5 minute read
Gestión de datos de seguridad
Pedro Castillo
CTO
Advertisement
DEVO
devo.com
Gestión de datos de seguridad
Detectar, investigar y responder Actualmente se generan más variedades de datos, procedentes de más fuentes, que nunca y, además, la curva de crecimiento continúa con paso firme su aceleración. Toda esta información (registros operativos y financieros, datos de clientes, etc.) es, además, un claro y deseado objetivo para los ciberdelincuentes. De esta forma, cada vez es mayor el número de empresas que deciden establecer un programa efectivo, y de mejora continua, en el ámbito de la seguridad.
Uno de los componentes más importantes de un programa de ciberseguridad empresarial es disponer de un SOC (security operations center), que cuente con un equipo de analistas con las habilidades y herramientas necesarias para poder identificar, investigar y detener las amenazas. Pero, además de esto, resulta vital asegurarse de que ese SOC evolucione a la suficiente velocidad como para dar respuesta a las amenazas a las que se exponen y a su evolución. Un SOC requiere una continua innovación, inversión y optimización. Los requisitos clave para garantizar su capacidad para proteger un recurso tan vital como los datos son: » Establecer una infraestructura de visibilidad que sea centralizada y escalable. » Facilitar la extracción de inteligencia útil a partir de los datos disponibles. » Ser capaces de umentar la capacidad de los analistas de seguridad, utilizando para ello mecanismos automáticos de análisis y respuesta. » Simplificar procesos y lograr una mayor productividad.
LA VISIBILIDAD TOTAL ES LA CLAVE
“No puedes estar seguro de lo que no puedes ver”. La reciente encuesta 2020 Devo SOC Performance Report, que hicimos a profesionales del mundo de la seguridad en organizaciones con SOC, descubrió que la principal razón de la ineficacia de estos centros es la falta de visibilidad de la infraestructura de
*El enriquecimiento automático de las IOC permite ganar un nivel
TI (según apuntaba el 70% de los encuestados). Sin duda, este es el gran desafío. Una de las barreras más complicadas para lograr una visibilidad centralizada y escalable proviene de los llamados silos de información, que se desarrollan por el uso de distintas soluciones de recopilación de datos para cada fuente, o por el proteccionismo ejercido por parte de determinados equipos u organizaciones. La mejor solución para acabar con estos silos pasa por centralizar todos los datos relativos a la seguridad de la empresa en la nube. Ahora bien, se debe garantizar también un acceso rápido a los datos más antiguos (históricos), al igual que a aquellos de transmisión e ingesta en tiempo real, para que los analistas del SOC puedan identificar y detener eficazmente las amenazas. Por esta razón, los SOC modernos se sustentan sobre soluciones de tipo SIEM (security information and event management), que aportan una plataforma de gestión de datos de seguridad escalable, e incluyen las capacidades analíticas y de automatización necesarias para asegurar el éxito en aquellas tareas. Tras lograr una visibilidad completa de todos sus datos, llega el momento de pasar a la segunda fase: la extracción de valor.
EXTRAER INTELIGENCIA
Generalmente, la obtención de valor a partir de los datos se traduce en la emisión de alertas de seguridad en tiempo real. Sin embargo, demasiadas alertas —es decir, alertas por todo— ralentizan el proceso de detección y abruman a los analistas del SOC. Ellos necesitan detecciones de alto nivel de relevancia, muy específicas, que se centren en lo conocido, lo desconocido y las entidades involucradas en una amenaza. Los datos procedentes de estas detecciones de alta intensidad permiten visualizar rápidamente, y detener con precisión, aquellas amenazas que pueden suponer mayor riesgo potencial para la compañía. Para una detección efectiva, el arma más importante es el registro de inteligencia sobre amenazas. Cuando hay demasiados IOC (indicator of compromise) la información de valor puede quedar oculta y se hace más difícil centrar el tiro. Aunque la velocidad es importante, la precisión es fundamental. Para adelantarse a las amenazas, los analistas deben ser capaces de identificar los IOC a escala y en tiempo real. La clave para acelerar y simplificar las investigaciones es tener el contexto adecuado sobre las amenazas a las que se enfrenta la empresa. Los analistas necesitan disponer de una visión completa de las amenazas para defenderse de los atacantes. El enriquecimiento automático de las IOC, a través de información e inteligencia procedente tanto de fuentes internas como de la industria, permite ganar un nivel de visibilidad completo sin necesidad de un gran esfuerzo. Lo único que se necesita es una solución SIEM que automáticamente enriquezca los eventos e investigaciones con: » Datos y contexto accesibles en tiempo real. » Atributos e indicadores, que van desde hashes y dominios hasta direcciones IP, correos electrónicos y archivos. Se trata de aprovechar lo mejor posible la experiencia de terceros para ampliar el alcance del conocimiento de las amenazas. » Técnicas y tácticas en el marco MITRE ATT&CK. Recientes investigaciones han demostrado que los hackers necesitan menos de 19 minutos desde el momento en que acceden al primer dispositivo de una organización para llegar a los activos que tienen como objetivo. Una vez más, la velocidad es vital para detectar las amenazas antes de que dañen el negocio.
AUTOMATIZACIÓN
Ser un analista SOC es un trabajo complicado. Normalmente tienen una tasa de agotamiento demasiado alta debido al estrés laboral causado, en parte, por la sobrecarga de trabajo. El uso de la automatización para reducir el número de alertas que recorren las pantallas les ayuda a trabajar más rápida y eficientemente centrándose en las amenazas más importantes. Además, para maximizar la precisión y la velocidad de las investigaciones, se debería garantizar que los analistas no tienen que retroceder, e invertir tiempo “reaprendiendo” porque las investigaciones anteriores no se recogieron y organizaron adecuadamente. La automatización del proceso de adquisición de conocimientos —IOC, fuentes de amenazas, contextos suplementarios, etc.— y su registro en un almacén de pruebas proporciona los datos y evidencias que permiten descubrir patrones en la forma en que se detecta, clasifica y responde a las amenazas, y aprender a lo largo del tiempo. En conclusión, la implementación de estos pasos establecerá los fundamentos de un SOC de última generación, y proporcionará visibilidad, acceso instantáneo a datos más completos, así como automatización de las alertas y el flujo de trabajo, elementos que permitirán a los analistas detectar e investigar las amenazas, así como responder ante ellas, con una mayor confianza. El resultado final serán unos analistas capacitados, con una alta satisfacción laboral, y una organización mucho más preparada para resistir a los ciberdelincuentes y sus interminables esfuerzos por comprometer la información de las empresas.
