Sin duda, uno de los desafíos actuales en el mundo de la ciberseguridad es la capacidad de las organizaciones de contar con equipos especializados de monitorización y respuesta ante incidentes de ciberseguridad, capaces de prestar servicio ante un escenario global donde los ciberataques e intentos de aprovechar el ciberespacio como medio para desarrollar actividades ilícitas superan cualquier tipo de previsión que tuviéramos hace unos pocos años. Por lo tanto, el desarrollo de dichas capacidades de forma interna o la subcontratación de este tipo de servicios se encuentra encima de la mesa de la mayoría de las organizaciones de cierto tamaño, como eje esencial de su estrategia de continuidad. Desde el punto de vista de dichos equipos especializados (CERT, SOC, CSIRT, etc.), las necesidades y el volumen de trabajo ha cambiado de forma substancial y, por lo tanto, su evolución tecnológica y procedimental es necesaria para dar respuesta a los desafíos actuales. Dentro de esta evolución necesaria, nos encontramos con ciertos elementos base que sustentarán el trabajo de los equipos de respuesta en los próximos años.
En primer lugar, el volumen de ciberataques a los que nos enfrentamos exige el desarrollo y despliegue de sistemas de automatización avanzados en la respuesta, que sean soportados por modelos de inteligencia artificial, capaces de distinguir de forma precisa aquellos eventos que requieren la necesidad de investigación humana, frente a eventos que pueden ser gestionados de forma directa por agentes virtuales cuyas funcionalidades deben incluir la interacción autónoma con otros sistemas de información, así como con los propios usuarios de la organización.
Aumentar la visibilidad de la organización
Un segundo elemento base, que será eje central de los centros de respuesta, es el desarrollo e implantación de tecnología capaz de aumentar la visibilidad de la organización a la hora de tratar un posible incidente de seguridad. La adopción de nuevos paradigmas de despliegue de servicios, como por ejemplo los entornos cloud, y las necesidades de cifrado de las comunicaciones y los datos, juegan en contra de los equipos de respuesta que necesitan la mayor cantidad de información y contexto posibles para investigar de forma adecuada cualquier tipo de indicio que pudiera derivar en un incidente con impacto en la organización.
Adicionalmente, la previsión es contar con equipos de respuesta cada vez más numerosos, cuyo trabajo debe ser homogéneo y trazable. Por esta razón, es necesaria la evolución de los actuales modelos de trabajo basados en procedimientos y playbooks, hacia modelos basados en herramientas centralizadas de operación y análisis, los cuales permitirán asegurar que el trabajo se desarrolla de la misma forma ante cualquier circunstancia, abstrayendo a los equipos de trabajo de las herramientas específicas de seguridad implantadas en cada organización.
Por último, otro elemento en el que se está avanzando, y que constituirá una base central de las operaciones de cualquier equipo de respuesta, será la compartición de información de calidad con otros centros especializados, así como la capacidad de accionar dicha información en la arquitectura de seguridad desplegada por parte de una organización, de una forma segura y transparente. Será importante diseñar e implementar tecnologías de compartición y scoring de información ágiles, que incorporen aspectos adicionales a los sistemas actuales de almacenamiento de indicadores de compromiso de ataques y grupos cibercriminales.
En resumen, los retos a los que nos enfrentamos los equipos de respuesta son evidentes y la evolución de nuestras capacidades hacia nuevos modelos de detección y respuesta es necesaria para responder a las necesidades actuales y futuras de las organizaciones a las que prestamos servicio, acompañándolas con agilidad en su proceso de transformación digital y en la adopción de nuevos paradigmas TI para la prestación de sus servicios.