6 minute read
Fatiga por alertas de seguridad
Cinco pasos para tomar mejores decisiones, más rápido Los equipos de seguridad siguen enfrentándose a una importante fatiga por el continuo bombardeo de alertas de alta prioridad. El creciente panorama de las amenazas y la naturaleza cada vez más dinámica de las operaciones de TI son los principales responsables de esta escalada. La única manera de superarla es introducir inteligencia para añadir contexto y facilitar la priorización y el triaje.
En el último año, las empresas se han estado enfrentando a una nueva avalancha de datos de seguridad procedentes de sistemas, plataformas y aplicaciones dispares sobre el estado de la red, las posibles amenazas y los comportamientos sospechosos. Todo un reto para todos los equipos de los centros de operaciones de seguridad (SOC) y de respuesta a incidentes (IR), a la hora de abordar los impactos en las operaciones de seguridad, la gestión de vulnerabilidades y la respuesta a incidentes. Para ello, muchas organizaciones están incorporando más fuentes de datos —tanto de amenazas como de vulnerabilidades— e invirtiendo en herramientas de detección analítica de comportamientos. Desafortunadamente, esto no está conduciendo a una mejor toma de decisiones. Por el contrario, está enterrando al personal bajo los datos, lo que reduce la capacidad para tomar decisiones debido a la fatiga de las alertas. Para facilitar una toma de decisiones mejor y más rápida, las organizaciones deberían seguir estos cinco sencillos pasos.
Advertisement
1. Priorizar antes que nada. Separar lo probable de lo posible, a través del contexto, permite a los analistas distinguir las alertas con una prioridad más alta. Esto se aplica no solo a la respuesta a incidentes, sino a todas las alertas críticas. La capacidad de anteponerse proporciona a los analistas el respiro necesario para centrarse en las alertas de mayor importancia. 2. Obtener el contexto. El triaje de alertas reduce la fatiga y ayuda a priorizarlas a partir del riesgo que conllevan, lo cual se logra al incorporar una adecuada información contextual. Uno de los mejores medios para obtener este contexto es agregar y autentificar los indicadores de seguridad internos (de compromiso y datos de eventos) con la inteligencia de amenazas externa. Lamentablemente, muchas empresas incorporan la inteligencia sobre amenazas después de clasificar un suceso como sospechoso: una oportunidad perdida, ya que la inteligencia sobre amenazas proporciona un contexto valioso mucho antes de que se considere inseguro. El contexto adecuado ayuda a los equipos del SOC y del IR a separar lo posible de lo probable. Por ejemplo, una alerta de actividad saliente anómala, procedente del servidor de desarrollo de un banco, posiblemente es peligrosa y requiere una investigación más profunda, in-
dependientemente de si se trata de un suceso malicioso o no. Por el contrario, la inteligencia de amenazas que muestra que las direcciones IP son sitios de comando y control (C&C) dirigidos explícitamente a organizaciones de servicios financieros indica que esta alerta es probablemente una baliza que requiere un bloqueo inmediato y una respuesta a los incidentes. 3. Concentrarse en tomar mejores decisiones. Reducir el “ruido” al diferenciar un evento de alta prioridad de otro permite a los analistas tomar mejores decisiones. Aquí es donde entra en juego la orquestación del equipo, en que todos los miembros deben contar con la misma información acerca de la situación, los riesgos, los impactos y los próximos pasos. La coordinación de equipos es uno de los principales retos para los responsables de seguridad y riesgos. Para abordarlo, algunas organizaciones están instituyendo libros de tácticas en sus actividades de SOC e IR, que trazan los pasos críticos para pasar de la detección de un evento sospechoso a la clasificación, el análisis y la respuesta. Un libro de jugadas es un modelo de flujo para ejecutar pasos repetibles a lo largo del camino de la respuesta a incidentes, unos modelos muy útiles para mapear o, incluso, automatizar varias etapas del proceso. Sin embargo, estos libros son estáticos y limitados en su capacidad de afectar a la toma de decisiones del equipo porque carecen de un ingrediente clave: la inteligencia situacional en tiempo real.
4. Aumentar la eficacia mediante la inteligencia
situacional. Hay una diferencia entre poner a todo el mundo en la misma página y asegurarse de que todos tienen la información que necesitan para hacer su trabajo. Por ejemplo, un analista de amenazas buscará información sobre los peligros activos, las amenazas conocidas para la organización y todos los indicadores únicos del posible actor de la amenaza, haciendo hincapié en los pasos de reconocimiento, armamento, entrega y explotación de la cyber kill chain (CKC). Esto contrasta con un analista de IR, que se centra en los indicadores de compromiso (IoC) relacionados con la instalación, el C&C y las acciones sobre los objetivos de los pasos de la CKC. Ambos miembros del equipo están trabajando en el mismo problema, pero sus necesidades de inteligencia son diferentes, aunque relacionadas. Esta es la inteligencia situacional. Se trata de presentar la información adecuada a la persona correcta y en el momento apropiado. Deriva de reunir los datos generados por todos los dispositivos de seguridad (SIEM, IDS/ IPS, endpoint, HIDS o FW) e integrarlos con la inteligencia sobre amenazas para proporcionar información relevante a cada miembro del equipo, aquella que necesita para trabajar de forma más eficiente y eficaz como parte de un esfuerzo conjunto. Al fenómenos que acontece cuando todos los miembros del equipo disponen de la información correcta en el momento adecuado, y el equipo trabaja en la misma dirección, lo llamamos entendimiento universal, cuando funciona con plena eficacia.
5. Colaborar para tomar mejores decisiones, más
rápido. En este punto es donde un espacio de trabajo de investigación colaborativa toma el concepto de libro de jugadas, pero lo hace de un modo dinámico, para reflejar la toma de decisiones del equipo en tiempo real, y lo pone en acción a través de la automatización. El marco y el flujo subyacentes se establecen siguiendo las acciones y la interacción del equipo en tiempo real. Un espacio de trabajo de colaboración sin fisuras permite tomar mejores decisiones, más rápidamente, y proporcionar: » Una visión global. Una perspectiva universal que muestra todos los equipos y miembros del equipo involucrados en la investigación, así como sus actividades en toda la organización, divididas por región o enfoque de especialidad. » Conocimiento centrado. Mantener la visión de conjunto con un conocimiento global coherente y compartido, sin dejar de apoyar la concentración localizada. » Probar y luego hablar de la capacidad. Los miembros del equipo pueden trabajar con sus hipótesis en paralelo, probar sus teorías y luego informar al equipo de forma más amplia.
/ INTELIGENCIA SITUACIONAL Introducir inteligencia sobre el contexto de amenazas permite tomar mejores decisiones, pero el equipo también necesita estar alineado y sincronizado. Esto es un reto porque, en muchos casos, los miembros están dispersos y especializados. Necesitan una forma coherente de actuar, para que todos estén en la misma página, aunque sin dejar de centrarse en su papel en el proceso de toma de decisiones. Para lograrlo, es necesario contar con inteligencia situacional y trabajar en un entorno de colaboración sin fisuras. Al final, hacer todo lo anterior posiciona a los equipos para una comprensión universal, que es la base para tomar mejores decisiones, y más rápidamente.
Eutimio Fernández
Country Manager
THREAT QUOTIENT
threatq.com
