Monitorización de entornos no cooperativos: Conclusiones

Toca ahora, para acabar (¡por fin!) la serie sobre monitorización de entornos no cooperativos, recapitular qué hemos tratado de explicar en estos posts (Introducción, Desarrollo, Procesamiento, Correlación y Alerta temprana) y con qué objetivos, esperando que hayan sido útiles para alguien.

Realmente, somos cada día más los que consideramos que mantener vigilado este tipo de entornos, más allá de la monitorización «habitual» de los elementos tecnológicos bajo el control de una organización, nos puede ayudar y mucho a protegernos de forma adecuada: en lo que hemos llamado entornos no cooperativos se fraguan a diario, nos guste o no, ataques directos e indirectos contra nosotros, por lo que parece obvia la necesidad de vigilarlos para, como se suele decir, «saber que se cuece»…

A modo de conclusiones y resumen de esta serie de posts, recordemos que hemos hecho un repaso a la monitorización de entornos no cooperativos: aquellos que no colaboran con nosotros, es decir, son ajenos a nuestro control y no podemos extraer de ellos toda la información que nos gustaría. Estos entornos introducen innumerables riesgos en la organización —cada día más— y, como decimos, a pocos se les escapa la creciente necesidad de monitorizarlos para ser capaz de detectar cuanto antes situaciones potencialmente dañinas para nosotros: necesitamos generar alerta temprana para responder convenientemente a cualquier amenaza potencial.

En los entornos no cooperativos habitualmente monitorizamos la presencia de un detonante, un elemento significativo para nosotros cuya detección va a implicar acciones por nuestra parte. Esta adquisición de datos no tiene por qué ser compleja por sí misma, pero cuando estamos hablando de múltiples fuentes (listas negras, foros, Twitter, blogs…) la cosa se complica, sobre todo en el mantenimiento de los monitores; debemos planificar desde el principio nuestra estrategia de monitorización y evitar, a toda costa, que ésta crezca de forma desordenada o acabaremos teniendo un sistema muy complejo de mantener.

La información recibida de la monitorización de entornos no cooperativos debe ser integrada con el resto de eventos de seguridad significativos para la organización para ser tratada y explotada de forma común. Habitualmente enviamos las alertas generadas a un SIEM (ya comenté por qué no me gusta este acrónimo) a partir del cual personal especializado las atiende convenientemente; pero aquí nos encontramos con el volumen de información que estos entornos son capaces de generar: en ocasiones demasiado elevado como para ser procesado de forma manual. Por tanto, acabamos en soluciones de correlación que nos permiten establecer relaciones entre eventos de forma que se reduzca el número global de alertas a atender y que éstas sean las realmente significativas para la organización.

Llegados a este punto, cuando hemos detectado la presencia de un detonante en un entorno no cooperativo, lo hemos procesado convenientemente y hemos acabado recibiendo una alerta significativa en nuestra consola, directamente o correlada, llega el punto de analizar y, si corresponde, diseminar la información generada tras el análisis: llega el momento, en definitiva, de hacer útil nuestro trabajo hasta el momento generando alerta temprana. Si el equipo operativo decide que hay que emitir una alerta temprana a partir de la información adquirida y correlada, su generación y posterior diseminación deben estar perfectamente normalizadas en la organización —realmente como casi todo—, sin dejar esta tarea a criterios particulares en cada caso: a fin de cuentas, recordemos que estamos en la parte más importante de nuestro trabajo, la que realmente aportará valor a terceros…

A partir de aquí entramos en la etapa de respuesta propiamente dicha, etapa que en muchas ocasiones no depende de nosotros sino del destinatario de la alerta temprana. Si hemos hecho bien nuestro trabajo, los ejecutores de la respuesta tendrán el máximo de información útil para la toma de decisiones y por tanto, al menos inicialmente, su respuesta será la más eficiente de las posibles; si por contra nos hemos equivocado, habremos proporcionado información de escaso valor —o ni siquiera eso— y haremos que el destinatario de la alerta temprana actúe mal en un momento crítico para él, con lo que eso implica… Por tanto, insistimos: analicemos cuidadosamente todo lo necesario antes de diseminar la alerta, evitando a toda costa la información incompleta o incluso negativa. En definitiva, hagamos nuestro trabajo lo mejor posible para que, a partir de él, otros puedan hacer lo propio.