El nuevo SOC Exprivia: entre tecnología y territorio

02/09/21

En este período, hablar de ciberseguridad es cada vez más común, aunque no siempre se habla de ello con pleno conocimiento de los hechos.

En esta ocasión pensamos en hablar de ello con Domenico Raguseo, en su calidad de director de la nueva Centro de Operaciones de Seguridad (SOC) de Molfetta.

¿Qué es un SOC? ¿Por qué abriste un SOC y luego, por qué en Puglia?

Un SOC es un centro para la prestación de servicios de seguridad. Un SOC se ocupa del monitoreo de eventos de seguridad los siete días de la semana y H24, administración de infraestructura, segmentación y microsegmentación, administración y gobernanza de identidades, identidades y accesos privilegiados, etc. Los SOC modernos también incluyen servicios proactivos, como programas de capacitación y concientización, pruebas de penetración y evaluación de vulnerabilidades (VAPT) y nuestro Centro también está equipado con un "Equipo de respuesta a incidentes de seguridad informática" (CSIRT). De hecho, incluso si la mejor defensa es la prevención, en caso de ataque, la disponibilidad de personal altamente especializado en poco tiempo marca la diferencia entre una tragedia y un daño marginal.

En general los SOCs están enfocados al perímetro de TI, en nuestro caso también tratamos con IoT y sistemas industriales, SCADA y PLC esto porque muchos de nuestros clientes pertenecen al mundo industrial y el futuro de la ciberseguridad está en el IoT.

No es de extrañar que uno de los casos de uso que más utilizamos esté relacionado con la ciberseguridad de los sistemas de videovigilancia. Tal y como nos enseña el caso Mirai, de hecho, deberíamos comprobar que los dispositivos IoT no se utilizan como base para futuros ataques o movimientos laterales.

Nuestro SOC también se utiliza como banco de pruebas, es decir, se utiliza para probar y mostrar a los clientes las tecnologías que producimos y utilizamos, así como casos de uso particulares (por ejemplo, MIRAI).

Exprivia cree firmemente en el valor de compartir, por lo que recopila, analiza y luego pone a disposición del público datos relacionados con ataques, incidentes y violaciones de la privacidad mediante la elaboración de un Informe sobre ciberamenazas en Italia cada tres meses.

Tenemos un interés particular en la digitalización y la innovación. ¿Qué importancia puede tener el aprendizaje automático (ML) en el contexto de la IA en relación con la inteligencia sobre amenazas cibernéticas?

Intentaré simplificar la respuesta. Todos sabemos que el término hacker se utiliza para identificar a una persona que, gracias a sus habilidades, es capaz de mejorar la resiliencia de un sistema digital o corregir sus vulnerabilidades a través de actividades específicas. El hacker malo, por otro lado, es el que intenta explotar las vulnerabilidades de los sistemas digitales en su beneficio.

Ahora, si los atacantes usan ML, los buenos también tienen que usar ML. Las posibles aplicaciones son muchas. Por ejemplo, ML se usa para identificar patrones de ataque o prevenir un accidente. Los ataques pueden llevarse a cabo durante meses o años y, por tanto, es importante poder identificar un indicador de compromiso (IOC) gracias al análisis rápido de grandes cantidades de datos.

Un campo de uso es el de la detección de anomalías. Los atacantes suelen utilizar diferentes metodologías, por lo que reconocer las IOC es cada vez más complicado. Gracias al ML, es más fácil identificar comportamientos "normales" y, en consecuencia, comprender comportamientos anómalos.

Comprender qué tráfico es normal y cuál no es uno de los usos más comunes del aprendizaje automático.

En Tecnología Operativa (OT) e Internet de las Cosas (IoT) es muy común recurrir a la tecnología de Detección de Anomalías basada en análisis de comportamiento (UBA - User Behavior Analitics).

También en Vulnerability Assessment y Penetration Testing es posible utilizar la Inteligencia Artificial: por ejemplo, existen herramientas que enseñan a utilizar técnicas de Inyección SQL, utilizadas para atacar aplicaciones que gestionan datos a través de bases de datos relacionales utilizando el lenguaje SQL.

Además, existen herramientas de aprendizaje automático que pueden identificar las vulnerabilidades más probables a explotar según el software.

Sin embargo, no debemos olvidar la ciberseguridad de los sistemas de Inteligencia Artificial: en este caso estamos hablando de Inteligencia Artificial Adversarial. De hecho, si los sistemas de IA funcionan con datos incorrectos, no podemos estar seguros de que la IA se comporte de la manera que queremos.

¿Puedes explicarnos el uso de las redes de cámaras u otros objetos para realizar ciertos tipos de ataques, como Mirai?

Hablemos de IoT por un momento y luego llegamos a Mirai. El mercado aborda el problema de la IoT pensando en el dispositivo que está comprometido. Si tengo una red de cámaras, por ejemplo, creo que el servicio prestado puede verse comprometido. En verdad, este es solo un aspecto del problema.

Hay dispositivos de todo tipo en la red, desde cámaras hasta relojes, desde lavadoras hasta refrigeradores, pasando por ropa elegante. Esto significa que una gran cantidad de objetos se utilizan potencialmente para realizar ataques no directos al servicio prestado por los propios objetos. También existen herramientas que ayudan a encontrar información sobre objetos en la red sin costos excesivos y esto facilita a los atacantes.

Un ejemplo son las cámaras de videovigilancia. El ataque Mirai utiliza las cámaras comprometidas (que mientras tanto siguen funcionando correctamente) pero está dirigido a otros servicios no relacionados con el funcionamiento de las cámaras. Los bots instalados en las cámaras sirven para hacer otras cosas, sin notar el daño real. El problema con el IoT es que existen miles de objetos con muy baja seguridad que, por ejemplo en el caso de Mirai, se pueden utilizar para realizar un ataque Distributed Denial Of Service (DDOS) hacia diferentes objetivos.

Ciertamente es cierto que existen ciber peligros y riesgos asociados a nuestro modelo de sociedad, pero también es cierto que estos se suelen utilizar como excusa.

A menudo hablo de ciberseguridad con personas de todo tipo.

A veces sucede que se cometen errores, otras veces te enfrentas a alguien mejor. A veces, la diferencia entre las dos situaciones es muy leve y, por lo tanto, es mejor esperar y comprender.

Cuando se trata de seguridad de IoT, por otro lado, se deben abordar dos áreas macro.

El primero es la gobernanza del IoT. A menudo, el problema de seguridad depende de la mala división de responsabilidades dentro de la organización. Asumir la responsabilidad de la seguridad de las cámaras, por ejemplo, tiene un costo; por lo tanto, alguien no solo debe asumir la responsabilidad, sino también asumir la carga del costo. No hay seguridad sin costo alguno.

El segundo punto se refiere al mercado. Si se venden dispositivos como refrigeradores conectados a Internet al consumidor en general, no se puede esperar que el usuario comprenda nada sobre cibernética. La empresa de fabricación debe hacerse cargo de la seguridad y certificación de estos productos. Lo más probable es que esto aumente el costo del producto, pero no creo que se pueda prescindir.

Otro tema que nos importa mucho es el relacionado con la investigación y la formación. ¿Cuáles son las relaciones entre su SOC y las universidades, escuelas y centros de investigación?

Nuestro SOC se inauguró en la sede de Exprivia en Molfetta, pero nuestro personal se distribuye por todo el mundo. Tener la oportunidad de colaborar con universidades, tanto para actividades de investigación. tanto en la selección de talentos, es una de nuestras prioridades.

La industria siempre tiene el triste problema de estar bajo la amenaza del retorno de la inversión, por lo que, considerando que los atacantes invierten en investigación y desarrollo, nosotros también debemos hacerlo.

También participamos en varios proyectos con universidades, entre ellos ECHO, un proyecto de la Unión Europea que tiene como objetivo aumentar la capacidad de ciberresiliencia de los países miembros. Todo esto nos ayuda a reducir la brecha entre atacantes y defensores.

Exprivia también ha puesto en marcha una Academia que nos permite, por un lado, reubicar al personal con nuevas habilidades útiles para mantenerse en el mercado laboral, y por otro, formar nuevo personal.

Con la introducción de la Inteligencia Artificial, los tiempos para el ataque y la identificación de una estrategia de defensa son cada vez más cortos. ¿Cómo puedes usar la IA para defenderte?

La IA se utiliza principalmente para identificar un ataque y sugerir los mejores movimientos para responder. La IA puede ayudar pero hoy todo depende también de la tecnología utilizada en los sistemas, de las personas y su preparación y de muchos otros elementos.

En general, sin embargo, debemos hablar de un accidente y no de un ataque.

Cuando hay un incidente, luego de un primer análisis ya es posible entender si un ataque está en curso y la IA puede ayudar tanto en el análisis como en la elaboración de contramedidas adecuadas en el menor tiempo.

Sin embargo, debemos recordar que, por lo general, no existe un tipo de defensa válido siempre y para todo tipo de ataque, por lo que no debes cometer el error de pensar que la IA es la solución a todo tipo de ataque. Afortunadamente, sin embargo, existen herramientas que utilizan la Inteligencia Artificial de diferentes formas.

En general, la seguridad cibernética es muy compleja y depende de muchos factores; La inteligencia artificial puede ayudar, pero también puede resultar inútil o peligrosa. Mucho depende todavía de la capacidad de las personas.

¿Cuáles son las nuevas soluciones de ciberseguridad?

Hoy se habla mucho de la microsegmentación, una tecnología muy útil gracias a la cual dos usuarios pueden hablar solo sobre canales específicos, sobre servicios particulares o sobre temas particulares, no sobre todo.

El cambio a la nube es también uno de los temas que aún se discuten mucho, pero que a menudo se comprenden poco; La nube ciertamente puede ayudar a mejorar la seguridad, pero lo importante es que se utilice correctamente.

Domenico, hiciste una buena descripción general del SOC y las tecnologías que se pueden usar, pero todavía tenemos una curiosidad, así que, para cerrar, volvamos a la primera pregunta: ¿por qué en Puglia?

Exprivia, una empresa fundada por su actual presidente Domenico Favuzzi, que cotiza en la bolsa de valores y con unos 2400 empleados, tiene su sede en Puglia.

Entonces nos pareció lo más razonable abrir el SOC en esta región para contribuir también al desarrollo del territorio. Está claro que brindamos servicios en todas partes, en Italia y en el extranjero; gran parte del personal es de Puglia, pero los profesionales que trabajan con nosotros provienen de diferentes regiones, y también trabajan de forma remota y no con clientes italianos y extranjeros.

Alessandro Rugolo, Maurizio D'Amato, Simone Domini

Para obtener más información:

- Exprivia - Futuro. Perfecto. Sencillo

- Informe Exprivia Threat Intelligence 2T 2021

- Ciberseguridad: ¿que es un SOC? - Defensa en línea

- Red ECHO

- ¿Qué es el sistema SCADA? - Conceptos básicos de SCADA - InstrumentationTools

- ¿Qué es PLC? Controlador lógico programable - Unitronics (unitronicsplc.com)