Los equipos corporativos de TI y seguridad tienen la difícil tarea de mantener a raya a adversarios cada vez más sofisticados y persistentes. A menudo deben operar con recursos limitados y con superficies de ataque en expansión, mientras que contratar y retener a profesionales de ciberseguridad de alto nivel para administrar un Centro de Operaciones de Seguridad (SOC) interno está fuera del alcance de muchas organizaciones. Al mismo tiempo, las amenazas continúan evolucionando y los atacantes perfeccionan sus técnicas, lo que genera incidentes capaces de paralizar por completo las operaciones del negocio.
Para evitar quedar en desventaja, los defensores necesitan un enfoque proactivo que combine prevención, detección y remediación con inteligencia de amenazas precisa y oportuna. Si construir esa capacidad internamente es poco práctico, entonces alquilarla o adquirirla como un servicio se convierte en una opción más realista. Esto no es un concepto nuevo, por supuesto: durante décadas, las organizaciones más pequeñas han aprovechado los beneficios de las nuevas innovaciones en TI a través de bureaux, proveedores de servicios gestionados y la computación en la nube.
Existe un argumento sólido para aplicar el mismo enfoque a los servicios avanzados de ciberseguridad, y es aquí donde el Managed Detection and Response (MDR) puede generar un impacto significativo. El MDR brinda a las organizaciones una capacidad proactiva, escalable y respaldada por expertos para monitorear y buscar amenazas, sin el costo asociado a un SOC de élite. Hasta hace no mucho, un servicio MDR era costoso y complejo —aunque menos que montar una operación interna dedicada—. Hoy, se ha vuelto una opción cada vez más viable incluso para organizaciones más pequeñas.
Recientemente conversamos con Jean‑Ian Boutin, director de ESET Threat Research, para conocer más sobre el trabajo de su equipo y cómo la investigación e inteligencia de amenazas se integran en los flujos de trabajo de MDR. Jean‑Ian también nos compartió una visión interna sobre los casos en los que la combinación de tecnología de vanguardia y experiencia humana ofrece el mayor valor práctico, especialmente en entornos de pymes.
¿Qué obtienen la mayoría de los usuarios de pequeñas empresas a partir de ESET Threat Research? ¿Y cómo cambia eso cuando utilizan ESET MDR?
ESET cuenta con un equipo de investigación de amenazas distribuido en múltiples regiones. Yo formo parte del equipo en Montreal, pero también tenemos investigadores en Europa y en Estados Unidos.
Hay contenido al que todos pueden acceder: nuestras publicaciones en WeLiveSecurity y las charlas y presentaciones que damos en conferencias de ciberseguridad alrededor del mundo.
Luego está la información que solo reciben los clientes corporativos de ESET: todo tipo de “tips and tricks”, es decir, datos sobre actores de amenazas —qué están haciendo, cómo operan—, información clave que ayuda a nuestros clientes a mantenerse protegidos.
En el caso de los servicios de managed detection and response (detección y respuesta gestionadas), la inteligencia de amenazas es un componente fundamental. Le permite a nuestro equipo de detección y respuesta comprender cómo operan los distintos actores maliciosos y utilizar ese conocimiento para proteger a nuestros clientes frente a posibles brechas.
Hemos hablado un poco sobre la punta del iceberg: todo el trabajo que ocurre en el backend de un servicio MDR y que los usuarios rara vez ven, pero que es absolutamente crítico. ¿Podrías explicarlo?
Las distintas alertas que pueden aparecer en la consola a veces corresponden a detecciones en los endpoints que queremos investigar. Y mi equipo es responsable de garantizar que todas las nuevas muestras y amenazas se analicen y se detecten correctamente en los entornos de los clientes. Así que parte del trabajo del equipo consiste precisamente en asegurarse de que todas estas nuevas tendencias y muestras sean examinadas, investigadas y, luego, detectadas en la infraestructura de nuestros clientes. Este es uno de los aspectos clave.
Tenemos un cuidado especial en organizar los datos de inteligencia de amenazas relacionados con e-crime, ransomware, grupos APT y actores estatales que apuntan a organizaciones de todo el mundo. Nuestros investigadores utilizan estos conocimientos para vincular nuevas brechas con casos anteriores.
También evaluamos la gravedad de la brecha y podemos determinar cuál podría haber sido el propósito detrás del ataque. Esto realmente le da al cliente una visión completa de lo que pudo haber ocurrido: si hubo o no una intrusión y, en muchos casos, incluso qué grupo específico estuvo detrás del ataque.
¿Qué aporta el MDR además de la protección de endpoints de ESET que ya existe?
El MDR es más personalizado, y la relación con el cliente se profundiza y se vuelve más cercana. Pero el trabajo que produce mi equipo se distribuye en toda la línea de productos.
Ha habido bastante conversación recientemente sobre los informes privados de ESET. ¿Qué tan relevantes son para lo que enfrentan la mayoría de las pequeñas y medianas empresas? ¿Se enfrentan a ataques dirigidos? ¿Y qué hay de los actores estatales?
El perfil de amenazas puede variar de una organización a otra, y un actor estatal suele tener objetivos predeterminados. Por lo general, apuntan a víctimas que se alinean directamente con esos objetivos.
En lo que respecta al e‑crime, el panorama es muy amplio. Se trata de ataques masivos y dirigidos. Vemos muchísimos infostealers y también un volumen significativo de ransomware.
Nuestro rol es entender cómo operan todos estos grupos y asegurarnos de que, si despliegan nuevas técnicas, podamos actuar con rapidez y bloquear todos sus intentos.
Ese es el objetivo principal. Pero, al mismo tiempo, hay muchísimos actores de amenazas realizando este tipo de actividades, y aún más familias de malware circulando. Es realmente un trabajo diario garantizar que los clientes estén protegidos. Trabajo no falta, definitivamente.
James Rodewald, uno de los analistas de seguridad de ESET, utiliza este concepto de triangulación: ver algo en estado salvaje, escuchar a un cliente afectado y consultar con el equipo de inteligencia de amenazas. Un ejemplo que él ha mencionado es un ataque que involucra a FamousSparrow. ¿Puedes profundizar en eso desde tu perspectiva?
Es importante mantener una relación cercana con las personas que realmente están manejando este tipo de casos, porque el rol principal de mi equipo es observar la telemetría; es decir, los datos que se recopilan desde todos los endpoints, y tratar de identificar casos interesantes y aquellos en los que necesitamos trabajar para mejorar la protección general.
Pero, en ocasiones, el equipo de MDR se encuentra con algo que ya habíamos visto en el pasado, y eso también nos permite tener una comprensión más profunda de cómo opera realmente el actor de amenazas.
En ese caso específico, fue muy revelador para nosotros, porque no habíamos visto a ese actor de amenazas durante bastante tiempo. Siempre que hay un caso que involucra a un cliente que utiliza MDR, resulta mejor desde el punto de vista de la investigación, porque la relación más cercana con el cliente significa que conocemos mejor su infraestructura, lo que nos permite ayudarlos más eficientemente. También podemos tener una comprensión más clara del impacto del caso. Esa información luego se comparte con otros clientes de inteligencia de amenazas, por lo que intentamos estar lo más cerca posible de todos estos equipos y vincular estos incidentes para mejorar nuestra cobertura y nuestra comprensión de todas estas amenazas.
Has hablado sobre la relación de trabajo con los analistas de MDR y con el equipo de D&R (Detection and Response). ¿Cómo cambia eso la manera en que realizás tu trabajo y tu comprensión de las amenazas cuando existe ese tipo de relación uno a uno con los analistas —e incluso, en algunos casos, con el cliente?
Cambia todo, porque con MDR ya existe una relación de trabajo establecida con la persona responsable de la seguridad en esa organización. Eso nos permite entender muy rápidamente el alcance del ataque, qué ocurrió exactamente, por qué los atacantes estaban allí, y así sucesivamente.
La información a la que tenemos acceso es exponencialmente mayor que la que obtenemos con endpoints tradicionales. Por eso, para nosotros, esta relación es invaluable en términos de información, visibilidad y comprensión del caso.
El año pasado hubo una serie de ataques en el Reino Unido que comprometieron a grandes organizaciones como Jaguar Land Rover y Marks & Spencer a través de servicios de helpdesk tercerizados. Las pequeñas y medianas empresas también utilizan este tipo de servicios externalizados como parte de su cadena de suministro, y con frecuencia ellas mismas son el eslabón menos protegido dentro de la cadena de suministro de una empresa más grande. ¿Deberían estar preocupadas?
El riesgo que representan los ataques a la cadena de suministro es considerable. A lo largo de los años se han documentado numerosos casos en los que los actores de amenazas explotan vulnerabilidades en la cadena de suministro, enfocándose con frecuencia en proveedores externos que cuentan con medidas de seguridad menos estrictas. Al comprometer a estos terceros, los atacantes pueden obtener acceso inicial a la red de una organización.
En lo que respecta al MDR, una de sus ventajas es la amplia visibilidad que ofrece, garantizando una visión completa de todas las detecciones y alertas. Esta capacidad nos permite identificar con mayor eficacia incluso las anomalías más pequeñas. Dado que nuestro equipo monitorea de forma continua a estas organizaciones en busca de posibles incidentes, podemos detectar y responder rápidamente a errores sutiles cometidos por los actores maliciosos.
Los ataques a la cadena de suministro presentan desafíos importantes debido a la dificultad de proteger a todos los proveedores externos. Sin embargo, contar con una solución efectiva mejora significativamente nuestra capacidad para reaccionar de manera rápida y eficiente ante este tipo de eventos.
Como líder de un equipo de investigación de amenazas, ¿qué diferencia observas que aporta el MDR a los clientes? ¿Cuál es el impacto para una organización que cuenta con un servicio MDR en comparación con otra que todavía no está lista para dar ese paso?
En general, como mencioné antes, la visibilidad continua es mucho mayor con MDR. Si tu organización se ve afectada por una campaña, contarás con mejores herramientas para reconstruir todas las acciones que realizaron los atacantes y comprender qué hicieron dentro de tu red.
En pocas palabras, el MDR ofrece una visión mucho más profunda de los ataques. Desde la perspectiva de la investigación de amenazas, este es el principal beneficio. Y otro motivo clave para valorar esta visibilidad es la velocidad de respuesta. Con MDR, ya existe un canal seguro entre los investigadores y tu empresa, lo que facilita contactar rápidamente a alguien que pueda tomar medidas para contener una brecha.
Por último, ¿qué les dirías a las organizaciones que ven el MDR como algo demasiado complejo o costoso?
El MDR actúa como una póliza de seguro, ayudando a identificar amenazas como el ransomware en etapas tempranas, muchas veces antes de que se generen problemas mayores. Los atacantes suelen utilizar initial access brokers para obtener acceso, pero existen varias señales de advertencia que pueden detectarse con anticipación. Aunque nunca se recomienda pagar un rescate, la recuperación puede ser igualmente disruptiva. El MDR contribuye a la continuidad del negocio para que la organización pueda seguir enfocada en sus actividades principales.
¡Muchas gracias!
