Las instituciones financieras están sometidas a un constante bombardeo de ciberataques dirigidos por estados nacionales, grupos de cibercriminales y delincuentes individuales. Son los objetivos de mayor riesgo, reputación y valor. También representan los objetivos más fortificados que existen. Para un pirata informático, enfrentarse a una institución financiera es un reto enorme. El sector financiero, en su conjunto, ha realizado una importante inversión en ciberseguridad: está en primera línea de adopción con las mejores y más eficaces tecnologías y proveedores. Por eso hay muy pocos casos de hackeos masivos en las organizaciones financieras y podemos aprender mucho de este sector. Están entre los primeros en adoptar la EDR, herramienta que proporciona monitorización y análisis continuo de los dispositivos finales y de la red, con la finalidad de identificar, detectar y prevenir amenazas avanzadas asegurando una visibilidad total y una respuesta rápida. Ahora están adoptando rápidamente soluciones XDR como el estándar de oro de la ciberseguridad. La XDR recopila y correlaciona datos en una diversidad de capas de seguridad: es un nuevo enfoque que integra procedimientos de detección y respuesta en múltiples entornos.
La respuesta a los nuevos ciberataques tiene nombre: XDR
Los recientes avances en la detección y respuesta ampliada (XDR) son muy interesantes para las organizaciones financieras, que están sometidas a una enorme presión para proteger no solo los datos críticos de los clientes, sino también a sus propios empleados y su reputación empresarial en un sector en el que la confianza es esencial. Se trata de un juego del gato y el ratón con los responsables de las amenazas, siempre con la necesidad de ir un paso por delante. La XDR ofrece la oportunidad de encontrar la aguja en el pajar, la amenaza que podría causar un daño material a una institución financiera.
Pero ¿qué aportan exactamente las soluciones XDR? Una solución XDR adecuada debe ofrecer a las instituciones financieras información sobre un ataque en un formato accesible, independientemente del nivel de conocimientos del analista. Esta información debe ir más allá de los dispositivos finales para incluir los servicios SaaS, el correo electrónico y las infraestructuras en la nube. Además, debe reunir información de todos los dispositivos finales, servicios e identidades de usuario. La tecnología debe recoger los Indicadores de Compromiso (IOC), los datos derivados de las entradas de registro que sugieren actividad maliciosa, como los indicadores de host y de red, las herramientas y los artefactos utilizados en un ataque.
Hoy en día, los equipos de seguridad utilizan una serie de herramientas para obtener visibilidad de los dispositivos finales, pero muchas de ellas no están diseñadas específicamente para esta tarea. Herramientas como el software antivirus y los cortafuegos no logran detener los ciberataques modernos.
Gestionar la avalancha de datos de los dispositivos finales y la acumulación de alertas
Incluso si una empresa utiliza una solución diseñada para proporcionar visibilidad de los dispositivos finales y de la red ampliada, es probable que el equipo de seguridad se vea inundado de alertas de bajo contexto, en lugar de conocer los incidentes importantes. Esto crea menos visibilidad donde tiene que haber más, al contrario que la XDR, que ayuda a resolver los riesgos más nuevos y sofisticados a los que se enfrentan las instituciones financieras.
Las herramientas de seguridad que recopilan montones de datos de los cientos de miles de servidores y ordenadores de un banco, pero que no proporcionan un análisis de la causa ni correlaciones entre máquinas, solamente añaden más trabajo para los equipos de seguridad. Sencillamente, no proporcionan a los analistas de seguridad ningún contexto sobre el origen del problema, el alcance del ataque y lo que hay que hacer con la alerta, lo que desencadena un largo proceso de consulta manual de los conjuntos de datos para responder a las preguntas fundamentales. La acumulación de alertas provoca errores humanos y retrasos en las respuestas, lo que dificulta la detección de una amenaza sigilosa que se hace pasar por comportamientos legítimos de usuarios o máquinas.
Las soluciones XDR deben proporcionar a los equipos de seguridad no sólo visibilidad de la actividad potencialmente maliciosa en los dispositivos finales y en toda la red, sino también ofrecer los detalles más destacados de la actividad maliciosa que se correlacionan en todas las plataformas, dispositivos y usuarios que son supervisados por la solución. La llegada de la XDR significa que los equipos de seguridad no están obligados a proteger a las organizaciones utilizando únicamente indicadores de compromiso. Pueden recurrir a lo que se conoce como Indicadores de Comportamiento (IOB), las cadenas más sutiles de comportamiento malicioso que pueden revelar un ataque en sus primeras etapas, por lo que son muy potentes en la detección de campañas avanzadas, como los recientes ataques de SolarWinds.
Las principales soluciones XDR proporcionan un enfoque centrado en las operaciones para detectar y remediar los ataques mediante la búsqueda automática de comportamientos específicos y anómalos que otras soluciones pasan por alto. Al observar estos indicadores, no solo es posible obtener una visibilidad procesable de una cadena de ataque activa, sino también utilizar esa misma progresión de comportamientos de amenaza para proteger a las organizaciones contra ataques similares en el futuro.
Las entidades de servicios financieros pueden anular la ventaja de los atacantes
Las soluciones XDR son la clave para eliminar los obstáculos que impiden una detección y respuesta eficaces a las amenazas, como las tareas de gestión de registros y recopilación de datos, los ciclos de despliegue y mantenimiento de agentes y la compleja e interminable generación de consultas para la extracción de datos y la detección de comportamientos. La XDR rompe el aislamiento de los datos y unifica el contexto de los dispositivos y las identidades en una experiencia de investigación única y visual. La XDR, por tanto, puede ser una herramienta eficaz para que las entidades de servicios financieros contrarresten la ventaja de los atacantes al ampliar las capacidades de detección y respuesta a la totalidad de los amplios ecosistemas de TI que conforman los entornos empresariales modernos. Esta tecnología permite a los defensores localizar, comprender y acabar con las operaciones maliciosas en toda el sistema, ya sea en las instalaciones, en los dispositivos móviles o en la nube. Nada debería impedir a las instituciones financieras adoptar una solución XDR en los próximos meses.
