Se alienta a la optimización del presupuesto, siendo críticos con el actual despliegue de la seguridad TIC tradicional.

La simbiosis entre la inteligencia operativa y la analítica, a debate en Espacio tiSec.

Alrededor de 130 personas asistieron a la última entrega de Espacio tiSec, el pasado 21 de mayo en Madrid. En esta ocasión, centrado en la siguiente rúbrica: “La supervivencia de la seguridad: inteligencia operativa + inteligencia analítica”, desde las perspectivas de prevención, descubrimiento, reacción y mejora. En ella participaron destacados profesionales del mundo de la empresa, proveedores de soluciones y operadoras, en un intento de acercarse al big data, las capacidades analíticas y de “aprendizaje”, la gestión integrada de la protección y la necesidad de monitorización continua. Paralelamente, las compañías patrocinadoras (IBM, RSA- División de Seguridad de EMC y Telefónica) presentaron sus propuestas de soluciones y servicios.

Este Espacio tiSec, sobre La supervivencia de la seguridad: inteligencia operativa + inteligencia analítica, quiso ahondar en el abordaje de la industria que apuesta por la construcción de sistemas que combinan la capacidad de recolectar información (estructura y no estructurada) sobre eventos y hechos de forma masiva y de muy distintas fuentes y entornos; para luego analizarla, vigilar la reputación, generar e identificar patrones de comportamiento, detectar anomalías, controlar el dato y obtener evidencias ante propios y ajenos. De este modelo se debatieron las máximas en las que está sustentado, tales como big data, capacidades analíticas y de “aprendizaje” y gestión integrada de la protección, necesidad de monitorización continua de comportamientos y obtención en tiempo real de información sobre lo que está pasando (vulnerabilidades sobrevenidas, exposición, fugas, ataques...).

La jornada se inició con la intervención de Rafael Ortega García, Director General de Innovation 4 Security, que se acercó a las singularidades de la “Monitorización, reacción, análisis y mejora” desde una perspectiva antropológica inicial, rescatando la figura del homo sapiens como la primera especie que contó con inteligencia operativa, aprovechando las nuevas claves de socialización y sintetización. Tras enlazar esta aportación con los conceptos de resiliencia, inteligencia de seguridad, big data y la heurística, el ponente se adentró en el modelo de inteligencia analítica como clave en la evolución de la lucha contra el ciberdelito, cuyo sustento tecnológico será el big data; para finalizar con las siguientes conclusiones: crear SIEM de SIEMs no significa inteligencia; los sistemas heurísticos son necesarios para una respuesta inmediata y sistemática a las situaciones conocidas (inteligencia operativa); compartir el conocimiento y la información es la única manera de anticiparse y ser eficiente; y sin inteligencia operativa que trabaje en tiempo real (inmediatez) no hay resiliencia.

Ante las cuestiones formuladas por la audiencia, Ortega García explicó que el verdadero reto que tiene un SIEM para sobrevivir en este mundo de ciberamenazas tiene que ver con la capa de correlación, más allá de la recolección y el almacenamiento; y que la escasez de presupuestos se salvaría con una verdadera compartición de información.

Proveedores de tecnología y servicios

A continuación tuvieron lugar las ponencias de las tres firmas copatrocinadoras, que explicaron cuál es la estrategia de sus respectivas organizaciones en el campo de la ciberseguridad, en materia de análisis e inteligencia, y cuáles son los productos y servicios con los que responden a las necesidades de las compañías. En este sentido, participaron Marcos Serrano, Responsable de desarrollo de negocio de software de seguridad para España, Portugal, Israel y Grecia de IBM, quien analizó cómo la parte de big data amplía la inteligencia de la plataforma SIEM de su compañía; Fidel Pérez Capón, Director Comercial para España y Portugal, de RSA, División de seguridad de EMC, quien habló del valor de soluciones como Security Analytics y Silver Tail, y emplazó a modificar el reparto de los presupuestos, dividiendo a partes iguales lo invertido en prevención, monitorización y respuesta –más allá del antiguo paradigma que primaba la primera (en un 80%) y dejaba la monitorización y la respuesta en un 15% y en un 5%, respectivamente–; y, finalmente, Laura Iglesias Febrero, Gerente de Seguridad de la Información y Prevención del Fraude en Telefónica, que puso énfasis en la necesidad de disponer de mayores capacidades de operación y análisis, y apostó por una visión pragmática, donde se recurriera a determinadas fuentes –que no a todas las disponibles– que, combinadas, pudieran otorgar un verdadero valor a la organización. Asimismo, la representante de Telefónica explicó las ventajas de dos de sus soluciones: el framework de integración y enriquecimiento de datos para fuentes no nativas DADO, y la propuesta de integración de inteligencia artificial basada en redes neuronales SAQQARA.

Debate

Una vez finalizadas todas las intervenciones, y como es habitual en el formato de Espacio tiSec, se celebró un animado debate, en el que, entre otras cosas, se intentó responder a la pregunta de si compañías proveedoras de soluciones como las presentes podrán competir realmente con la oferta de una operadora, de la que, a su vez, no se sabe si está extrayendo toda la información que pudiera de su infraestructura de red. Laura Iglesias comentó al respecto que “si bien Telefónica no puede extraer todos los datos del tráfico por temas legales, sí puede inferir información tomando patrones o anomalías de tráfico. Un caso que ilustra esto fue el relacionado con la noche en que EE.UU. decidió el ataque a Irak. No se podía saber exactamente qué se hacía en el Pentágono ese día, pero el hecho de registrar un gran pedido de pizzas a altas horas de la noche justo cuando la situación con Irak era muy tensa indicaba una posible acción de ese tipo”. Por su parte, Fidel Pérez indicó que, aún conscientes de que las operadoras tienen la herramienta fundamental de ser los propietarios de las infraestructuras de redes y de ver los ataques directamente, para RSA no representan ningún problema, porque no es su idea competir con ellos. “Nosotros somos una empresa tecnológica que queremos convencer a Telefónica de que compren nuestros productos para construir sus servicios”. Por su parte, Marcos Serrano explicó que en el tema de la seguridad, al final, es mucho más importante ser un integrador, con independencia de si eres un operador o no.

Ante la problemática de los exiguos presupuestos de seguridad y de si no se está invirtiendo donde se debe y es necesario quitar inversiones de alguna infraestructura en particular, tanto los responsables de RSA como de Telefónica estuvieron de acuerdo en que, aún no diciendo que sea innecesario el antiguo esquema de seguridad relacionado con el perímetro (antivirus, IPSs, cortafuegos…), no es imperativo gastar todo el dinero en ello. “No son prescindibles las herramientas, pero sí la forma en que las hemos montado hasta ahora, como tres niveles de firewalls, por ejemplo, a los que luego les ponemos un filtro que funciona como un switch… No tiene sentido. Hay que ver lo que aporta realmente valor y cambiar lo que haya que cambiar”, comenta Iglesias Febrero.

Otras cuestiones planteadas se enfocaron hacia cómo valorar el análisis de información desde el punto de vista del comportamiento; el peso del componente técnico y humano para proporcionar una verdadera inteligencia en el proceso de ciberprotección; y cuáles son las fuentes externas y privadas de las que se nutren los servicios de vigilancia digital. En este último aspecto, Telefónica los utiliza únicamente para enriquecer los datos que provienen de fuentes abiertas; IBM se apoya en su laboratorio xForce y las comunidades suscritas a él; y RSA reconoce nutrirse también de fuentes del “underground”. SIC