. Respecte a les eines, cal destacar la importància d’implementar-ne diverses per a una major seguretat global, ja que moltes d’aquestes es complementen i integren entre si, per donar una resposta millor als incidents de seguretat.
Per exemple, es compta amb les eines següents:
- Els tallafocs (firewalls) i els WAF (web application firewall) que actuen de barrera entre una xarxa i amenaces externes, controlant el tràfic entrant i sortint per mitjà de regles que es poden configurar.
- Els IDS (intrusion detection system), que són sistemes de detecció d’intrusions que monitoren el tràfic cercant activitat sospitosa. N’hi ha de basats en signatures i basats en anomalies i es poden implementar en tota la xarxa o en un host específic, monitorant només aquest tràfic entrant i sortint.
- Per poder detectar i respondre incidents en temps real en una organització la millor eina és un SIEM (informació de seguretat i gestió d’esdeveniments). Els SIEM s’encarreguen de recopilar i analitzar dades de diverses fonts per identificar amenaces i alertar els equips de seguretat de manera ràpida. Compta amb aprenentatge automàtic i es pot implementar on premise o en el núvol.
- Una altra eina molt coneguda és l’antivirus, que és vital per protegir les organitzacions d’atacs maliciosos. El funcionament consisteix a escanejar arxius i programes cercant signatures de programes malignes (malware) per detectar arxius maliciosos. És important emprar altres mesures de seguretat ja que l’antivirus no és infal·lible i pot passar per alt alguns arxius infectats.
- Per complementar a l’antivirus, una opció important són els EDR (endpoint detection and response), que també monitora i analitza els endpoints de manera contínua i té respostes automatitzades basades en regles. Aïlla en el núvol l’arxiu sospitós i després de diverses proves amb aprenentatge (machinelearning) aprèn el seu comportament i decideix si és perillós o no. El NDR (network detection and response) és l’anàleg a la xarxa, que supervisa, detecta, analitza i respon automàticament a les amenaces. Per connectar aquestes solucions es fa ús del XDR (esteneu detection and response), que recopila les dades d’aquestes eines i redueix el temps de resposta.
- A mode de metacercador hi ha una solució desenvolupada pel CCN-CERT per agilitar l’anàlisi de ciberincidents anomenada Reyes. Reyes cerca informació de diverses fonts i s’integra amb altres eines d’anàlisis del CCN-CERT, com pot ser el seu SIEM Gloria. Per a l’intercanvi d’informació s’empra una eina anomenada MISP (MalwareInformation Sharing Platform).
Quant a les bones pràctiques, la millor manera és seguir un ordre coherent. La primera fase consisteix a identificar els actius, on s’estableix una jerarquia d’actius i s’ordenen per tenir una idea de la seva importància i criticitat. Després d’ordenar-los, el segon pas és classificar-los, centrant-se en els elements crítics i possibles actius relacionats amb aquests. Una vegada s’ha aconseguit classificar-los, és important identificar a un responsable que pugui actuar ràpidament quan un problema afecti als actius i definir correctament les alertes.
Tots aquests problemes s’agreugen més quan el sector objectiu és el de la salut. La indústria sanitària és un dels sectors més vulnerables als ciberatacs a causa de la naturalesa sensible de les dades dels pacients i cada vegada van en augment els atacs a aquest sector.
En resum, les amenaces són un problema greu que si no es prenen seriosament pot causar danys greus a una organització. Per a això, és vital fer ús del monitoratge i comptar amb mètodes i eines per poder detectar-les a temps.
Us recordam que la seguretat de la informació és una cosa de tothom i que comença per cadascú.