Los equipos de seguridad ahora tienen más datos IP a su disposición que nunca. Todos los días, los analistas ingieren fuentes de enriquecimiento, datos de ubicación, puntuaciones de reputación, telemetría e inteligencia sobre amenazas de un creciente ecosistema de proveedores y plataformas.
Sin embargo, a pesar de esta gran cantidad de información, muchas organizaciones todavía enfrentan desafíos fundamentales. Se trata de examinar el ruido para comprender quién está detrás de la propiedad intelectual y qué medidas tomar.
Caso en cuestión: una encuesta reciente de la industria realizada por Spur Intelligence a más de 200 profesionales de la seguridad encontró que la infraestructura de anonimización, incluidas las VPN y las redes proxy residenciales, ahora se encuentra en casi todos los incidentes de seguridad.
Al mismo tiempo, la encuesta también reveló que muchas organizaciones admiten que carecen de la visibilidad, el contexto y los flujos de trabajo operativos necesarios para tomar decisiones efectivas basadas en datos de propiedad intelectual.
Los hallazgos respaldan una tendencia más amplia de la industria hacia un enfoque reactivo para gestionar los riesgos basados en la propiedad intelectual.
El auge de la infraestructura de anonimización
La amplia disponibilidad de servicios VPN, redes proxy residenciales y otras herramientas de anonimización ha cambiado fundamentalmente la forma en que operan los ciberdelincuentes. Los servidores proxy residenciales dirigen el tráfico a través de las conexiones de Internet de los consumidores, lo que permite que la actividad maliciosa se mezcle con el comportamiento normal del usuario. Los servicios VPN brindan una capa adicional de anonimato y al mismo tiempo le permiten cambiar rápidamente entre ubicaciones e identidades de red. Como resultado, los enfoques tradicionales basados únicamente en la reputación y las listas de bloqueo estáticas se están volviendo menos efectivos.
Los equipos de seguridad se enfrentan cada vez más a ataques en los que la propia dirección IP proporciona poca información directa sobre la intención.
Según una investigación de Spur, casi la mitad de las empresas informaron un impacto operativo o financiero significativo debido a intentos de apropiación de cuentas o uso indebido de credenciales a través de VPN o servidores proxy residenciales. En estos incidentes, la dirección parece ser residencial, pertenece a un ISP legítimo y es posible que no haya mostrado previamente una reputación maliciosa a pesar de ser parte de una campaña de ataque activa.
falta de contexto
Uno de los obstáculos más importantes a los que se enfrentan las operaciones de seguridad en la actualidad es la falta de información contextual que ayude a determinar quién está realmente detrás de la conexión.
La investigación de Spur respalda esta observación: casi la mitad de los encuestados afirma que la falta de contexto es el mayor desafío para los equipos de seguridad que analizan la actividad IP.
Si bien los atributos básicos de IP, como la ubicación geográfica y la propiedad de la red, siguen siendo útiles, a menudo no explican la intención detrás de la actividad.
Los equipos de seguridad requieren cada vez más capas adicionales de contexto, incluida la clasificación de la infraestructura, atributos de VPN y proxy, métricas de comportamiento, patrones de uso históricos, correlación de dispositivos y sesiones, y señales de automatización y bot.
Sin este contexto, los analistas se ven obligados a tomar decisiones basadas en información incompleta. Con el contexto, puedes entender no sólo de dónde proviene el tráfico, sino también por qué representa un mayor riesgo.
La seguridad reactiva sigue siendo la norma
Aunque las organizaciones reconocen el valor de la inteligencia de propiedad intelectual, muchas todavía la utilizan principalmente durante las investigaciones. El enriquecimiento de IP generalmente se aplica después de que se haya generado una alerta y ayuda a los analistas a revisar eventos pasados e investigar incidentes. Si bien este enfoque aporta valor, limita el impacto estratégico de la inteligencia IP.
Cada vez más equipos de seguridad buscan formas de incorporar antes la inteligencia IP en sus procesos de toma de decisiones. En lugar de simplemente utilizar datos de IP para investigar incidentes, usted desea influir en los resultados de seguridad en tiempo real.
La investigación de Spur examina esta dicotomía, y la mayoría de los encuestados indican que aprovechan la inteligencia IP para casos de uso básicos, pero quieren que sus flujos de trabajo sean más predictivos y estén basados en inteligencia. Los ejemplos incluyen la aplicación de inteligencia IP para autenticación adaptativa, control de acceso basado en riesgos, flujos de trabajo antifraude, aplicación automatizada de políticas y puntuación de riesgo de sesión.
El objetivo de aplicar proactivamente la inteligencia IP es tomar mejores decisiones antes de que un incidente se agrave.
Los riesgos internos de la anonimización que se pasan por alto
Si bien las amenazas externas reciben la mayor parte de la atención cuando se habla de infraestructura anónima, muchas organizaciones enfrentan un segundo desafío más cercano. Las políticas de traer su propio dispositivo, las aplicaciones de consumo y el uso de VPN personales han aumentado la cantidad de formas en que el tráfico anónimo puede ingresar a los entornos corporativos. Algunos actores de estados-nación se hacen pasar por empleados regulares en entornos de trabajo remoto altamente intensivos.
Las organizaciones suelen tener una visibilidad limitada sobre si los empleados utilizan servicios de proxy, redes residenciales o herramientas VPN para acceder a los recursos corporativos. Esto crea puntos ciegos que las estrategias de seguridad tradicionales centradas en el perímetro no pueden abordar.
La investigación de Spur respalda esta preocupación, con un sorprendente 61% de los encuestados que informaron que estaban algo, ligeramente o nada preocupados por la posibilidad de que su red interna se viera comprometida a través de servidores proxy residenciales en los dispositivos de los empleados o aplicaciones de los consumidores.
A medida que las arquitecturas Zero Trust continúan madurando, los equipos de seguridad deben tratar la actividad del proxy interno como una señal de riesgo potencial, en lugar de asumir que los usuarios y dispositivos confiables implican automáticamente un comportamiento de red confiable.
Cuantificar la eficacia de la inteligencia de propiedad intelectual
Muchas organizaciones invierten en tecnología de inteligencia IP, pero tienen dificultades para cuantificar su eficacia. Históricamente, el éxito se medía a menudo mediante métricas como amenazas bloqueadas y cobertura de enriquecimiento. Sin embargo, es posible que estas métricas no capturen completamente el valor operativo.
La investigación de Spur muestra que las organizaciones aún no están maduras en la forma en que miden sus esfuerzos de inteligencia de propiedad intelectual, y un tercio de las empresas no lo miden en absoluto.
Los líderes de seguridad se centran cada vez más en resultados como el tiempo de investigación, los falsos positivos y el costo. Estas métricas se alinean más estrechamente con el impacto empresarial y ayudan a justificar las inversiones en capacidades de inteligencia de seguridad.
Dado que los presupuestos siguen siendo limitados, demostrar mejoras operativas mensurables se vuelve cada vez más importante.
El futuro de la inteligencia IP
La próxima fase de la inteligencia de propiedad intelectual probablemente estará definida por tres tendencias. En primer lugar, las organizaciones exigirán un contexto más rico en lugar de grandes cantidades de datos sin procesar. Los analistas necesitan atribución, conocimientos de comportamiento e inteligencia de infraestructura, así como métricas adicionales.
En segundo lugar, la automatización se convierte en una prioridad. Los equipos de seguridad desean cada vez más integrar la inteligencia IP directamente en los flujos de trabajo de detección, prevención y control de acceso, en lugar de aislarla dentro de las herramientas de investigación.
En tercer lugar, la inteligencia de propiedad intelectual estará más estrechamente vinculada a la toma de decisiones. En lugar de servir sólo como una capa de enriquecimiento, sirve cada vez más como base para los controles de seguridad basados en riesgos.
Las organizaciones exitosas irán más allá de simplemente identificar IP sospechosas y se centrarán en comprender la infraestructura, el comportamiento y la intención detrás de ellas. En un entorno donde la infraestructura anónima es un elemento cotidiano del cibercrimen, la capacidad de dar el salto de la detección a la decisión determina en última instancia la eficacia con la que los equipos de seguridad pueden responder a las amenazas modernas.
Source link
