Estamos rodeados de datos, pero ¿sabemos sacarles partido? En las conversaciones que tengo a menudo con clientes me da la sensación de que no todos los equipos de tecnología explotan la inteligencia del dato de la misma manera. Algo que, al menos desde la perspectiva del vector web, es fundamental para reaccionar de forma temprana ante un incidente. Cada petición HTTP, cada log, cada patrón de comportamiento es una pieza de información valiosa que, si se analiza de forma adecuada, permite detectar y frenar amenazas en fases muy iniciales.
El tiempo es clave a la hora de reducir las pérdidas financieras o reputacionales asociadas a un ciberataque. Y si no que se lo digan a Marks & Spencer que, a pesar de haber reaccionado con agilidad al último incidente ocurrido esta primavera, ha perdido cientos de millones de libras. Un ataque de ransomware dejó inhabilitado de manera temporal su servicio de click and collect y los sistemas de gestión de inventario. ¿Podrían sus técnicos haberlo minimizado interpretando los primeros datos? ¿Hubo alguna anomalía previa que pudiese anticipar el ataque? No podemos saberlo, pero seguro que podemos ponernos en los zapatos de ese equipo técnico enfrentándose a una enorme cantidad de información que analizar.
Esto es algo que en Transparent Edge tenemos muy presente y por eso facilitamos los análisis al máximo a través de nuestro panel de control. A continuación, comparto tres buenas prácticas con ejemplos reales de nuestra plataforma:
- Convertir los logs en insights accionables
Las organizaciones generan volúmenes ingentes de registros: accesos, errores, transacciones, picos de tráfico… El reto no es acumular logs, sino transformarlos en inteligencia.
La clave está en implementar pipelines de análisis en tiempo real, capaces de correlacionar eventos dispersos para extraer patrones de comportamiento que puedan predecir un riesgo. Un pico anómalo de peticiones procedentes de una misma localización puede llamar la atención, pero será difícil de interpretar si se observa de forma aislada. Sin embargo, si dicha anomalía se cruza con el hecho de que las páginas de destino son poco comunes, podría ser la señal que anticipe un ataque de crawling.
El clonado de una web no solo repercute en un descenso de los ingresos, sino también en una pérdida irremplazable de la confianza del usuario. Los CISO y CTO deben asegurar que sus equipos cuentan con herramientas de observabilidad avanzada que conviertan los logs en indicadores de seguridad comprensibles.
- Aplicar machine learning a la reacción temprana
El entorno web cambia cada segundo. Las firmas estáticas y las reglas manuales ya no son suficientes para identificar, por ejemplo, el comportamiento evasivo de algunos bots. Aquí es donde la inteligencia artificial y el machine learning marcan la diferencia.
El uso combinado de estos modelos y la analítica avanzada, permite detectar desviaciones en los patrones normales, sin intervención humana. Esto elimina la necesidad de contar con analistas disponibles 24/7, ya que se pueden definir niveles de sensibilidad para que el propio sistema active medidas preventivas cuando identifica un posible riesgo.
La recomendación es apostar por soluciones que permitan reaccionar automáticamente a anomalías en el tráfico porque es habitual que los incidentes ocurran fuera del horario de oficina. Uno de los últimos casos en los que hemos trabajado, recibía indiscriminadamente ataques de ticket scalping en un rango horario entre las 23:00 h y las 2:00 h de la mañana, ¿cuánto cuesta tener un técnico 24×7?.
- Personalizar las medidas en base a los datos
La cuestión ya no es si te han atacado o no, sino cuándo va a ser el próximo ataque y si verdaderamente tu infraestructura está preparada. En la tarea de prevenir, también tiene mucho que ver el dato ya que al realizar un análisis de un incidente puedes obtener información valiosa para ajustar configuraciones o aplicar reglas más estrictas o más laxas.
Uno de nuestros clientes recibía ataques DDoS regularmente en uno de sus sitios, pero no quería activar determinadas herramientas para no perjudicar a los usuarios legítimos. Nuestro equipo técnico propuso establecer un rate limit lo suficientemente amplio para aceptar el tráfico legítimo, pero lo suficientemente restrictivo para bloquear aquellas peticiones que estaban haciendo un uso irresponsable de la web.
La capacidad de adaptar las configuraciones a cada caso específico y hacerlo, además, con el asesoramiento de un equipo experto es importante en una estrategia de ciberseguridad si no quieres renunciar al rendimiento. Los responsables de tecnología y seguridad deben valorar proveedores y partners que integren estas características en su oferta.
Estos tres ejemplos evidencian que la ciberseguridad web ya no es estática – si es que algún día lo fue-, sino que evoluciona y se adapta constantemente gracias a la inteligencia del dato.
Solo las empresas que sepan transformar esa inteligencia en una ventaja competitiva, lograrán navegar el nuevo panorama de ciberamenazas. En Transparent Edge, nuestra misión es simplificar al máximo la observabilidad e interoperabilidad de la plataforma para que los equipos de tecnología y seguridad puedan proteger su sitios y aplicaciones web fácilmente.
Transparent Edge
Chief Commercial Officer
