Com a membre del servei de vigilància digital i intel·ligència d’amenaces de GMV, el meu objectiu és poder explicar-te breument en què consisteix el treball i capacitat de l’equip, en què podem ajudar i els beneficis que proporcionem als nostres clients.

Potser et preguntis qui som. Formem un grup polifacètic i multidisciplinari de tècnics i no tècnics especialistes en ciberseguretat. Som enginyers de telecomunicacions, graduats en informàtica i ciberseguretat… però també tenim una criminòloga, una documentalista, una filòloga, un advocat... Tots tenim el mateix objectiu: observar quines amenaces poden afectar els nostres clients, analitzar-les i alertar-los abans que siguin atacats per cibercriminals.

Per fer-ho, tenim dos equips: vigilància digital i intel·ligència d’amenaces.

Vigilància digital: són els observadors del cibercrim. L’equip es posa al lloc de l’atacant per monitoritzar, entre altres activitats, el següent:

• Llocs per on es mouen els criminals (fòrums de la Dark i Deep web, Telegram o Discord, etc.)

• Campanyes que s’estan realitzant contra els interessos dels nostres clients

• Possibles danys econòmics, reputacionals i de negoci

• Bretxes de dades que puguin proporcionar un accés inicial a grups criminals

Són la força reactiva de la unitat. Amb això, poden alertar els nostres clients de potencials amenaces. El millor és veure-ho amb algun exemple real:

Durant les tasques contínues de monitoratge del panorama criminal amb ajuda de plataformes i eines especialitzades d’intel·ligència d’amenaces (ja siguin de proveïdors líders o desenvolupades internament per a una millor adaptació a l’entorn dinàmic de la ciberseguretat), és habitual detectar possibles exposicions o bretxes relacionades amb tercers que puguin suposar un risc per a la seguretat dels nostres clients. Davant d’aquest tipus de troballes, l’equip analitza i valida de manera àgil la informació recopilada per identificar possibles credencials compromeses o altres vectors que puguin ser aprofitats per actors maliciosos. Aquest enfocament proactiu permet anticipar-se a potencials atacs d’alt impacte, com ransomware, accessos no autoritzats, ciberespionatge o sabotatge, protegint així els actius i la integritat dels nostres clients.

S’alerta el client en un breu espai de temps perquè pugui detectar, prevenir o resoldre aquest possible impacte en el seu negoci i evitar pèrdues econòmiques, danys de reputació, conseqüències legals, etc.

Això és gràcies al fet que es disposa de diverses eines especialitzades i pròpies, però sobretot a un equip altament qualificat que explota diversos tipus de fonts com ara fonts obertes (OSINT) i fonts humanes (HUMINT), entre d’altres.

Intel·ligència d’amenaces: l’altra part de l’equip són els estudiosos de les ciberamenaces, analitzen els esdeveniments observats per l’equip de Vigilància digital per poder-les interpretar, avaluar i contextualitzar per dotar d’informació executable (intel·ligència) al client (decisor).

Coneixen com actuen els grups criminals, els seus mètodes (TTP), com es mouen pels sistemes de les víctimes, què busquen amb cada acció, els seus orígens, la seva infraestructura, els malware més utilitzats, etc. També tenen coneixement de les tendències, amenaces i esdeveniments geopolítics que modelaran els riscos i el panorama criminal per als clients. Per exemple, el canvi en el paradigma comercial mundial pot motivar campanyes de ciberespionatge dels Estats per obtenir informació de rivals, cal estar preparat.

Això és fonamental, ja que els atacants han adaptat el seu modus operandi i capacitats a noves tecnologies i context global (cloud, IA, noves capacitats de detecció com ara EDR o XDR), per la qual cosa el nostre equip també ha d’adaptar els seus informes de ciberintel·ligència a aquestes tendències perquè la presa de decisions en els clients vagi enfocada a ser tan precises com sigui possible.

També s’identifiquen campanyes actives d’atacs que afecten sectors i regions rellevants per als nostres clients. Per exemple, davant la detecció de vulnerabilitats explotades en tecnologies comunes, com ara programari VPN, s’analitzen les tècniques emprades, exploits, els possibles actors i els mètodes d’atac (TTP). Si el client utilitza aquesta tecnologia, se n’avalua l’exposició i es generen ràpidament indicadors d’atac (IOA) per facilitar-ne la detecció i resposta primerenca, anticipant l’amenaça i reduint així el risc d’impactes com ara robatori de dades o pèrdues econòmiques.

L’objectiu és elaborar documents amb informació operativa i estratègica perquè els departaments de ciberseguretat dels nostres clients puguin prendre decisions més eficaces (prioritzar vulnerabilitats, guiar exercicis de seguretat ofensiva, monitoritzar tecnologies explotades, elaborar regles de detecció específiques, etc.).

Les capacitats de tot l’equip van més enllà. Es disposa de capacitat per col·laborar amb equips forenses i de threat hunting per entendre millor una amenaça, detectar-la i corregir-la en menys temps (reduint l’impacte), es poden proporcionar modus operandi criminals reals als equips de pentesting i Red Team per ajustar millor les seves proves d’intrusió a la realitat criminal i preparar d’una manera més realista el Blue Team, fins i tot es pot donar suport a la tasca dels SOC (Centre d'operacions de seguretat) aportant intel·ligència sobre alertes o col·laborant per alimentar les eines de detecció.

Com has pogut observar, l’equip aconsegueix que els nostres clients estiguin més segurs gràcies al fet que aconseguim anticipar-nos a l’amenaça, la qual cosa ens ha permès ajudar empreses i entitats de molts sectors: banca, telecomunicacions, organismes governamentals, etc. A GMV estem compromesos amb la seguretat i ens esforcem a millorar cada dia.

Autor: Daniel Juanes Fernández