CIBERSEGURIDAD

Es hora de agregar un tercer pilar a su estrategia de seguridad … Inteligencia

Los recientes ataques globales de ransomware que han dominado las noticias y los titulares de televisión en el Reino Unido y Europa deberían ser un llamado a las armas para las organizaciones de todo el mundo. Cientos de miles de computadoras en más de 150 países se han visto afectadas y las organizaciones están claramente bajo asedio a medida que los ciberdelincuentes ejecutan campañas que se propagan rápidamente y causan daños. Pero, ¿por qué se han visto afectadas tantas organizaciones?
La mayoría de las organizaciones tienden a basar su estrategia de seguridad en una defensa en profundidad, que se define mediante la evaluación de riesgos. Dado que no todas las aplicaciones presentan el mismo nivel de riesgo en caso de verse comprometidas, un enfoque de defensa en profundidad (el primer pilar de la estrategia de seguridad) consiste en evaluar el riesgo y luego aplicar controles y protecciones en consecuencia. Por ejemplo, una aplicación dirigida a socios donde se comparte información financiera y de propiedad puede presentar más riesgo que una página web interna utilizada por RR.HH. para compartir información general de la empresa. En función de la importancia de la aplicación, los equipos de evaluación de riesgos determinan los requisitos de seguridad y colocan las defensas adecuadas.
Este enfoque funcionó durante un tiempo, pero las organizaciones pronto se dieron cuenta de que incluso las mejores defensas pueden ser pirateadas. Los adversarios tienen como misión navegar con éxito las pistas de obstáculos de productos puntuales en capas para robar, interrumpir o dañar lo que no es de ellos. En lugar de considerar únicamente lo que se debe proteger, las organizaciones también tuvieron que considerar lo que podría estar amenazando esos activos y agregaron un segundo pilar a las operaciones de seguridad: la vigilancia.
El objetivo de la vigilancia es detectar amenazas y responder a ellas. Esto ha demostrado ser un desafío, ya que una estrategia de defensa en profundidad ha dejado a muchas empresas con más de 40 productos y proveedores de seguridad en más de 40 silos. Además, dado que estos productos no están integrados, las organizaciones quedan solo parcialmente protegidas, enfrentando un desafío masivo de administración de datos, ya que cada capa de la arquitectura crea sus propios registros y eventos. Preocupante, pero lamentablemente como era de esperar, investigación reciente de ESG encuentra que el 42 por ciento de los profesionales de seguridad dicen que su organización ignora una cantidad significativa de alertas de seguridad debido al volumen, y más del 30 por ciento dice que ignoran más de la mitad. En la mayoría de los casos, son los operadores de seguridad dentro del Centro de Operaciones de Seguridad (SOC) los que se ahogan en estos datos mientras llevan a cabo la onerosa tarea de correlacionar manualmente registros y eventos para investigaciones y otras actividades.
En un intento por superar el desafío de la sobrecarga de datos y aliviar la pesada carga de los analistas, la gestión de eventos e información de seguridad, o ‘SIEM’, surgió como una forma de almacenar todos estos datos y agregar y correlacionar registros y eventos. El SIEM ha sido la herramienta elegida por los SOC para observar registros y eventos y determinar si son ruido, falsos positivos o amenazas reales que justifican la escalada. El Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) está encargado de detener las amenazas maliciosas, aprendiendo de ellas para asegurarse de que la defensa nunca vuelva a sufrir el mismo ataque.
Estos dos pilares nos han servido bien en un período de paz, cuando los temas eran excepciones. Sin embargo, cuando las “excepciones” ocurren cada 10 minutos, como ocurre con tanta frecuencia ahora, ya no pueden considerarse excepciones, sino ataques directos. Con una postura que se centra en manejar excepciones y reaccionar, los operadores de seguridad y los equipos de respuesta a incidentes no pueden mantenerse al día. Lo que se necesita es un enfoque proactivo para hacer frente a las amenazas. Esto comienza por comprender el movimiento y la evolución de los adversarios por geografía, industria vertical y, en última instancia, en lo que respecta a su organización específica.
Dado que los adversarios nos atacan con mayor frecuencia en múltiples frentes, es hora de agregar un tercer pilar a su estrategia de seguridad: la inteligencia. Utilizada para ayudarlo a comprender a su adversario, la inteligencia de amenazas se centra en el mundo fuera de del perímetro de la empresa. Examina un universo ilimitado de datos de amenazas globales para ayudarlo a ver lo que está sucediendo, analizarlo y tomar medidas. El monitoreo de amenazas le permite ser más proactivo y anticipatorio al perfilar no solo el ataque, sino también los atacantes que cambian rápidamente sus herramientas, técnicas y procedimientos (TTP) para evadir las tecnologías defensivas.
Con los flujos de trabajo basados ​​en inteligencia, los operadores de seguridad pueden utilizar estos conocimientos sobre los adversarios y cómo están evolucionando para enriquecer la vigilancia interna, centrándose en las amenazas relevantes y de alta prioridad y minimizando las alertas que son solo ruido o falsos positivos. Los equipos de seguridad pueden fortalecer las defensas enviando automáticamente inteligencia de amenazas relevante directamente a la red de sensores (firewalls, IPS, IDS, NetFlow, etc.) para crear y aplicar políticas y reglas actualizadas, y proteger proactivamente a la organización de futuras amenazas.
En tiempos de guerra, los líderes militares exitosos desarrollan su estrategia y la inteligencia se vuelve primordial. Durante los últimos meses ha quedado claro que ya no estamos en un período de paz. Los adversarios evolucionan rápidamente y ejecutan ataques dañinos a gran escala. Estoy bastante seguro de que cualquier general te diría que el poder cambia cuando conoces a tu enemigo. Con la inteligencia como el tercer pilar de su estrategia de seguridad, y la piedra angular de su defensa, puede conocer a su enemigo y cambiar de una postura de seguridad reactiva a una proactiva para proteger mejor su organización.
Escrito por Anthony Perridge, director regional de ThreatQuotient

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar