La sala de emergencias de SOC se enfrenta a una pandemia de malware



Para mantener a los usuarios y las redes sanos y seguros, los equipos de seguridad deben imitar a los países que han adoptado COVID-19 con un enfoque rápido y disciplinado.

Para proteger a las poblaciones de COVID-19, los países enfrentan circunstancias imprevistas y toman medidas extremas en respuesta. Todo se está moviendo rápidamente, pero podemos ver que los países que tomaron medidas decisivas anticipadamente han frenado la propagación del virus.

Los profesionales de la seguridad pueden aprender de la industria de la salud nuevas formas de proteger sus propias organizaciones de los piratas informáticos, que están en plena vigencia.

Nosotros en el campo de la seguridad también estamos inundados de encontrar vulnerabilidades cada vez más severas. Para mantener la continuidad del negocio en esta period de cuarentena, las organizaciones están permitiendo, u ordenando, que sus empleados trabajen desde casa y accedan a los activos comerciales de la organización desde lejos.

Los atacantes están explotando el gran volumen de usuarios remotos que inician sesión en la organización, presentando una nueva línea de foundation de datos remotos muy distribuida y volumétrica. Esto hace que sea muy difícil identificar inicios de sesión remotos inusuales y hace que sea más difícil detectar casos de robo de credenciales los dispositivos que se utilizan para iniciar sesión por primera vez ya no son una anomalía, por lo que es posible que no se identifiquen. Esta es la nueva normalidad con el comportamiento del usuario y los patrones de acceso que nunca antes se habían visto, por lo que la mayoría de las organizaciones están en el área de experimentar «incógnitas desconocidas». Ni siquiera saben lo que no saben.

Además, muchos empleados no están capacitados en seguridad y pueden ser atacados por métodos de ingeniería social bastante simples mientras trabajan desde su casa. El spear phishing (con correos electrónicos armados), el robo de crédito de credenciales de usuarios remotos y las campañas de phishing están en aumento.

Y no solo los médicos y las enfermeras tienen poco private y trabajo excesivo en las áreas más afectadas, también lo están los equipos de SOC y TI. Las salas de SOC ahora son «salas de SOC distribuidas» y algunos empleados de SOC están enfermos o en cuarentena. Los equipos que ya no cuentan con private suficiente lo están haciendo aún menos y en circunstancias difíciles.

En el mundo actual, los países que han tomado COVID-19 con éxito se han movido rápidamente, identificando a aquellos que portan el virus y separándolos de la población sana de manera rápida y efectiva. En nuestras organizaciones de TI, necesitamos adoptar el enfoque más disciplinado y centralizado. Pasos que debemos tomar:

  • Actúa rápido. Identificar nuestras vulnerabilidades (vulnerables, sin capacitación para la seguridad, empleados que trabajan desde casa, estresados ​​equipos de SOC) y poner protecciones en su lugar antes de que los ataques se salgan de control. No mire hacia atrás sobre lo que sucedió, sino más bien, espere para evitar problemas antes de que puedan ocurrir.
  • Monitoreo y controles de seguridad centralizados y disciplinados sobre entornos distribuidos con enfoque en los activos y empleados sensibles.
  • Encuentre y aísle los hosts infectados de manera temprana: investigación de seguridad automatizada y acciones de respuesta con enfoque en phishing, spear phishing y otras actividades de robo de credenciales y toma de management de cuentas. La cuarentena y la remediación rápida evitan la propagación y mantienen a la mayoría de los usuarios saludables y felices.

En un área, nuestro mundo cibernético tiene una ventaja sobre las salas de emergencia de la vida real: hoy es posible automatizar gran parte del trabajo de los analistas de seguridad. Imagínese si pudiéramos proporcionar a los médicos y enfermeras asistentes robóticos que pudieran asumir algunas de las tareas del equipo de la sala de emergencias, sin necesidad de descansos o enfermarse. La IA avanzada, como el procesamiento del lenguaje natural (PNL), que automatiza las investigaciones de incidentes, puede reducir la carga de nuestros equipos de seguridad y permitirles luchar triunfalmente contra la gran batalla contra los ciberatacantes.

Contenido relacionado:

Avi Chesla es CEO y fundador de empow, desarrollador de i-SIEM. Antes de otorgar poderes, Avi era CTO en Radware, donde era responsable de definir y liderar la hoja de ruta y visión estratégica de tecnología de la compañía, incluida la foundation y la gestión de la seguridad de Radware … Ver biografía completa

Más tips





Enlace a la noticia first