Las amenazas multifacéticas, las soluciones tecnológicas complejas, las dificultades para contratar y retener personal de seguridad calificado y la necesidad de mantener las empresas en funcionamiento frente a la adversidad, son problemas que la gran mayoría de las organizaciones enfrentan a diario. Detectar y responder a las amenazas antes de que se produzca un daño real es un desafío que muchos no pueden afrontar. Esta brecha atraviesa organizaciones de todos los tamaños en todas las industrias.
Los proveedores de servicios de Monitoreo, Detección y Respuesta (MDR ) – Centro de Operaciones de Seguridad (SOC) han llenado este vacío. Ayudan a las organizaciones a superar la complejidad y actúan como una extensión del equipo de seguridad de una organización. Si bien hay muchos proveedores en un mercado ya saturado y también hay diferentes tipos de servicios que ofrecen, existen capacidades no negociables que deben formar la base de cualquier servicio MDR – SOC viable.
Para mejorar la efectividad de ese gasto, este documento tiene como objetivo guiar a las organizaciones en los aspectos prácticos que deben considerar al evaluar y seleccionar un proveedor de servicios, para garantizar que el resultado de seguridad esté a la altura de sus expectativas.
EN RESUMEN Para algunos, ceder la responsabilidad de algo tan crítico como la ciberseguridad a un tercero puede parecer como regalar las llaves del reino. Pero pocas organizaciones están en condiciones de hacerlo solas debido a los múltiples desafíos que implica. Los servicios de MDR – SOC – SOC reducen el costo de garantizar una seguridad sólida y ayudan a las organizaciones a reforzar su postura, no solo en términos de amenazas actuales, también contra amenazas emergentes. Al tener en cuenta las consideraciones prácticas descritas en este documento, las organizaciones estarán mejor informadas sobre lo que deben exigir de un proveedor de servicios de MDR – SOC – SOC.
Datos rápidos
• Los servicios de MDR – SOC deben brindar una respuesta proactiva al panorama de amenazas al que se enfrentan las organizaciones, ayudándolas a reducir la probabilidad de que un ataque en su contra tenga éxito y asegurando que incluso estén protegidas contra amenazas previamente desconocidas a medida que aparecen.
• Los servicios de MDR – SOC deben ayudar a las organizaciones a superar la complejidad de la tecnología en la que han invertido, brindando respuestas adecuadas a las amenazas detectadas. La capacidad de comprender el impacto de las amenazas multifacéticas en una organización en particular requiere la intervención de humanos y la inteligencia que pueden agregar a los eventos vistos. La capacidad de agregar inteligencia humana a las acciones automatizadas es un factor clave a considerar.
• Los servicios de MDR – SOC deben ser lo suficientemente completos para ingerir la telemetría de todos los activos que conforman entornos dinámicos que se extienden fuera del perímetro de una organización para brindar visibilidad sobre todo el patrimonio. Sin esa visibilidad, las organizaciones se quedan con puntos ciegos y están luchando una batalla perdida.
• Los servicios de MDR – SOC deben proporcionar contexto con respecto a los eventos para que las respuestas se personalicen para satisfacer las necesidades del entorno específico de una organización, teniendo en cuenta no solo su infraestructura tecnológica, sino también el entorno comercial en el que opera y las preocupaciones que tiene.
• Los servicios de MDR – SOC deben proporcionar informes que sean útiles y accesibles para todos en la organización del cliente, desde el personal técnico hasta el directorio, para brindar orientación a todos y brindar tranquilidad a los ejecutivos de que se están haciendo los mejores esfuerzos.
Este deseo de mejora medible, deja a muchas organizaciones lidiando con una serie de factores que hacen que la seguridad basada en resultados sea más difícil de lograr. Estos incluyen un panorama de amenazas complejo y sofisticado contra el cual es cada vez más difícil defenderse.
Pero no se trata solo de la complejidad de las amenazas a las que se enfrentan las organizaciones, también las tecnologías que tienen como objetivo mejorar las capacidades de detección y respuesta de las organizaciones, es difícil de implementar, administrar y así recibir los resultados deseados. Dado que muchas organizaciones luchan por atraer y retener profesionales de seguridad calificados, esto puede frenar seriamente sus esfuerzos para lograr los resultados que desean.
Estas circunstancias, han llevado al surgimiento de los servicios MDR – SOC, como se muestra en Fig. 01. Los proveedores de servicios de MDR – SOC ayudan a las organizaciones a reducir la complejidad y brindan acceso a recursos expertos, que actúan como una extensión de los equipos de seguridad de las organizaciones, reforzando sus capacidades de detección y respuesta a amenazas.
Los servicios de MDR – SOC ayudan a las organizaciones a resolver un conjunto definido de problemas para abordar sus mayores puntos débiles. Los proveedores de servicios de MDR – SOC trabajan junto con los recursos de seguridad del cliente, brindando acceso a una plataforma integrada y personalizada, puede ayudar a los clientes a reducir la complejidad para lograr el resultado de seguridad deseado. Construir un centro de operaciones de seguridad (SOC), incluido el costo de contratación y el costo del equipo necesario, es desalentador para cualquier organización y no siempre logra los resultados deseados. Los servicios de MDR – SOC están diseñados para ayudar con estos problemas.
El uso de los servicios de MDR – SOC brinda beneficios a una amplia gama de organizaciones, que van desde empresas más pequeñas que carecen de un SOC interno, hasta grandes multinacionales que buscan una forma mejor y más efectiva de detectar, analizar y mitigar amenazas así como mejorar sus posturas de seguridad con el tiempo.
1. El 82 % de las organizaciones informan que mejorar la detección y la respuesta ante amenazas es una prioridad.
2. Sin embargo, el 66% dice que la detección de amenazas y la efectividad de la respuesta son limitadas porque hay demasiadas herramientas.
3. El tiempo promedio de contención de amenazas en 2019 fue de 279 días, un 4,9 % mayor al de 2018.
4. El gasto en servicios superó todas las demás inversiones en ciberseguridad por primera vez en 2018.
5. Los servicios supondrán el 50% de los presupuestos de ciberseguridad en 2020.
6. El 25% de todas las organizaciones utilizará MDR – SOC para 2024, frente a menos del 5% en 2019.
7. Para el 40% de las organizaciones del mercado medio, MDR – SOC será el único servicio de seguridad administrado que utilicen.
8. El 78% de las organizaciones enfrentan una brecha interna de habilidades y experiencia en ciberseguridad.
9. 54% no puede obtener el valor total de sus inversiones en tecnología de ciberseguridad.
10. 47% de las organizaciones no pueden aprender o utilizar tecnologías complejas en todo su potencial.
11. 68% de las organizaciones sufrieron uno o más ataques exitosos contra endpoints en el último año11.
LA COMPLEJIDAD DIFICULTA LA SEGURIDAD
12. El costo por infracción de endpoints alcanzó los $9M USD en 2019 y más de $2M USD en 2018.
13. 55% afirman que carecen de la experiencia interna para administrar la protección de endpoints, 50% que carecen de recursos internos, y 41% informa que la seguridad de los endpoints es demasiado compleja para administrar internamente.
Como resultado, el 69% subcontrata la protección de los endpoints o planea hacerlo.
Frente a un panorama de amenazas complejo y en constante evolución, los servicios de MDR – SOC deben ayudar a las organizaciones a reducir la probabilidad o el impacto de los ataques exitosos, así como a garantizar que se mantengan al tanto de las nuevas amenazas y vulnerabilidades a medida que se descubren a través de la investigación, como se describe en principios 1 y 3.
Mantenerse a la vanguardia de las amenazas actuales, es una tarea abrumadora para cualquier organización. Muchos adversarios continúan explotando las vulnerabilidades de software conocidas públicamente para las cuales hay remediación disponible. El uso de vulnerabilidades antiguas requiere menos recursos y es más económico que desarrollar ataques de desde cero. Estos ataques continúan teniendo éxito porque, si bien la mayoría de los profesionales de la seguridad entienden que administrar parches y actualizaciones son tareas clave de seguridad, saber dónde priorizar la acción lleva mucho tiempo y es problemático. Esto se ve agravado por la falta de visibilidad de todos los activos que componen las redes extendidas y su nivel de preparación para la seguridad, lo que deja puntos ciegos sobre qué versiones de software se implementan, en qué ubicación, y en qué dispositivos.
- Reducir la probabilidad o impacto de ataques exitosos
- Proveer visibilidad 24/7 y cobertura sobre todos los activos de la organización
- Actualizarse continuamente con investigación sobre nuevas amenazas y vulnerabilidades
- Potencializar la tecnología con inteligencia humana para asegurar precisión y valor
- Proporcionar respuestas personalizadas al negocio, que reflejen el contexto y la causa de los ataques
- Escalar para ofrecer análisis técnico y perspectivas humanas en los entornos dinámicos
- Entregar resultados y reportes creíbles, accesibles y útiles
Cuando ocurre un ataque, las organizaciones se dan cuenta de que se vuelven más complejas y más difíciles de defender. Los vectores de ataque se dividieron históricamente en fuentes internas y externas, pero esas líneas se han vuelto cada vez más borrosas. Los empleados de phishing son un método de ataque preferido para los adversarios externos, que buscan usar un éxito inicial en hacerse un hueco en la red para profundizar en ella, moviéndose lateralmente en busca de mayores ganancias. Mantener un ojo vigilante en todas las etapas del ciclo de vida del ataque requiere un nivel de visibilidad que muchas organizaciones no pueden lograr por sí mismas.
Sin embargo, no son solo las vulnerabilidades existentes las que están siendo explotadas o los métodos tradicionales para obtener acceso de los que las organizaciones deben defenderse. El entorno de amenazas nunca es estático y algunos adversarios buscan mantenerse a la vanguardia mediante el uso de tácticas, técnicas y procedimientos que evaden las defensas y dejan pocos artefactos forenses. Se requiere un alto nivel de experiencia para detectar y recuperarse de tales ataques, y esto es algo de lo que carecen muchas organizaciones.
Ya con recursos insuficientes y jugando un juego de ponerse al día con los adversarios, los equipos de seguridad en estos días están descubriendo que tienen aún más en sus planes. Una encuesta reciente de profesionales de TI y seguridad en todo el mundo realizada por Check Point Software encontró que el 95% de los encuestados afirmó que la pandemia de Covid-19 ha creado desafíos de seguridad adicionales que deben enfrentar, incluido el acceso remoto seguro y un mayor uso de TI en la sombra, mientras que el 71 % informó que ha visto un aumento en las amenazas y ataques a la seguridad desde el brote. Esto está respaldado por datos de Google que muestran que todos los días se ven 18 millones de correos electrónicos de phishing y malware relacionados con Covid-19, lo que puede exponer errores internos del usuario, errores de configuración y otros problemas que pueden explotarse.
Como se muestra en la Fig. 03, las consecuencias de no prevenir ni responder a los ataques de seguridad pueden ser de gran alcance. Como consecuencia, los problemas de ciberseguridad están recibiendo más atención entre los altos ejecutivos que ven que se está convirtiendo en un imperativo empresarial. Sí, aunque se está convirtiendo en una prioridad principal, se espera que la mejora de la seguridad suceda junto con iniciativas de transformación y, por lo tanto, sigue sin contar con recursos suficientes.
Consecuencias de un ataque exitoso
Las consecuencias de un ataque exitoso se pueden resumir en cuatro amplias categorías:
FINANCIERA: incluidos los costos directos de una infracción, el impacto de la desconexión de los sistemas comerciales hace que no puedan generar ingresos y genera la necesidad de pagar una compensación a los afectados.
CUMPLIMIENTO: un incidente de seguridad que hace que una organización no cumpla con los mandatos normativos podría tener un impacto comercial muy grave. Poder demostrar que cuentan con los mejores controles de seguridad posibles es un aspecto clave para lograr y mantener el cumplimiento, y los servicios de MDR – SOC pueden ayudar con eso.
CONFIANZA Y REPUTACIÓN: aunque no es fácil de cuantificar, las infracciones pueden tener impactos duraderos en la reputación y pueden destruir la confianza en las marcas. Este es un riesgo significativo que se encuentra en el trasfondo de la mente de la mayoría de los líderes empresariales.
CONTINUIDAD DEL NEGOCIO: algunos tipos de ataques tienen el potencial de hacer que se apaguen sistemas completos, se desconecten o se destruyan datos. ¿Puede una organización sobrevivir a un incidente grave y seguir siendo viable si pierde el acceso a datos y aplicaciones críticas? Consideramos que MDR – SOC es casi un pilar de la TI y la resiliencia empresarial.
Cómo los servicios MDR – SOC pueden ayudar a abordar el panorama de amenazas
Uno de los servicios proporcionados por los proveedores de MDR – SOC es el escaneo continuo de la red y los endpoints, en busca de vulnerabilidades conocidas y exposiciones potenciales. Esto permite descubrir vulnerabilidades antiguas sin parches, aplicaciones no autorizadas, configuraciones riesgosas y dispositivos desactualizados. El objetivo es detectar las amenazas antes de que se conviertan en un incidente. Pero eso no siempre es posible. Actuando como un par de ojos extra, cuando se descubren amenazas, el proveedor de servicios ofrecerá su experiencia sobre el impacto y la gravedad de las amenazas detectadas, y proporcionará una guía de remediación personalizada.
Sin embargo, los servicios de MDR – SOC pueden ir mucho más allá de simplemente identificar y ayudar a remediar amenazas y vulnerabilidades que ya se conocen. La investigación continua es necesaria para descubrir y comprender las amenazas desconocidas y en evolución. Esto ha llevado al desarrollo de servicios de búsqueda de amenazas por parte de los proveedores de MDR – SOC, con el objetivo de obtener un panorama completo de todas las amenazas que afectan un entorno.
La detección de amenazas combina el uso de aprendizaje automático y técnicas de análisis de comportamiento, que profundizan en la información para encontrar indicadores de vulnerabilidad y actividad sospechosa, como el movimiento lateral a través de una red, combinado con el uso de inteligencia de amenazas para comprender las tácticas, técnicas y procedimientos utilizados por los atacantes.
Usando una mezcla de experiencia humana y automatización, el rol del talento humano es generar alertas sobre ataques que no son detectados por herramientas automatizadas. La búsqueda de amenazas brinda a las organizaciones una mejor oportunidad de detectar un ataque temprano para limitar el daño. La búsqueda de amenazas va de la mano con la inteligencia de amenazas, que recopila información sobre las últimas amenazas de fuentes internas y externas. Ayuda a las organizaciones con información del panorama de amenazas actual, que se pueden analizar para buscar las acciones más apropiadas a tomar. Sin embargo, muchas organizaciones luchan por obtener inteligencia procesable a partir de fuentes de datos sin procesar, ya que carecen de la capacidad de integrar la inteligencia de amenazas en su entorno tecnológico y no cuentan con suficiente personal experimentado ni procesos lo suficientemente sólidos como para poder utilizar la información para tomar decisiones informadas.
Los servicios de MDR – SOC ayudan a cerrar esas brechas al proporcionar la capacidad de cruzar fuentes de múltiples tecnologías y sistemas, y la experiencia para darles sentido. Esto es invaluable para las organizaciones que buscan reducir la probabilidad de ataques exitosos y garantiza que se tengan en cuenta las amenazas más recientes, con indicaciones sobre cómo se ve afectado su entorno específico.
Mejorando la tecnología con inteligencia humana
Como se ha señalado, obtener inteligencia procesable a partir de fuentes de datos sin procesar es una tarea ardua. El principio 4 del manifiesto MDR – SOC argumenta que es imperativo que la tecnología aumenta con la inteligencia humana para garantizar la precisión y el valor.
Las herramientas tecnológicas pueden ayudar considerablemente, pero la mayoría de las organizaciones no tienen el nivel de experiencia que se necesita internamente para hacer el mejor uso de ellas, lo que limita sus capacidades en la detección y respuesta de amenazas.
Aunque muchas tecnologías de detección y respuesta incorporan el aprendizaje automático o incluso la automatización de procesos robóticos, no siempre permiten que las organizaciones lleguen a una posición cómoda en términos de permitir que una máquina tome una acción disruptiva, cómo deshabilitar una cuenta o desconectar un sistema lo que podría afectar las operaciones comerciales.
Para la mayoría de las organizaciones, la detección y respuesta a amenazas no es una competencia central y enfrentan grandes brechas al tratar con algo en lo que no son expertos en absoluto. Prefieren centrarse en hacer avanzar el negocio.
Como muestra la Fig. 05, hay muchas áreas en las que la automatización por sí sola se queda corta. Los seres humanos son necesarios para mejorar los resultados.
FIG. 05. LO QUE LA AUTOMATIZACIÓN NO MEJORA PARA LA SEGURIDAD
- La automatización no es capaz de realizar ciertas tareas que el personal de seguridad de TI puede hacer.
- La automatización nunca reemplazará la intuición humana y la experiencia práctica.
- La automatización hará que los trabajos sean más complejos.
- La intervención humana es necesaria para la protección de la red.
- La automatización es importante para detectar ciertas amenazas.
Cómo los servicios MDR – SOC pueden ayudar a potenciar
la tecnología con inteligencia humana
El elemento humano es importante para agregar información y contexto a los controles existentes que tiene una organización o que brindan los servicios de MDR – SOC. Esto ayuda a priorizar dónde se deben tomar medidas primero para impulsar una investigación y respuesta de incidentes más rápida, teniendo en cuenta las necesidades de una organización en particular.
Los servicios de MDR – SOC pueden ayudar con los aspectos de la tecnología que pocas organizaciones pueden administrar por sí mismas. Pueden ayudar a cerrar las brechas haciendo que sus expertos trabajan como una extensión del equipo de seguridad para sus clientes, brindando la experiencia necesaria para dar sentido a las fuentes de datos. Según Gartner®, los proveedores de MDR – SOC están en posición de guiar a sus clientes porque entienden y asisten a una variedad de clientes día tras día y se benefician de esa diversidad de desafíos.
Estos recursos humanos se sienten atraídos por este tipo de trabajo, y pocos proveedores de MDR – SOC, si es que hay alguno, informan que tienen problemas para contratar y retener personal experimentado y calificado. El trabajo variado e interesante que ofrecen y la capacidad del personal para mejorar sus habilidades son atractivos reales para los profesionales que buscan trabajar en dichos entornos y es clave para que estos proveedores puedan atraer y retener talento. Esto convierte a un proveedor de MDR – SOC en un lugar ideal para trabajar en comparación con los equipos de seguridad dentro de las organizaciones de usuarios finales, ya que ofrece claras perspectivas de carrera y la oportunidad de ver que están marcando una diferencia real.
Como parte de esto, muchos proveedores de MDR – SOC emplean un gran ejército de investigadores y analistas de seguridad a los que se anima a dedicar aproximadamente el 50% de su tiempo a investigar las amenazas más recientes, además de adquirir una mayor experiencia práctica al proporcionar servicios a los clientes. Esto les ayuda enormemente a mantenerse al tanto del panorama de seguridad que cambia rápidamente y a garantizar que los consejos que brindan sean lo más precisos y valiosos posible. Los conocimientos que obtienen mediante la realización de investigaciones avanzadas pueden luego integrarse en los servicios que ofrecen, lo que permite mejorar sus servicios y cobertura con el beneficio de los conocimientos obtenidos de la inteligencia humana.
Cubra todos los activos y escale en entornos dinámicos
No se puede subestimar la importancia de garantizar que todos los activos de la organización se controlan activamente en todo momento. El principio 2 establece que los servicios de MDR – SOC deben proporcionar visibilidad las 24 horas del día, los 7 días de la semana y cubrir todos los activos de una organización. Esto se puede tomar junto con el Principio 6, que establece que un servicio de este tipo debe escalar para ofrecer análisis técnicos y conocimientos humanos en entornos dinámicos. Los dos pueden tomarse juntos ya que ninguna organización es una isla y debe extender su red para incorporar todo tipo de partes interesadas, desde empleados hasta servicios de la cadena de suministro, y esta red extendida puede terminar siendo muy amplia. En la mayoría de las organizaciones, abarca el uso de servicios en la nube, a menudo múltiples variaciones de los mismos y cualquier número de dispositivos remotos.
Como muestra la Fig. 06 (página anterior), la falta de visibilidad se cita como un factor clave para dificultar el trabajo de los profesionales de la seguridad en un SOC, ya que impide su capacidad para detectar y responder a todas las amenazas que enfrenta la organización.
Ninguna organización puede afirmar con confianza que ha logrado el 100% de seguridad. Incluso con las herramientas y los procesos adecuados, las organizaciones siguen siendo vulnerables si no se dispone de una visibilidad completa de todos los activos en todo momento. La realización de análisis de vulnerabilidades, la aplicación de parches a los sistemas de manera oportuna y la reparación de errores de configuración se consideran mejores prácticas, pero consumen mucho tiempo y rara vez se realizan universalmente. Además, si una organización se ve obstaculizada por la incapacidad de mirar a través de todo el patrimonio en las fuentes de todos los sistemas para proporcionar una visión holística del entorno, es probable que haya problemas que podrían convertirse en un talón de Aquiles: dispositivos con puertos abiertos. , errores de configuración, nuevas vulnerabilidades en el software recién implementado o vulnerabilidades críticas que se pasan por alto y que los piratas informáticos podrían aprovechar.
La visibilidad puede verse obstaculizada por muchas cosas. El miedo a ser golpeado por un ataque cibernético o la lucha por responder a un incidente ha llevado a muchas organizaciones a invertir en productos puntuales para llenar vacíos particulares, dejándolas luchando con la gestión de demasiadas herramientas que generalmente no están integradas, lo que dificulta la visibilidad. y creando puntos ciegos.
En algunos casos, los sistemas que se han implementado, como los sistemas de gestión de incidentes y eventos de seguridad (SIEM), no siempre han cumplido su promesa debido a las limitaciones en los datos que pueden ingerir y analizar, siendo las áreas problemáticas particulares la capacidad de identificar amenazas internas o amenazas utilizando puntos finales remotos como vector de ataque. Las tecnologías más nuevas que incluyen EDR, orquestación de seguridad, automatización y respuesta (SOAR) y análisis de comportamiento de usuarios y entidades (UEBA) se suman a la complejidad que las organizaciones deben administrar, lo que dificulta la visibilidad.
El uso generalizado de entornos híbridos se suma a los desafíos que enfrentan, tanto en términos de extender la red más allá del control de una organización como en el hecho de que muchos servicios en dichos entornos son proporcionados por proveedores de servicios externos, como los servicios SaaS. Muchos ejecutivos de seguridad son muy conscientes de los problemas de seguridad que pueden causar los servicios externos, como una supervisión insuficiente de quién accede a qué. Estos entornos híbridos eliminan el conveniente punto de demarcación de seguridad lógica en el límite de una red.
Cómo los servicios de MDR – SOC pueden ayudar con la visibilidad y la escala
El monitoreo continuo que ofrecen los proveedores de servicios de MDR – SOC es una parte clave para lograr visibilidad en todos los activos de una organización. Algunos han construido plataformas que escalan para ingerir fuentes de telemetría de múltiples fuentes.
Estos deben incluir datos de eventos de puntos finales, flujo de red, datos de paquetes y metadatos de sistemas de red, eventos de acceso y autenticación, fuentes de datos de servicios en la nube y datos sobre cualquier vulnerabilidad encontrada.
La escala también se refiere a la capacidad de agregar nuevas fuentes de nuevas tecnologías que se implementan e incorporar datos relacionados con vulnerabilidades y amenazas que se descubren, incluida información sobre herramientas, técnicas y procedimientos que utilizan los adversarios. Pero la escala puede referirse además a la cantidad de humanos necesarios para ejecutar el servicio de manera efectiva, que debe ser suficiente para analizar y dar sentido a volúmenes masivos de datos y para garantizar que se presenten informes oportunos y completos a los clientes.
Aquí es donde los servicios de MDR – SOC realmente pueden ayudar, ya que tienen los recursos humanos y la inteligencia disponibles para garantizar el desarrollo continuo del servicio y proporcionar la experiencia cuando sea necesario.
Fig. 07. LA IMPORTANCIA DE LA TELEMETRÍA
La palabra telemetría proviene del griego para remoto y medida. En términos de TI, se refiere a los datos que se recopilan desde múltiples puntos para brindar una vista completa de la actividad de la red. Al obtener una vista completa, las organizaciones podrán administrar mejor las amenazas y tomar decisiones más informadas con respecto a las acciones a tomar.
Sin embargo, el gran volumen de datos que deben recopilarse de múltiples fuentes hace que sea un desafío dar sentido a los datos. Esto se ve agravado por una variedad cada vez mayor de fuentes de datos, ya que los datos deben recopilarse desde puntos finales, redes, controles de seguridad y servicios en la nube. Los datos que deben recopilarse incluyen NetFlow, captura de paquetes, análisis forense de punto final y datos de registro y eventos para proporcionar información sobre dónde fluyen los datos, desde qué dispositivos y hacia qué direcciones IP. Un desafío clave es reducir todos esos datos a un flujo manejable para encontrar señales a través del ruido que se puedan usar para análisis específicos.
Está más allá de los medios de la mayoría de las organizaciones recopilar, normalizar y analizar fuentes de datos tan grandes, que es donde tiene sentido subcontratar a proveedores de MDR – SOC, algunos de los cuales manejan cientos de terabytes de información de telemetría por mes. Proporcionarán los ojos y los oídos que las organizaciones necesitan para comprender cómo les afectan las amenazas y vulnerabilidades descubiertas a través del análisis de dicha información, y cuál es la mejor respuesta a tomar.
La información contextual es clave
El principio 5 establece que los servicios de MDR – SOC deben proporcionar respuestas personalizadas que reflejen el contexto y la causa del negocio y del ataque.
Para ganar contexto, la información complementaria sobre un evento es esencial para mejorar las decisiones de seguridad tanto ahora como en el futuro y ayuda a garantizar que se tomen decisiones de seguridad mejores, más precisas y procesables que tengan en cuenta las circunstancias que no solo mejoran la postura general de seguridad, pero que respaldan los requisitos operativos de una organización.
La información contextual puede incluir cosas como la ubicación del usuario, la hora en que ocurrió un evento, la dirección IP, el tipo de dispositivo, la URL y la reputación de la aplicación, la información del valor comercial y el contexto de amenaza en el que se toma cualquier decisión. Al preparar un ataque, los adversarios a menudo realizarán una gran cantidad de investigación sobre su objetivo previsto y su infraestructura, como sistemas físicos y virtuales, sistemas operativos, aplicaciones, servicios, protocolos, usuarios, contenido y comportamiento de la red.
Al recopilar tanta información como sea posible, esperan obtener una ventaja sobre aquellos que buscan defender su red y sus activos. Para contrarrestar esto, una organización debe comprender todos los riesgos a los que podría enfrentarse, teniendo en cuenta el valor de los activos que intenta proteger y la probabilidad y la posible gravedad de un ataque. Deben tener en cuenta todos los posibles vectores de ataque, incluidos los puntos finales, las puertas de enlace web y de correo electrónico, los entornos virtuales, los servicios en la nube y los activos en los centros de datos locales.
Todos estos puntos generan alertas cuando se observan incidentes o eventos inusuales. Como resultado, muchos equipos de seguridad se ven abrumados por el volumen de alertas que reciben, una gran parte de las cuales son falsos positivos. Las organizaciones necesitan una forma de filtrar todas esas alertas para obtener información precisa y oportuna que sea relevante para su configuración organizacional y la industria en la que operan. Como muestra la Fig. 08, el mayor inhibidor de una respuesta efectiva es la falta de comprensión del contexto de los ataques.
FIG. 08. LA COMPRENSIÓN DE AMENAZAS IMPIDE MÚLTIPLES FUNCIONES
40%
La falta de claridad sobre qué indicadores de amenazas buscar es un obstáculo para la detección efectiva.
30%
La falta de comprensión de cómo operan los atacantes es un obstáculo para una respuesta efectiva.
68%
Los líderes empresariales no comprenden las amenazas persistentes y avanzadas y cómo pueden afectar a la empresa.
Cómo los servicios de MDR – SOC pueden ayudar con la visibilidad y la escala
El proveedor de servicios de MDR – SOC debe trabajar para comprender el entorno de una organización en particular y sus objetivos comerciales para que puedan reconocer el alcance y el contexto de un incidente en términos de cómo esa organización probablemente se verá afectada. Según Tim Femister, vicepresidente de infraestructura digital de ConvergeOne, el ritmo de cambio que están experimentando las organizaciones es asombroso y representa un gran desafío para sus clientes. Los profesionales de la seguridad deben tener un ser humano al final de la línea telefónica con quien puedan hablar cuando sea necesario y puedan ampliar la respuesta necesaria. Esta es una ventaja para todas las organizaciones que luchan por identificar información procesable de las alertas que ven y ayudará a brindar una respuesta personalizada a sus necesidades.
Muchas tecnologías utilizadas hoy en día incorporan una gran cantidad de contexto sobre lo que descubren en un entorno, junto con el aprendizaje automático para guiar acciones futuras en función de los patrones observados. La información que brindan proporciona un contexto que se puede aplicar a la criticidad de los activos y permite coordinar acciones para gestionar las inquietudes comerciales que enfrenta una organización en particular en relación con un incidente, como los requisitos legales y reglamentarios, el mantenimiento de la comunicación con el cliente y la evitación de interrupciones comerciales. y tiempo de inactividad.
La telemetría recopilada del entorno ampliado no solo muestra un ataque en un solo momento, sino que también se puede correlacionar con datos históricos e inteligencia de amenazas para agregar contexto a los eventos e identificar el tipo particular de ataque que está ocurriendo, como si o no, los datos corren peligro de ser robados y la probabilidad de que se produzcan daños considerables. Los proveedores de MDR – SOC brindarán orientación en función de lo que se está viendo y su posible impacto en una organización en particular para que se pueda tomar la respuesta más adecuada. En muchos casos, guiarán a los clientes a través del uso de libros de jugadas diseñados para responder a escenarios particulares, ayudando a una organización a adaptar la respuesta a sus necesidades particulares.
Los resultados y los informes deben ser creíbles
El séptimo principio del Manifiesto MDR – SOC establece que los servicios MDR – SOC deben ofrecer resultados e informes que sean creíbles, accesibles y útiles.
Hasta hace relativamente poco tiempo, la junta directiva de una organización rara vez estaba interesada en los informes de seguridad cibernética. Los ejecutivos de seguridad comúnmente informaron que apenas se les dio más de un elemento o párrafo en términos de informes trimestrales y aún así se prestó poca atención a lo que tenían que decir. Los tiempos han cambiado. La junta y otros altos ejecutivos se han dado cuenta de que la seguridad cibernética es tan importante como todos los demás riesgos que enfrentan las organizaciones, junto con el riesgo operativo, financiero, de reputación y legal.
De hecho, el riesgo de seguridad cibernética influye en todos estos. Un incidente de seguridad grave puede descarrilar las operaciones, tener graves consecuencias financieras, dañar seriamente la reputación y poner a una organización en riesgo de sanciones por incumplimiento de las normas a las que se enfrenta. Es vital para el éxito general de una organización que pueda proporcionar informes sobre seguridad que sean creíbles y útiles.
Abandonados a sus propios dispositivos, sin una visibilidad completa de su entorno, conocimiento de las amenazas más recientes y su probabilidad de afectar a su organización en particular, falta de personal para preparar informes creíbles e instantáneas puntuales, las organizaciones luchan por articular el estado exacto de asuntos. Esto significa que es difícil comprender el verdadero impacto de la ciberseguridad en las operaciones y tomar decisiones efectivas para garantizar la seguridad de sus operaciones en general.
Cómo los servicios de MDR – SOC pueden proporcionar credibilidad
Los proveedores de servicios de MDR – SOC trabajan para obtener un conocimiento profundo y detallado de la postura de seguridad de sus clientes y el impacto de la seguridad en su entorno. Están monitoreando constantemente ese entorno, escaneando todos los activos que componen una red. Responden, como mínimo, a cientos de eventos por año en nombre de los clientes. Una respuesta eficaz se basa en procesos bien pensados y repetibles que se desarrollan y perfeccionan constantemente según el tipo de incidente.
Debido a que construyen relaciones con los clientes y obtienen un amplio conocimiento de su entorno y necesidades operativas, pueden garantizar que los resultados observados en las investigaciones brinden al cliente el apoyo necesario para ayudar a justificar las inversiones que realizan. Pero los informes sobre los resultados vistos no pueden proporcionarse en un solo momento, ni solo bajo demanda.
Para obtener los mejores resultados, los informes deben generarse en un cronograma regular donde todas las partes puedan discutirlos para aprender de lo que sucedió para que puedan incorporar lo aprendido en los procesos diseñados para crear una mayor resiliencia con el tiempo. Según Peter Hoff, CISO de un gran minorista, ha habido un cambio en los últimos años, como se mencionó anteriormente, con respecto a la información que le interesa a la junta directiva de una organización. Hoff ha visto un cambio en la información sobre cuántos virus se detectaron en un período en particular y qué parches se han hecho, a discusiones más amplias sobre las implicaciones de incidentes de seguridad, como el phishing.
La solución MDR – SOC debe proporcionar los datos necesarios para los nuevos requisitos de generación de informes, algo que, según él, ha ido mejorando. Pero la información proporcionada en los informes no solo debe ser útil para informar al directorio. Más bien, debería ser útil para analistas, ingenieros y aquellos a cargo de mantener la red segura. La información debe ser útil para esas personas, dándoles la capacidad de responder rápidamente sin crear un cuello de botella.
FIG. 09. LA COMPRENSIÓN DE AMENAZAS IMPIDE MÚLTIPLES FUNCIONES
Según ENISA, la notificación eficaz de incidentes contribuye a la recopilación de datos fiables y actualizados sobre incidentes de seguridad de la información. Se asegura:
- Difusión rápida de la información entre las partes interesadas
- Análisis de amenazas
- Acceso a un amplio grupo de expertos sobre tales incidentes
- Identificación de buenas prácticas
- Respuesta coordinada
- Las autoridades nacionales pueden hacer un seguimiento de los administradores de infraestructuras en calidad de reguladores
RESUMEN DE CIERRE
El uso de la tecnología se ha convertido en una fuerza impulsora en los negocios, ayudando a impulsar la innovación y respaldando la necesidad de eficiencia y rentabilidad.
Pero invertir en tecnología no siempre es una panacea. En el área de detección y respuesta a amenazas de seguridad cibernética, la situación es complicada, al igual que la tecnología que se ha desarrollado para ayudar a las organizaciones a defenderse. Invertir solo en tecnología ya no es suficiente si una organización mide esas inversiones en términos de un entorno más seguro.
Los servicios de seguridad, informados sobre la mejor manera de proteger a las organizaciones y sus tecnologías, son esenciales. Los servicios de MDR – SOC responden a estas necesidades y están demostrando ser de gran ayuda para las organizaciones en sus esfuerzos por lograr sus objetivos de derrotar a los adversarios y protegerse del daño. Mirando debajo de las sábanas, hay una serie de capacidades clave que todos los servicios de MDR – SOC deben ofrecer si se quiere cumplir su promesa.
The IT Security Company
Joaquin Miranda
Sr. Director
CyberGard Data Services
M: +57.314.443.3978 | jmiranda@cybergard.com.co
Calle 100 No. 19-61 Piso 10
Bogotá. D.C., Colombia
www.cybergard.com.co