Cómo obtener una ventaja injusta sobre los ciberatacantes: ciberseguridad “Mission management”



Únase a los ejecutivos del 26 al 28 de julio para la semana AI & Edge de Rework. Escuche a los principales líderes discutir temas relacionados con la tecnología AL/ML, IA conversacional, IVA, NLP, Edge y más. Reserva tu pase free of charge ahora!


La misión principal de toda organización de seguridad de la información es mitigar las amenazas y los riesgos. Desafortunadamente, los atacantes tienen una ventaja injusta por defecto. Ellos eligen cuándo atacar, pueden fallar tantas veces como sea necesario para hacerlo bien y solo tienen que hacerlo bien una vez para tener éxito. Pueden usar software program y herramientas benignos para ocultar sus intenciones y acceder a sofisticados inteligencia synthetic (IA) y aprendizaje automático (ML) herramientas para evadir la detección. Y la monetización del delito cibernético ha llevado a que los ataques sofisticados ocurran con mayor frecuencia.

La forma de burlar a los atacantes cibernéticos es que cada organización de seguridad de la información obtenga una ventaja injusta sobre los malos actores centrándose en lo que pueden controlar, en lugar de lo que no pueden. Además de identificar amenazas, las organizaciones deben pensar de manera más holística sobre cómo pueden limitar su superficie de ataque y optimizar sus procesos de seguridad interna para que sean eficaces. El mayor desafío que tienen la mayoría de las organizaciones es hacer operativa la seguridad en su entorno. Para hacerlo de manera efectiva se requiere orquestación y adaptación continua de personas, procesos y tecnología.

Agregar más productos de seguridad no resuelve el problema

Hay un énfasis en las herramientas en la seguridad cibernética. Pero tener demasiadas herramientas crea complejidad y, de hecho, crea brechas que aumentan la vulnerabilidad. Esto es contraproducente para la mitigación de amenazas.

La mayoría de las organizaciones no pueden permitirse emplear analistas de centro de operaciones de seguridad (SOC) de tiempo completo para manejar las alertas generadas por la miríada de productos en su entorno. Como resultado, el trabajo diario de infosec se convierte en una lucha interminable para filtrar y responder a las alertas, lo que distrae al equipo de centrarse en implementar procesos, políticas y controles de seguridad para mejorar la postura y la madurez de la seguridad en common.

Algunas organizaciones recurren a la subcontratación para administrar las alertas con las que su equipo se enfrenta a diario, pero la mayoría de los proveedores de servicios de seguridad administrados (MSSP) simplemente reciben alertas y las pasan al equipo de infosec sin agregar mucho valor. Se convierten en intermediarios entre las herramientas y el equipo de infosec. La carga de investigar la alerta, determinar si se trata de un falso positivo o no, y decidir cuál es la mejor respuesta si se trata de un incidente actual, recae sobre los hombros del equipo de seguridad de la información.

Los proveedores de detección y respuesta administrada (MDR) ofrecen más soporte con clasificación e investigación de alertas, pero la mayoría no se toma el tiempo para comprender profundamente los entornos de sus clientes. Aprovechan la tecnología de detección de amenazas para identificar amenazas, pero debido a su falta de comprensión ambiental, no pueden ofrecer orientación a sus clientes sobre la respuesta óptima a un incidente determinado. La mayoría de los proveedores de MDR también hacen poco para recomendar una guía de mejores prácticas para reducir la superficie de ataque de una organización o asesorar sobre cómo reducir el riesgo mediante la transmisión de procesos internos, las prácticas que ayudan a mejorar la madurez de la seguridad de una organización con el tiempo.

Adoptar un enfoque inteligente para externalizar la ciberseguridad

en el Estudio de investigación dimensional, el 79% de los profesionales de seguridad dijeron que trabajar con múltiples proveedores presenta desafíos importantes. El sesenta y nueve por ciento está de acuerdo en que priorizar la consolidación de proveedores para reducir la cantidad de herramientas en su entorno conduciría a una mejor seguridad.

Se debe priorizar la madurez de la seguridad instituyendo un marco de evaluación y prevención continuas, además de detección y respuesta en un modelo 24×7, con inmersiones más profundas dirigidas por el ingeniero SOC. El proveedor de servicios óptimos de detección y respuesta administrada (MDR), una plataforma unificada de personas, procesos y tecnología que posee el éxito integral de mitigar las amenazas y reducir el riesgo, debe aumentar la madurez de la seguridad utilizando prácticas de evaluación, prevención, detección y respuesta. . Se debe realizar un análisis de causa raíz (RCA) para determinar la causa de un ataque, informando los métodos preventivos para el futuro.

los Tercer Informe Anual del Estado de la Resiliencia Cibernética de acentuardescubrió que los procesos de seguridad más maduros conducen a una mejora de cuatro veces en la velocidad de detección y detención de infracciones, una mejora de tres veces en la reparación de infracciones y una mejora de dos veces en la reducción de su impacto.

Cómo las organizaciones pueden obtener efectivamente una ventaja de seguridad sobre los atacantes

La única ventaja que tiene un defensor es la capacidad de conocer su entorno mejor que cualquier atacante. Esto se conoce comúnmente como la ventaja de jugar en casa. Sin embargo, la mayoría de las organizaciones luchan por aprovechar esto debido a las siguientes razones:

  • transformación digital ha llevado a que la superficie de ataque se expanda rápidamente (por ejemplo, con modelos de trabajo desde casa, traiga su propio dispositivo, migración a la nube y SaaS). Es difícil para los equipos de seguridad de la información obtener una visibilidad y un management constantes en el número cada vez mayor de puntos de entrada de ataques.
  • Los entornos de TI modernos cambian constantemente para adaptarse a la próxima innovación comercial (es decir, nuevas aplicaciones). Es un desafío para los equipos de seguridad de la información mantenerse al día con todos los cambios y adaptar la postura de seguridad sin detener las operaciones de TI.
  • Los equipos de TI y seguridad de la información suelen operar en sus respectivos silos sin compartir información de manera productiva. Esta falta de comunicación, junto con el hecho de que TI y seguridad de la información utilizan diferentes herramientas para administrar el entorno, contribuye a los desafíos mencionados anteriormente. Esto se ve agravado por el hecho de que, a menudo, es TI quien tiene que actuar para responder a una amenaza detectada (es decir, eliminar la carga de trabajo de la crimson).

ser como la nasa

El quid del problema es que la mayoría de las organizaciones luchan por poner en práctica sus esfuerzos de seguridad. Un proveedor de servicios de MDR puede ayudar con eso. Pero el proveedor de servicios de MDR necesita ir más allá de la detección y la respuesta para operar como el Management de Misión de la NASA, con todo enfocado en el resultado y abarcando cinco factores clave:

El primero es tener un misión al servicio del resultado. Es fácil atascarse en los detalles y las tácticas, pero todo debe vincularse con ese objetivo de nivel superior que es el resultado closing: minimizar el riesgo.

El segundo paso es ganar visibilidad en su potencial ataque a las superficies. Uno no puede asegurar lo que no entiende, por lo que conocer el ambiente es el siguiente paso. Con cada organización, hay diferentes puntos donde un usuario no autorizado puede intentar ingresar o extraer datos (superficies de ataque). Un analista debe ser muy consciente de dónde están estos puntos para crear un plan de protección estratégica destinado a disminuirlos. El analista también debe estar familiarizado con la ubicación de los activos críticos y lo que se considera actividad regular (versus anormal) para que esa organización específica señale actividad sospechosa.

El tercer paso es colaboración. Proteger una organización, mitigar las amenazas y reducir el riesgo requiere una colaboración activa entre muchos equipos. La seguridad debe estar al tanto de las vulnerabilidades, trabajando con TI para repararlas. TI necesita habilitar el negocio, trabajando con seguridad para garantizar que los usuarios y los recursos estén seguros. Pero para cumplir con la misión, se requiere que los ejecutivos prioricen los esfuerzos. Se necesitan finanzas para asignar presupuestos y terceros para brindar servicios especializados de respuesta a incidentes (IR).

A continuación, tiene que haber un sistema. Esto implica desarrollar un proceso que une todo para lograr el resultado closing, sabiendo exactamente dónde encajan las personas y la tecnología e implementando herramientas estratégicamente como la pieza closing del rompecabezas. Como se mencionó anteriormente, demasiadas herramientas es una gran parte de la razón por la cual las organizaciones se encuentran en modo de extinción de incendios. Los proveedores de la nube están ayudando al proporcionar capacidades integradas como parte de sus ofertas de IaaS y PaaS. Siempre que sea posible, las organizaciones y sus proveedores de servicios de ciberseguridad deben aprovechar las capacidades de seguridad integradas de su infraestructura (es decir, Microsoft Defender, Azure Firewall, Lively Listing), lo que cut back la necesidad de herramientas en exceso. Los equipos de seguridad informática deben comenzar a pensar en cómo desarrollar sistemas que les permitan concentrarse solo en los lo más importante incidentes

El paso closing es mediciones, que no solo debe consistir en métricas orientadas hacia atrás, sino también predictivas que indiquen la preparación para defenderse contra futuros ataques. Para medir la efectividad de la postura de seguridad, el alcance de la medición debe ir más allá del tiempo medio de detección y el tiempo medio de respuesta (MTTD/MTTR) para incluir métricas como cuántos activos críticos no están cubiertos con tecnologías EDR y cuánto tiempo se tarda en identificar y aplicar parches a los sistemas críticos. Estas métricas requieren una comprensión profunda de la superficie de ataque y las realidades operativas de la organización.

Para la mayoría de las organizaciones, ejecutar estrategias de ciberseguridad es difícil debido a la falta de recursos y tiempo. Aquí es donde un proveedor de MDR puede cambiar las reglas del juego, brindando a una organización la tecnología, las personas y los procesos para transformar su postura de seguridad y convertirse en un adversario formidable para cualquier atacante potencial.

Dave Martin es vicepresidente de detección y respuesta extendidas en Open Methods.

Tomadores de decisiones de datos

¡Bienvenido a la comunidad VentureBeat!

DataDecisionMakers es donde los expertos, incluidos los técnicos que trabajan con datos, pueden compartir información e innovación relacionadas con los datos.

Si desea leer sobre concepts de vanguardia e información actualizada, mejores prácticas y el futuro de los datos y la tecnología de datos, únase a nosotros en DataDecisionMakers.

Incluso podrías considerar contribuyendo con un artículo ¡tuyo!

Leer más de DataDecisionMakers