La ciberseguridad debe ser un eje estratégico para cualquier organización.

David Julián, director ejecutivo de Alpine Security, habla en la siguiente entrevista sobre la importancia de adoptar un papel proactivo en la gestión de las amenazas a la ciberseguridad. Julián también destaca la importancia de la detección temprana de actividades sospechosas para evitar que los incidentes se conviertan en crisis.

Alpine Security ofrece servicios de ciberseguridad proactivos. ¿Cómo es proactivo nuestro trabajo?

El enfoque tradicional de las organizaciones es reaccionar a las alertas generadas por los sistemas de seguridad. En nuestro caso, no esperamos a que ningún elemento del entorno (SIEM, EDR, IDS, IPS, etc.) genere una alerta que indique que algo malo está ocurriendo.

‍
Lo que hacemos es buscar indicios de actividades sospechosas en la telemetría de los entornos del cliente antes de que activen una alerta o pasen desapercibidas para los sistemas existentes.

‍
A partir de ahí, llevamos a cabo una investigación para confirmar dicha actividad y determinar su criticidad. Supongamos que los entornos del cliente siempre pueden verse comprometidos y buscamos pistas que nos permitan detectar este hipotético compromiso.
‍

¿A quién van dirigidos nuestros servicios? Grandes empresas, pymes, microempresas...

Nuestros servicios están dirigidos principalmente a empresas que tienen un cierto nivel de madurez en la gestión de su seguridad o buscan un servicio especializado para la detección avanzada de amenazas. Este entorno se encuentra naturalmente en las empresas grandes o medianas.
‍

A menudo, las crisis de seguridad comienzan con pequeños indicios, ¿es así? ¿Cuál es el momento ideal para contratar un servicio como el nuestro?

Muchas veces nos preguntan si se detectan incidentes de seguridad. Siempre decimos que sí, que siempre se detectan. Sin embargo, a veces es demasiado tarde y el daño dentro de la empresa es de tal magnitud que gestionarlo no es un simple incidente sino una crisis.

‍
Nuestro enfoque se centra en detectar estas actividades sospechosas en sus primeras etapas para evitar que estos incidentes alcancen la magnitud de una crisis.

‍
Nuestros servicios son muy flexibles e incluyen soporte para mejorar la madurez de las capacidades de detección y respuesta de una organización, auditorías de seguridad, ejercicios avanzados de simulación de ataques y servicios de detección avanzados. Para estos servicios, lo que necesitamos es el entorno adecuado para extraer los datos necesarios. Gracias a esta telemetría (normalmente del EDR), podemos detectar estas actividades sospechosas.

Algunas empresas realizan importantes inversiones en productos sofisticados de protección contra amenazas. ¿Es esto suficiente para garantizar una política de ciberseguridad adecuada?

Un buen coche de carreras no gana carreras si no tienes un buen conductor. Lo mismo ocurre con las herramientas de seguridad. Si no se aplican con sensatez o no son explotadas por un equipo especializado, no se obtiene el valor total de la inversión realizada.

A menudo, se depende de las herramientas para generar alertas, pero se trata de un enfoque reactivo. El verdadero valor de las herramientas reside en su configuración y en la explotación de todos los datos y la telemetría recopilada de los entornos.

En Alpine, sostenemos que no nos centramos en prevenir los incidentes sino en evitar que se conviertan en crisis. ¿Esto requiere un trabajo de diagnóstico previo?

Dependiendo del nivel de madurez del cliente. Algunos tienen un cierto nivel de madurez y, en estos casos, el valor que aportamos es un servicio especializado adicional.

En otros casos, necesitan apoyo para mejorar su madurez. Necesitamos tener ciertas capacidades mínimas de visibilidad en el entorno. Los incidentes siempre ocurren; nuestro objetivo es detectarlos en sus primeras etapas. Utilizando la analogía de los incendios, nuestro objetivo es detectarlos cuando hay humo, no cuando hay llamas.

Red Traffic, sistemas operativos, aplicaciones... ¿dónde se manifiestan principalmente las amenazas de seguridad?

No hay un lugar único para detectar amenazas; en última instancia, se trata de un conjunto de datos en el que nuestro esfuerzo se centra en detectar desviaciones o anomalías en esos datos. Sin embargo, en el panorama actual de amenazas, uno de los puntos en los que se pueden detectar las primeras señales de riesgo es en los dispositivos o servidores de los usuarios finales.

Según su experiencia, ¿qué sector o sectores están particularmente amenazados?

Hoy en día, no hay un solo sector afectado o que destaque por encima de los demás. Las campañas son globales y, si bien algunas pueden estar más contextualizadas que otras, los actores malintencionados lo atacan todo. El resultado satisfactorio de estas campañas suele merecer más la atención de los medios de comunicación cuando las empresas afectadas sufren el robo de información personal, bases de datos de clientes, datos contables u otros datos que salen a la luz pública.

Cuando hablamos de ataques dirigidos, esto depende de los objetivos que persiga al atacante, que suelen implicar el robo de información o la interrupción de los servicios.

¿Es exagerado decir que la ciberseguridad es un eje estratégico para el futuro de las empresas?

La ciberseguridad debe ser un eje estratégico para el futuro y el presente de las organizaciones. Cualquier organización que no se tome en serio los riesgos cibernéticos y no gestione sus capacidades para detectar y responder a los incidentes está jugando a un juego de azar en el que cualquier día puede enfrentarse a una crisis que suponga unas pérdidas económicas o reputacionales que podrían derivar incluso en su cierre.

¿Qué es lo que diferencia a Alpine de otras empresas del sector?

La ciberseguridad debe ser un eje estratégico tanto para el presente como para el futuro de las organizaciones.

Cualquier organización que no se tome en serio los riesgos cibernéticos y no gestione sus capacidades para detectar y responder a los incidentes está jugando un juego de azar en el que cualquier día podría enfrentarse a una crisis que provoque pérdidas (económicas o de reputación) que incluso podrían llevar al cierre.

¿Qué diferencia tiene Alpine de otras empresas del sector?

Somos una empresa especializada. Nuestra base son los servicios de búsqueda de amenazas: un enfoque proactivo para la detección de amenazas. Somos un equipo de profesionales altamente especializado con miles de horas de experiencia en servicios ofensivos o respuesta a incidentes.

Para determinar si algo es potencialmente malicioso, debe estar familiarizado con el modus operandi de los actores malintencionados y con las herramientas, técnicas o estrategias que utilizan para comprometer a las organizaciones. Invertimos muchas horas en capacitarnos y mantenernos al día con las tácticas y técnicas más recientes utilizadas por los actores para compararlas con las capacidades de detección de nuestros laboratorios.