Entelgy Innotec Security, como partner de Amazon Web Services, provee servicios de seguridad gestionada a clientes que, como Fintonic, tienen infraestructura en la nube de AWS. Desde hace un año, la compañía del sector financiero cuenta con los servicios de detección y respuesta a ciberincidentes de la empresa de ciberseguridad. Esto ha aportado a Fintonic visibilidad sobre los eventos que tienen lugar en su arquitectura, lo que le está permitiendo anticiparse a los ataques y prevenir su impacto. Todo ello gracias al SmartSOC de Entelgy Innotec Security que, con su SIEM (Security Information and Event Management) as a service, monitoriza la nube de AWS a través de los servicios CloudTrail, Elastic Load Balancer y WAF.

El reto: falta de visibilidad ante riesgos y amenazas

Fintonic, con su infraestructura desplegada sobre la nube de AWS, necesitaba aumentar la capacidad de detección y respuesta a incidentes de seguridad. También quería tener visibilidad sobre las amenazas que afectaban a su arquitectura y que, hasta antes de contar con los servicios de Entelgy Innotec Security, era limitada y se basaba sobre todo en recursos internos.

De no haberse abordado el reto, el cliente habría tenido mucha menos agilidad en la detección y respuesta a la hora de enfrentarse a los riesgos de su infraestructura. Esto es así porque, cuando una compañía no hace una evaluación continua de sus amenazas, su capacidad de respuesta no es la necesaria, pues solo tiene constancia de un incidente cuando su estado es muy avanzado. Sin anticipación, los efectos negativos son muy elevados: pérdidas económicas, compromiso de datos e información, daño a clientes, a partners y al prestigio de la propia empresa, entre otros.

El SIEM es un software que facilita el análisis de cientos de eventos de seguridad por segundo. Sobre él se hacen correlaciones y se despliegan casos de uso o consultas con una intencionalidad. Se busca un patrón concreto, entender cuándo sucede un evento y generar alertas de seguridad que ayuden a detectarlo en el futuro. Además, Entelgy Innotec Security aporta recomendaciones correctivas en base a las lecciones aprendidas durante el proceso.

Del mismo modo, la empresa de ciberseguridad aplica su experiencia y conocimiento adquirido durante más de 20 años en el servicio y en diferentes clientes. Así, por ejemplo, tras haberse observado ataques IMDS (Instance Metadata Service) en otras compañías del mismo sector, Entelgy Innotec Security ha hecho un esfuerzo adicional para detectar este tipo de ataques de forma proactiva. Una amenaza específica en entornos AWS que permite, de forma sencilla, extraer datos muy sensibles del cliente.

Frente a este tipo de ataques y, desde su SmartSOC, la empresa es capaz de identificar a través de los logs de AWS peticiones de acceso a IMDS que hayan tenido un resultado satisfactorio, diferenciando entre peticiones legítimas, escaneos desde una aplicación automática o intentos de intrusión reales que buscan acceder a datos sensibles.

El resultado: notificación de incidentes críticos en 30 minutos

Fintonic cuenta ahora con un control constante de su plataforma basado en AWS, lo que le permite tener una visión más amplia y anticiparse a los riesgos y amenazas, actuando antes de que se produzca un incidente o disminuyendo su impacto y alcance cuando ha tenido lugar. Además, se hace detección de posibles intentos de explotación de ataques IMDS, una de las amenazas más comunes en los últimos tiempos.

Es posible resaltar la capacidad de actuación de Entelgy Innotec Security, que se comprometió desde el inicio del trabajo a notificar incidentes de seguridad críticos en un plazo máximo de 30 minutos activando, además, su equipo de Digital Forensics and Incident Response (DFIR) disponible 24x7. Esto ha ayudado a contener los incidentes con agilidad, coordinando a todos los equipos especializados del SmartSOC con el cliente.