“Netwitness dota de visibilidad total de las infraestructuras y permite mitigar cualquier ataque”

Vicente Gozalbo Moragrega, Sales Account Executive Spain & Portugal.
Vicente Gozalbo Moragrega, Sales Account Executive Spain & Portugal.

¿Puedes ofrecer una breve semblanza de Netwitness y cuál es tu rol de responsabilidad?

Netwitness, an RSA Business, es la línea de negocio de RSA que toma la tecnología de detección y respuesta ante incidentes (XDR – eXtended Detection and Response), tanto desde un punto de vista de producto que puede ser empleado on-premise, en la nube, o en arquitecturas híbridas; así como con servicios, ya que tenemos servicios especializados de Respuesta ante Incidentes y servicios avanzados de ‘red team’ para ayudar a las organizaciones en la prevención, preparación, simulacro y orquestación de la respuesta ante ataques.  Mi rol en la organización es de responsable de Ventas para España y Portugal, habiéndome incorporado a principios de 2022.

Para situar al lector, ¿puedes explicar qué es MITRE?

MITRE Corporation es una organización localizada en EEUU, sin ánimo de lucro, fundada en 1958, como laboratorio específico del MIT. Presta servicios de investigación y desarrollo sobre tecnologías TI al gobierno estadounidense. Hace nueve años crearon las guías ATT@CK.

¿En qué consiste la plataforma ATT@K de MITRE?

ATT@CK corresponde a Adversarial Tactics, Techniques, and Common Knowledge, y son unas guías para documentar, clasificar y describir las técnicas y tácticas que emplean los ciberatacantes en sus intrusiones. La plataforma contiene 14 categorías de diferentes tácticas, que consisten en objetivos técnicos de un adversario concreto. Algunos ejemplos pueden ser ‘Escalado de Privilegios’, ‘Comando y Control’. Estas categorías se dividen a su vez en técnicas específicas y en subtécnicas. En la práctica, es una guía que usan las organizaciones para prepararse ante ataques, los fabricantes de tecnología para dar respuesta temprana ante ataques, e incluso los atacantes la usan para ejecutar sus ataques de una forma organizada.

Netwitness Platform recoge toda la actividad de los sistemas de las organizaciones, las indexa y las deja a disposición de módulos de análisis e inteligencia artificial

¿Cómo se integra el MITRE ATT@K en vuestras soluciones?

Netwitness Platform recoge toda la actividad de los sistemas de las organizaciones, las indexa y las deja a disposición de módulos de análisis e inteligencia artificial. NetWitness proporciona, de forma gratuita, paquetes de contenido actualizados periódicamente, que las empresas pueden utilizar para enriquecer en tiempo real los datos recogidos por la organización relacionándolos con el framework. Además, NetWitness proporciona un módulo basado en Inteligencia Artificial (Detect AI), que es capaz de identificar los comportamientos sospechosos que se producen,bajo los criterios de MITRE ATT@K, y organiza la información hallada, los ataques y técnicas conforme a la plataforma, en tiempo real. De esta manera, el analista de seguridad puede visualizar la actividad de los atacantes organizada según las técnicas y tácticas, actuar rápidamente para mitigar el ataque y adelantarse a la siguiente acción de los atacantes.

En la RSA Conference 2022, NetWitness anunció el próximo lanzamiento de un nuevo producto XDR SaaS evolucionado (NetWitness Vision XDR) el cual añadirá a las funcionalidades anteriormente indicadas, un nuevo explorador de MITRE ATT&CK con el objetivo de conseguir llevar la experiencia de Threat Hunting a un nivel superior.

Hay muchos grupos de ransomware que actúan contra MITRE, ¿cómo es posible parar a estas bandas que parecen tener una gran capacidad de adaptación?

Resumiendo mucho, los grupos de delincuentes que atacan con ransomware aprovechan cualquier vulnerabilidad de los sistemas que les permitan ejecutar su código para después cifrar todos los recursos que desde esa estación comprometida puedan alcanzar. Una vez han conseguido su objetivo, detenerlos es difícil. Por eso, un marco como MITRE ATT@CK da a las organizaciones las guías para detectar la actividad desde el principio del proceso y detenerla antes de que cumpla su objetivo. Por ejemplo, si se detecta actividad inusual de escaneo de ficheros documentales (XLSX, DOC, PDF), eso es un indicador de compromiso potencial, y hay que tomar acciones específicas para bloquear los accesos e identificar la estación comprometida. Y para ello la organización tendrá que apoyarse en tecnología que sea capaz de detectar esa actividad desde la red, independientemente del terminal afectado, alertar de la condición con respecto al marco de MITRE ATT@CK, así como en tecnología que le ayude a priorizar y orquestar la respuesta, de una forma muy rápida.

¿Se ha complicado mucho el mundo del ransomware desde la normalización del teletrabajo?

Muchísimo. Las organizaciones han tenido que hacer una rápida transición del puesto en la oficina propiedad de la organización, y con acceso a redes propias securizadas desde hace tiempo, hacia un entorno en el que el empleado usa muchas veces su propio ordenador para acceder a recursos de la organización y usa una red insegura en su domicilio. Las medidas de seguridad son distintas y la necesidad de privacidad del empleado también supone un riesgo que hay que asumir.  En la práctica, las medidas de seguridad han tenido que relajarse para poder dar lugar a esa transición rápida, y las mafias del ransomware han tenido su oportunidad. Y a estas mafias les encanta identificar empresas medianas con capacidad financiera como para pagar un buen rescate, y atacarán a las menos protegidas.   

La cadena de suministro es otro vector de ataque, ¿hasta qué nivel es preocupante?

Efectivamente, una organización puede ser atacada a través de las infraestructuras de sus proveedores o clientes que no se han protegido correctamente. Justamente ese es el foco de los atacantes por ransomware. Es muy preocupante porque grandes organizaciones pueden verse afectadas por la falta de diligencia, recursos y protección de empresas más pequeñas, usando multitud de técnicas. Ya se han dado casos en España y en todos los países se reportan pérdidas millonarias. Muchas grandes corporaciones están obligando ya a sus proveedores y clientes a demostrar cumplimiento con las mejores prácticas y evidencia de uso de las herramientas necesarias para protegerse.

¿Qué futuro prevés en el secuestro de información de aquí a tres años?

Seguirá expandiéndose, y además obligará a que evolucionemos nuestros sistemas y tecnología de detección y respuesta. Aquellas compañías que no apliquen servicios o tecnología de prevención, detección y respuestas, serán atacadas. Como el spam o el fraude bancario, se trata de un tema de tiempo, no ya de si vamos a ser alcanzados por un ataque de ransomware, sino de cuándo.

¿De qué manera Netwitness ayuda en la lucha contra el cibercrimen?

Con XDR (eXtended Detection and Response). Como se ha mencionado, Netwitness XDR dota de visibilidad total en las infraestructuras al combinar NDR (Network Detection and Response), EDR, (Endpoint Detection and Response), LDR (Log Detection and Response) o SIEM; TIP (Threat Intelligence Platform), UEBA (User and Entity Behavior Analytics) basado en IA, así como la capacidad de orquestar la respuesta con SOAR (Security Orchestration Automation and Response). Pero, además, tenemos un equipo de Respuesta ante Incidentes para ayudar a planificar la respuesta, a hacer simulacros contenidos de ataque (actividades de read teaming avanzados), e incluso a ayudar a mitigar el ataque cuanto éste ocurre (contención, mitigación, comunicación, prevención…). Aparte de ello, tenemos experiencias reales en ciberataques graves, que compartimos abiertamente, aunque de forma siempre anónima con la comunidad, y nos dedicamos a evangelizar participando y organizando eventos como la RSA Conference, el ISMS Forum o publicaciones especializadas.

¿Necesitas un experto en Ciberseguridad?


Tu privacidad es importante para nosotros

Utilizamos cookies propias y de terceros para analizar nuestros servicios con fines analíticos, para mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación y para incorporar funcionalidades de redes sociales. Puedes obtener más información sobre cookies en nuestra Política de Cookies. Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas pulsando el botón “Configurar”.

x

Panel de gestión de cookies

✓ Permitir todas las cookies
✗ Denegar todas las cookies
Estas cookies son necesarias para que el sitio web funcione y no se pueden desactivar en nuestros sistemas. Usualmente están configuradas para responder a acciones hechas por usted para recibir servicios, tales como ajustar sus preferencias de privacidad, iniciar sesión en el sitio, o llenar formularios. Usted puede configurar su navegador para bloquear o alertar la presencia de estas cookies, pero algunas partes del sitio web no funcionarán. Estas cookies no guardan ninguna información personal identificable.

Cookies técnicas

✓ Permitir
✗ Denegar
Las cookies estadísticas nos permiten contar las visitas y fuentes de circulación para poder medir y mejorar el desempeño de nuestro sitio. Nos ayudan a saber qué páginas son las más o menos populares, y ver cuántas personas visitan el sitio.

Google Analytics

Ver sitio oficial
✓ Permitir
✗ Denegar
Estas cookies permiten que el sitio ofrezca una mejor funcionalidad y personalización. Pueden ser establecidas por nosotros o por terceras partes cuyos servicios hemos agregado a nuestras páginas. Si no permites estas cookies algunos de nuestros servicios no funcionarán correctamente.
✓ Permitir
✗ Denegar
Estas cookies pueden ser añadidas a nuestro sitio por nuestros socios de publicidad/medios sociales. No almacenan directamente información personal, sino que se basan en la identificación única de tu navegador y dispositivo de Internet para ofrecerle compartir contenido en los medios sociales o para mostrarte contenido o anuncios relevantes en nuestro sitio web u otras plataformas.
✓ Permitir
✗ Denegar
✓ Permitir
✗ Denegar