En una reciente Artículo de opinión del New York Instances, El asesor normal de la Agencia de Seguridad Nacional, Glenn Gerstell, describió cómo los sistemas tradicionales de seguridad nacional, desarrollados después de la Segunda Guerra Mundial, alertaron de manera confiable sobre los desarrollos militares extranjeros, como el lanzamiento de misiles y el movimiento de tanques, aviones, barcos y submarinos. Fusionar datos de telemetría con tecnología de vigilancia avanzada nos dio un nivel de confianza de que estábamos a salvo y que podíamos manejar contingencias. Sin embargo, Gerstell hace un argumento convincente de que ese ya no es el caso. La revolución tecnológica ha «alterado» nuestra infraestructura e instituciones de seguridad nacional, según Gerstell.
Gerstell no está solo en su pensamiento. Joseph Hill, la actuación director de inteligencia nacional, también cree que el ciberespacio es nuestra mayor vulnerabilidad. Fuera del gobierno y los militares, un reciente encuesta de las empresas estadounidenses de todos los tamaños, realizadas por Travelers Providers, descubrieron que la ciberseguridad era la principal preocupación de los encuestados.
Como líder empresarial, vale la pena recordar por qué nuestra estrategia posterior a la Segunda Guerra Mundial fue exitosa: integramos lo que sabíamos sobre desarrollos militares extranjeros en tiempo true. Desafortunadamente, hoy estamos demasiado enfocados en encontrar una mejor trampa para ratones y no integrar lo que sabemos.
Es hora de dejar de jugar al Whack-a-Mole de seguridad
Hace poco hablé con un CISO sobre cómo obtuvo la aprobación para adquirir 15 herramientas para reforzar las operaciones de seguridad, pero escuché poco acerca de la fusión de conjuntos de datos de salida para crear una comprensión en tiempo serious de la actividad sospechosa en toda la empresa.
El enfoque del CISO estaba en más analistas, que son difíciles de encontrar y se agotan rápidamente de un juego diario de respuesta a incidentes redundantes sin correlacionarlos con lo que han visto en el pasado. Las empresas que pueden permitirse uno de todo reconocen que esta estrategia genera demasiado ruido. La combinación de demasiadas herramientas, feeds de amenazas redundantes y agotamiento de los analistas lleva a las empresas a gastar Más y llega a ser Menos seguro. Esta estrategia a escala se vuelve aún más ineficiente y costosa cuando sectores e industrias enteras eligen «equiparse» en lugar de adoptar un enfoque disciplinado de gestión y fusión de la ciberinteligencia. Debemos restablecer nuestra estrategia sobre la mejor manera de asegurarnos en lugar de buscar una mejor trampa para ratones (o comprar más). Debemos fusionar las herramientas que ya tenemos.
Cómo aprovechar lo que tienes
Comience tomando una página de cómo los equipos de seguridad manejan las amenazas de seguridad tradicionales para tejer un sistema de ecosistemas en la nube. Normalmente hay tres etapas.
Nivel 1. Las empresas que aprovechan las alertas de fusibles en la nube de sus propios sistemas con sus proveedores de inteligencia externos. Esto requiere que las compañías integren fácilmente el resultado de su pila tecnológica existente (SIEM, EDR, administración de casos, orquestación) con la entrada de fuentes de información internas sin interrumpir el flujo de trabajo del analista.
Etapa 2. Capa en la actividad relacionada con la seguridad más allá de las operaciones de seguridad hasta el fraude y el abuso. Cada uno conduce a problemas de seguridad dentro de la empresa y para las empresas de gama baja. Por ejemplo, las adquisiciones de cuentas (ATO) no solo se pueden usar para actividades maliciosas dentro de una empresa, sino que también pueden hacer que los adversarios usen mal una cuenta para atacar a otros.
Etapa 3. Comuníquese con otras compañías para intercambiar información sobre sus desafíos comunes de seguridad y fraude. Aquí es donde la nube tiene ventajas significativas, ya que las empresas eligen socios en función de una variedad de necesidades, que van desde asegurar las cadenas de suministro hasta luchar contra amenazas específicas dentro y entre sectores. La nube permite que tanto el sector público como el privado trabajen entre sí. En lugar de simplemente compartir información, las empresas pueden definir casos de uso y tener los medios para intercambiar y analizar datos de manera rápida y sin inconvenientes. La nube también permite a las empresas obtener tips y tendencias dentro de su propia empresa, así como la forma en que se comparan con los demás.
Un nuevo modelo: LA CyberLab
Cientos de compañías ya están cambiando el rumbo hacia un modelo basado en la nube para fusionar sus datos internos con información de amenazas externas. Ellos ingieren y enriquecen la inteligencia cibernética a partir de una variedad de herramientas que van desde sistemas de gestión de eventos de seguridad hasta sistemas de detección de punto last y gestión de casos e inteligencia de terceros. Una plataforma exitosa combina varias capacidades: ingerir y normalizar datos estructurados y no estructurados, permisos y administración de acceso, fusionar y enriquecer datos, y redactar información confidencial y privada. Una plataforma también debe ser extensible para que las empresas puedan fusionar datos entre operaciones relacionadas con la seguridad, como centros de operaciones de seguridad, fraude e investigaciones internas dentro de las empresas y entre empresas.
En septiembre, el alcalde de Los Ángeles, Eric Garcetti, lanzó el LA CyberLab, un cliente de TruStar, para fusionar datos del sector público y privado, municipios locales y consumidores. El intercambio de datos de eventos sospechosos acelerará las investigaciones, identificará tendencias y, en última instancia, mejorará la seguridad. Cuenta con el respaldo del alcalde, el Departamento de Seguridad Nacional, IBM, plataformas tecnológicas innovadoras, así como de algunos de los principales líderes empresariales de Los Ángeles.
El modelo de LA se puede replicar, creando nuevos ecosistemas de datos fusionados que involucran eventos sospechosos. Los líderes reconocieron que los actores de amenazas comercializan y replican los ataques en todos los sectores y el gobierno neighborhood, estatal y federal. Los modelos compartidos basados en sectores, como los ISAC e ISAO, seguirán siendo importantes, pero el modelo de LA es diferente. El poder potencial de la fusión es inmenso cuando comenzamos a pensar en la seguridad en términos de sistemas interconectados en lugar de agrupar datos entre herramientas y sectores. Debemos converger nuestros sistemas de inteligencia cibernética para lograr una visibilidad completa del panorama de ataque. Debemos mirar a LA como un modelo de hacia dónde debemos ir.
Contenido relacionado:
Paul Kurtz es el CEO y cofundador de TruSTAR Technological know-how. Antes de TruSTAR, Paul period CISO y director de estrategia de CyberPoint Worldwide LLC, donde construyó el gobierno de los EE. UU. Y los negocios internacionales. Antes de CyberPoint, Paul era el socio gerente … Ver biografía completa
Más ideas
