La ciberseguridad se ha convertido en un ámbito demasiado complejo como para que la mayoría de las organizaciones puedan gestionarla de manera efectiva, especialmente en el caso de las empresas más pequeñas. Paralelamente, los modelos As a Service (AaS), tanto en software como en infraestructuras, son cada vez más populares. Con estas premisas, resulta lógico el auge de la llamada Ciberseguridad como Servicio o CyberSaaS, que cubre aspectos como la prevención, la búsqueda de amenazas, la detección de ataques, la respuesta ante incidentes y la recuperación de los sistemas de la compañía. ¿Qué es y qué ofrece exactamente este servicio cada vez más popular.
¿Qué es la Ciberseguridad como Servicio?
La Ciberseguridad como Servicio (CyberSaaS) es un servicio o conjunto de servicios flexible, que se adapta a cualquier infraestructura, problemática, presupuesto y necesidad, relacionado con la seguridad informática de una organización. De este modo, permite al cliente seleccionar y combinar los servicios de ciberseguridad que desee de manera personalizada y eficiente.
Esta oferta parte de la premisa de que, si el común de las organizaciones no desarrolla sus propias aplicaciones de productividad o plataformas de medios audiovisuales, ¿por qué deberían llevar a cabo ellas mismas las tareas de búsqueda, detección o respuesta a amenazas? Por ello, diversas compañías están ofreciendo servicios, tecnologías, experiencia y herramientas de seguridad bajo el paraguas de una solución holística con un modelo As a Service.
La Ciberseguridad como Servicio combina la inteligencia humana, la inteligencia artificial y las tecnologías de seguridad. Su propuesta incluye, entre otros, equipos de expertos; ciberdefensas integradas que abarquen la seguridad de la red, de la nube, del email y de los endpoint, y un centro de operaciones que gestione en tiempo real todos los servicios. También puede incorporar plataformas de seguridad en la nube e integrar servicios de terceros en áreas como gestión de identidad, automatización y respuesta rápida (SOAR), inteligencia de amenazas, información sobre seguridad y gestión de eventos (SIEM), gestión de servicios de TI, y herramientas de Monitorización y Administración Remota (RMM) y Professional Services Automation (PSA).
Estos servicios están disponibles las 24 horas del día para adelantarse a los ataques avanzados que se producen actualmente. Otra ventaja es que son escalables automáticamente e integrables con el negocio, además de ofrecer un despliegue rápido y, en un entorno ideal, unos precios transparentes y flexibles. Y no menos importante, suelen ser sencillos de entender y de utilizar.
Son numerosas las firmas especializadas que ofrecen Ciberseguridad como Servicio. A ellas se unen proveedores de almacenamiento y servicios web como AWS, que también incorporan la seguridad en su oferta. Ello incluye el control del almacenamiento de los datos, los controles de identidad y acceso para los usuarios, y la automatización de la seguridad, con un conjunto completo de APIs y herramientas que ofrecen una monitorización y protección continuas, además de reparación y respuesta a las amenazas.
La CyberSaaS debe ser, en primer lugar, compatible con el negocio del cliente, por lo que la compañía ha de seleccionar un proveedor que cuente con experiencia en el tratamiento de amenazas dirigidas a organizaciones en la industria o industrias en las que desarrolla su actividad. Además, debe ser compatible con su entorno de trabajo, permitiendo usar herramientas propias, de terceros o cualquier combinación de las dos. Y en tercer lugar, tiene que ser compatible con las necesidades de la organización, tanto si precisa de respuesta a incidentes a gran escala o de asistencia para tomar decisiones concretas.
Los servicios preventivos dan respuesta a la pregunta: “No quiero que me ataquen (por primera o enésima vez). ¿Cómo puedo evitarlo?”
Para lograr estos tres objetivos, se desarrollan unas arquitecturas de referencia a fin de que la propuesta de servicios ofrezca un nivel de seguridad adaptado a los requerimientos de cada cliente. Dichas arquitecturas establecen una serie de controles que permiten establecer una postura de seguridad lo más alineada posible con las necesidades de cada empresa. Aunque estas arquitecturas de seguridad se pueden personalizar, de forma general la CyberSaaS incluye servicios de prevención y búsqueda de amenazas, detección, respuesta y recuperación.
Prevención y búsqueda de amenazas
El primer paso de una estrategia de ciberseguridad tiene un carácter proactivo: anticiparse a los posibles ataques estableciendo medidas preventivas y buscando amenazas que puedan dañar los sistemas de la organización. Los servicios preventivos dan respuesta a la pregunta: “No quiero que me ataquen (por primera o enésima vez). ¿Cómo puedo evitarlo?”.
Los servicios de prevención y garantía de la seguridad permiten anticiparse a las amenazas, manteniendo además el cumplimiento normativo a través de la aplicación de políticas y controles consistentes. En esta categoría se incluyen pruebas de seguridad ofensivas, tests de cumplimiento, de privacidad y de regulación, servicios de CISO, análisis de vulnerabilidades, y garantía de seguridad en tecnologías operativas.
Aquí se pueden encuadrar también la formación y concienciación de los empleados, el establecimiento de una estrategia de evaluación y gestión de riesgos, la implementación de tecnologías de protección, la seguridad del dato, el mantenimiento y la gestión de activos.
A ellos se suman los llamados zero trust services, para organizaciones cuyo perímetro de seguridad no se circunscribe a los dispositivos emplazados en sus instalaciones. Permiten realizar transacciones digitales seguras con una arquitectura de confianza cero e incluyen tecnologías de identidad digital, de control de acceso, de seguridad de aplicaciones y de seguridad en la nube y protección de infraestructuras, como firewall, Web Application Firewall, Intrusion Detection System (IDS), Intrusion Prevention System (IPS) o detección y respuesta de endpoints (EDR).
En cuanto a la búsqueda de amenazas, es un servicio proactivo realizado por analistas especializados, que buscan, registran, supervisan y analizan amenazas las 24 horas del día, 7 días a la semana, como un servicio totalmente administrado. Los llamados threat hunters añaden un elemento humano a la seguridad, complementando los sistemas automatizados.
Estos servicios emplean datos de herramientas de analítica de seguridad, SIEM y MDR como base para la búsqueda, junto a herramientas como analizadores de paquetes, para ejecutar búsquedas en red. Principalmente, sus enfoques son tres, dependiendo de si se basan en analítica (utilizando datos y estadística), en hipótesis (pensando como el atacante) o en inteligencia (empleando indicadores de riesgo y análisis de comportamientos).
Detección de amenazas
La búsqueda de elementos maliciosos se complementa con los servicios de detección de amenazas, también incluidos en la Ciberseguridad como Servicio. Estas herramientas descubren rápidamente más amenazas de las que los sistemas de la compañía pueden detectar por sí solos, antes de que causen problemas graves. Básicamente, responden a la pregunta: “¿Han accedido a mis sistemas?”
En el reciente Congreso de ASLAN, la firma británica de software y hardware de seguridad Sophos presentó una ponencia sobre Ciberseguridad como Servicio en la que definía la detección de amenazas como el medio más rápido y efectivo para identificar la actividad, en curso o pasada, de los ciberatacantes en nuestro entorno.
Estos servicios están habilitados por capacidades extendidas de detección y respuesta (XDR), que detectan amenazas conocidas y comportamientos potencialmente maliciosos en cualquier lugar donde se alojen los datos de la compañía: redes, sistemas o dispositivos. La detección puede ser automatizada o manual, o usar una combinación de ambas. La elección de una u otra depende de las necesidades y el presupuesto de la organización.
El proceso de detección de amenazas analiza en primer lugar todos los datos que posee la entidad para encontrar e identificar irregularidades. A continuación se analizan dichas irregularidades a fin de determinar si son maliciosas y por tanto representan una amenaza potencial. En caso afirmativo, se evalúa el alcance de los daños y se rastrea el origen del ataque. Con todos estos elementos, ya se puede poner en marcha un plan de respuesta que elimine la amenaza y restaure los sistemas a su estado anterior al ataque.
Cuando el ataque se produce, la pregunta inmediata es: “Me han atacado. ¿Qué hago ahora?”. La Ciberseguridad como Servicio también tiene una respuesta a esta cuestión.
Los servicios de detección incluyen búsqueda y registro de anomalías y eventos, procesos de detección y análisis. Entre sus actividades principales, la plataforma de rastreo y administración de dispositivos Prey Project enumera el rastreo de todos los endpoints, la supervisión en tiempo real, los controles de políticas de privacidad y seguridad, y la configuración de un sistema de alerta.
Un componente esencial de todos los planes de detección y prevención de amenazas es el empleo de prácticas en tiempo real para detectar las intrusiones con rapidez. No olvidemos que la prontitud a la hora de detectar que los sistemas han sido atacados puede ser el factor clave para que una empresa siga operando o vea su actividad interrumpida.
Respuesta y recuperación
Muchas veces, las medidas preventivas y de búsqueda y detección de amenazas no logran evitar que la organización sufra un incidente de seguridad. Acceso a información sensible, virus, ransomware... cuando el ataque se produce, la pregunta inmediata es: “Me han atacado. ¿Qué hago ahora?”. La Ciberseguridad como Servicio también tiene una respuesta a esta cuestión.
Lo primero en estas ocasiones es, obviamente, actuar ante el incidente. La respuesta a situaciones de emergencia debe ser rápida, a ser posible en cuestión de minutos, para eliminar cuanto antes las amenazas activas y monitorizar la posible recurrencia de los ataques.
La CyberSaaS cuenta con analistas para responder a las amenazas, tanto si se necesita reaccionar a incidentes a gran escala como contar con asistencia para tomar decisiones más precisas. Los servicios de respuesta o IRP descubren, previenen y responden a incidentes de seguridad avanzados. Entre ellos, encontramos administración de eventos e información de seguridad, inteligencia de ciberamenazas (CTI) y respuesta a incidentes y análisis forense. Usualmente, los proveedores ofrecen planes de respuesta ante incidentes que incluyen comunicación, eliminación, mitigación y mejora de la respuesta.
Una vez afrontado el incidente y eliminada la amenaza, es posible que encontremos que los sistemas han sufrido daños. La Ciberseguridad como Servicio ofrece en este caso soluciones de ciberrecovery o recuperación de incidentes como servicio, para ayudar a la organización a recuperarse del ataque.
Los servicios de ciberrecovery minimizan el impacto de las interrupciones derivadas de un ciberataque, con una recuperación confiable y automatizada. Aquí disponemos de servicios de recuperación tras ciberincidentes, de garantía de resiliencia y de relocalización de datos.
Firmas como Kyndryl disponen de un porfolio completo de servicios disponibles on premise, en la nube y en entornos híbridos. Entre las funciones de estos servicios de recuperación, también llamados de ciberresiliencia, destacan la automatización de toda la carga de trabajo, la búsqueda de anomalías integrada, un repositorio de datos inmutable y un panel de gestión y monitorización. Gracias a ellos, se tienen RPOs y RTOs más cortos, lo que implica menor volumen de datos perdidos y menos tiempo transcurrido antes de reanudar las operaciones.
Estrechamente relacionados con ellos, están los servicios de gestión de backup y de respaldo como servicio (Backup as a Service o BaaS). La protección de la información y la realización periódica de copias de seguridad son imprescindibles para restaurar los datos necesarios para que la compañía vuelva a funcionar, teniendo en cuenta que efectuar copias de seguridad en los intervalos correctos reduce la cantidad de datos que se pierden después de un evento crítico y, con ellos, el impacto en las operaciones.