Las amenazas avanzadas están en constante aumento con el fin de evadir controles de seguridad basados en firmas. Año tras año, la cantidad de amenazas de seguridad crece, haciendo más complejas las labores de análisis y contención de amenazas y vulnerabilidades en las entidades, las cuales a su vez requieren invertir más para manejar las alertas recibidas. Según el fabricante de seguridad CrowdStrike, los ataques más sofisticados o “sin malware”, incrementaron en el año 2019 con respecto a 2018.

Las cifras por pérdidas económicas a nivel global originadas por ciberataques incrementan continuamente. La firma de seguridad Accenture, en su reporte anual, señala que en el 2018 los ciberataques generaron pérdidas por más de 13 millones de dólares (El Costo del Cibercrimen, Accenture 02019).  Estas cifras indican que, a pesar de que las compañías establezcan diferentes estrategias de seguridad, también es necesario abordar nuevos conceptos y metodologías de vanguardia entre los que se encuentran los servicios de ciberinteligencia y, por ello, cobra una vital importancia la gestión oportuna de estos servicios, de tal forma que puedan anticiparse a los ciberataques. 

Algunas soluciones comerciales ofrecen funcionalidades para llevar a cabo ciertas acciones de las actividades que ayudarían a abordar esta problemática. Los tipos de soluciones que existen incluyen: 

• TIP (Threat Intelligence Platform): Centraliza información de ciberinteligencia y permite integración con diferentes dispositivos de seguridad.
• SOAR (Security Orchestration, Automation, and Response): Este tipo de soluciones se concentran en automatizar procesos de productos de seguridad, con el fin de priorizar y estandarizar las funciones de respuesta a incidentes.
• Vulnerability Management: Estas soluciones identificar vulnerabilidades en equipos o sistemas de un determinado entorno. Por lo general cuentan con algún tipo de sistema de clasificación (débil a crítico) de las vulnerabilidades encontradas.

Sin embargo, los precios de lista de este tipo de soluciones pueden ser altos. En promedio: 

• TIP: USD 5000/año [3] [4]
• SOAR: USD 21000/año [5] [6]
• Vulnerability Management: USD 8000/año [7] [8]

Objetivo General: 

Diseñar e implementar un sistema que automatice las actividades del proceso de gestión de amenazas y vulnerabilidades en una entidad del sector financiero, por medio de la adquisición automática de información, su correspondiente clasificación, priorización y gestión según la criticidad del reporte y la ejecución inmediata de acciones de protección basadas en los hallazgos, con el fin de mitigar los riesgos de seguridad asociados.

La herramienta debe implementar las siguientes funciones: 

• Adquirir automáticamente la información pertinente de ciberinteligencia.
• Clasificar automáticamente la información adquirida según tipo y sistema al cual aplica, extrayendo datos relevantes.
  
• Redirigir información de vulnerabilidades al área encargada (desarrollo, infraestructura, core bancario, telemática).
• Registro y seguimiento de las vulnerabilidades gestionadas (estado, equipo, versión, etc.).
• Ejecutar acciones de protección en equipos y plataformas de seguridad: IPS, firewall, antivirus, antispam, filtro de contenido y sandbox.
• Realizar labores de descubrimiento de amenazas en el sistema correlacionador de eventos con base en la información adquirida revisando el comportamiento procesado por éste.
• Generar alertas para dar inicio al proceso de gestión de incidentes con base en el comportamiento detectado.
• Generar reportes de métricas relacionadas con la gestión de amenazas y vulnerabilidades.

Por medio de la construcción de un prototipo del sistema propuesto, junto con la integración con herramientas de seguridad de código abierto, se llevaron a cabo pruebas de adquisición y procesamiento de amenazas y vulnerabilidades para determinar la eficiencia del sistema y los tiempos de ejecución asociados. Los escenarios planteados fueron los siguientes:

• Se tomó una muestra de 188 alertas recibidas por correo electrónico, cuyo tiempo de procesamiento tuvo una duración total de 2.5 horas, con una tasa de efectividad del 72% de las alertas de amenazas; las amenazas restantes requieren análisis y ejecución de acciones de forma manual. En promedio, las alertas que realizan bloqueos de IPs tardan 7 minutos en ser procesadas, mientras que las alertas de las que se extraen únicamente hashes y dominios son procesadas en 2 segundos en promedio.
• Se utilizó como base el reporte de vulnerabilidades ofrecido por una fuente seleccionada durante los dos últimos años. Teniendo en cuenta que la fuente estandariza los nombres de fabricantes, productos y versiones, es posible cruzar la información con los registros de la base de datos para identificar las vulnerabilidades relevantes para la compañía. El algoritmo implementado permite procesar más de 16.000 registros en menos de 10 minutos, calculando la prioridad de cada vulnerabilidad y generando las notificaciones a encargados para su respectiva gestión.