¿Qué es la evaluación de compromisos?
Las evaluaciones de compromisos son investigaciones de alto nivel donde equipos de expertos emplean herramientas avanzadas para identificar de manera exhaustiva la actividad de cualquier atacante (actual o pasada) en el entorno de una empresa así como puntos débiles en sus controles y operaciones. El objetivo es responder a una pregunta fundamental: ¿Existe una brecha en mi empresa?
Si bien en otros sectores es obligatorio realizar esta evaluación, la Agencia de Ciberseguridad y Seguridad de la Infraestructura de EE. UU. (Cybersecurity & Infrastructure Security Agency, CISA) tan solo la recomienda.
Beneficios de la evaluación de compromisos
A diferencia de años atrás, ahora contamos con mejores tecnologías de ciberseguridad y más presupuesto. No obstante, los tiempos de permanencia siguen siendo igual de prolongados. Por tiempo de permanencia nos referimos al tiempo que transcurre desde que un atacante irrumpe en la red hasta que se le expulsa. Minimizarlo es crucial: cuanto más tiempo pase el atacante en la red sin ser descubierto, más fácil lo tendrá para encontrar los recursos más valiosos, burlar defensas, colocar puertas traseras y exfiltrar datos. Estas amenazas persistentes avanzadas (APT) suponen daños y costes, pero la evaluación de compromisos puede identificarlas.
La evaluación de compromisos es minuciosa y abarca una gran cantidad de aspectos; esto permite a las empresas identificar atacantes y saber si existe una brecha en su entorno. Gracias a este detallado análisis, impiden que estos roben recursos financieros, datos de clientes o propiedad intelectual.
La posición de seguridad mejora cuando identificamos prácticas ineficaces (como errores de configuración) e inconsistencias en las directivas que pueden crear lagunas de seguridad en la empresa y exponerla a riesgos mayores. La evaluación de compromisos saca a la luz estos puntos débiles y proporciona una hoja de ruta para corregirlos. En definitiva, las empresas logran responder a la pregunta: ¿Existe una brecha en mi empresa? También obtienen consejos útiles para aprobar presupuestos y adquirir nuevos recursos en el futuro. Finalmente, algunas normativas exigen realizar esta evaluación; no obstante, incluso aunque la empresa no esté sujeta a esas normativas, realizarla da muy buena imagen de cara a auditorías.
Pasos de la evaluación de compromisos
Paso 1: Recopilación
La evaluación de compromisos comienza por recopilar datos forenses para identificar endpoints, tráfico de red y logs comprometidos.
Paso 2: Análisis
Los equipos de evaluación de compromisos analizan los datos recopilados para determinar si se ha producido un ataque. Si es así, validan los supuestos compromisos e investigan quién está detrás del ataque, por qué han atacado a la empresa, cuáles son sus objetivos y cómo han desplegado sus técnicas de ataque. Con esta información, pueden anticipar y frenar las siguientes acciones del atacante.
Paso 3: Respuesta
Estas conclusiones pueden utilizarse para responder a las amenazas descubiertas y compensar sus daños.
Paso 4: Recomendaciones
La evaluación termina cuando la empresa ha entendido cómo mejorar su capacidad interna de respuesta y su posición de seguridad para prevenir y abordar incidentes futuros.
Comparación entre la evaluación de compromisos y el Threat Hunting
Por un lado, Threat Hunting es la búsqueda proactiva de ciberamenazas que ya existen en una infraestructura. Los Threat Hunters utilizan la información que han recopilado sobre nuevas amenazas para elaborar hipótesis y combinarlas con lo que ya saben sobre las técnicas de ataque. Emplean inteligencia sobre amenazas para exponer la actividad de atacantes (actual y potencial) y detectar comportamientos sospechosos entre la cantidad ingente de información que recopilan los sistemas de seguridad. Es un proceso continuo.
Por otro lado, la evaluación se realiza de manera periódica, normalmente cada mes o cada trimestre. Los datos obtenidos corresponden a un momento específico y sirven para cumplir requisitos normativos. El alcance de la evaluación de compromisos es significativamente mayor que el del Threat Hunting. La primera, al igual que el segundo, busca indicadores de compromiso e indicadores de ataque. Pero, además, indaga en sus causas, en los pasos que se han seguido y en cómo mejorar la posición de seguridad de la empresa.
CrowdStrike Falcon® Forensics ayuda a los equipos a realizar evaluaciones de compromisos periódicas
CrowdStrike Falcon Forensics automatiza la obtención de datos forenses puntuales e históricos filtrados para realizar evaluaciones de compromisos efectivas y eficientes de manera periódica. Analiza estos datos desde una sola plataforma, sin depender de herramientas y métodos de ingesta de datos dispares y simplificando el trabajo de los analistas. Incluye paneles predeterminados personalizables, como el panel "Quick Wins", que han sido diseñados junto con el equipo de servicios de CrowdStrike para distinguir la señal del ruido con una precisión superior.
Falcon Forensics se puede desplegar a escala en cuestión de horas y recopila cientos de miles de endpoints. Actúa como un archivo ejecutable que, una vez completada la recopilación, se "autoelimina" de los sistemas para que los analistas no tengan que mantener y gestionar un agente innecesario en el sistema, lo que simplifica aún más el entorno.
Los servicios de evaluación de compromisos de CrowdStrike® ponen años de experiencia contrarrestando los ciberdelincuentes más peligrosos a disposición de las empresas que buscan la evaluación más completa del sector. Con la ayuda de CrowdStrike Falcon®, de una inteligencia sobre amenazas de primera calidad y de un Threat Hunting ininterrumpido, las organizaciones podrán responder a esa acuciante pregunta: ¿Existe una brecha en mi entorno?
Anne Aarness ocupa el puesto de Senior Manager Product Marketing en CrowdStrike y reside en Sunnyvale, California (EE. UU.).
