¿Quiere mejorar la seguridad en la nube? Comienza con el registro



Remediar el problema de «basura adentro, basura afuera» requiere una comprensión de lo que está causando el problema en primer lugar.

Cuando se utilizan registros de eventos para monitorear violaciones e incidentes de seguridad, la calidad de la salida está determinada por la calidad de la entrada. Gran parte del registro que se utiliza es deficiente, y ha habido pocos incentivos de la industria para solucionarlo. Esto, a su vez, impide la verdadera seguridad en la nube porque los registros de la plataforma en la nube no contienen información útil.

No tiene por qué ser así. Es posible remediar el problema de «basura adentro, basura afuera», pero requiere una comprensión de lo que está causando el problema en primer lugar.

El problema oculto
Las empresas recopilan y registran datos de una variedad de dispositivos de TI y seguridad. La mayoría de las aplicaciones y sistemas de application producen archivos de registro, que incluyen toda la documentación producida automáticamente y con sello de tiempo de la actividad reciente del sistema. Luego, las empresas utilizan estos datos para monitorear, proteger, comprender y administrar sus negocios con tecnología habilitada. Las fuentes de datos tienen el potencial de proporcionar visibilidad a través de muchas perspectivas técnicas diferentes: pink, seguridad, aplicaciones, telemetría basada en host, en la nube y contextual, para comenzar. Dentro de cada una de estas categorías hay dispositivos de infraestructura que producen registros y sensores enfocados en el monitoreo, ya sea para operaciones de TI o seguridad.

Estos datos de registro son el superhéroe sin pretensiones de los datos de TI. Puede que no parezca mucho inicialmente, pero tiene mucho poder. Pero no todo el registro se crea igual. Gran parte de los datos pueden ser inconsistentes, difíciles de entender y centrados solo en la interrupción / reparación del sistema o la aplicación. Hay poca información que pueda indicar que algo es potencialmente malicioso.

Y si el registro que está utilizando es deficiente, tendrá un efecto negativo en todas sus otras medidas de seguridad. Si bien existen formatos y métodos de registro comunes, hay poco acuerdo o coincidencia en la forma en que la información contenida debe usarse para fines específicos. Como resultado, los registros pueden ser difíciles de aprovechar de manera efectiva para cualquier propósito.

Para agravar esto, la ley de inercia está en juego con respecto a cómo funciona actualmente la tala. Esencialmente, existe una actitud dominante de «no está roto, no lo arregles», aunque, en realidad, la forma en que se realiza el registro es roto. Los equipos de seguridad están motivados hacia el cambio, pero ¿qué influencia tiene un equipo de seguridad de cinco personas en empresas como Microsoft para producir mejores registros para Active Listing u Business office 365?

Esto no significa que el cambio sea imposible. Más bien, el apalancamiento para el cambio comienza con el departamento de adquisiciones. En otras palabras, el cambio de mercado es impulsado por el comportamiento de compra. Por lo tanto, depende de nosotros influir económicamente en las mejoras en la calidad del registro. Esto debería convertirse en un punto de selección competitiva.

Mejores prácticas y qué pedirle a su proveedor
Entonces, ¿cómo se asegura de aprovechar al máximo su registro? Hay algunas mejores prácticas a seguir. Éstas incluyen:

  • Concéntrese en los registros que contienen opiniones acerca del potencial de actividad maliciosa o encuentre formas de inyectar esa opinión en los registros con experiencia en contexto y seguridad.
  • Solo inicie sesión desde fuentes importantes y recopile la información que pueda soportar la detección y la remediación de manera efectiva
  • Marque sus sensores específicos de seguridad a 11. Haga que sean lo más ruidosos posible para brindarle la visibilidad más completa, y exija que sus proveedores produzcan una mejor visibilidad de seguridad de lo que sucede con sus productos.

Cuando se trata de evaluar a los proveedores para su registro, es importante hacer algunas preguntas clave sobre sus soluciones y cómo funcionan antes de comprometerse con una. Deberían poder responder las siguientes preguntas por usted:

  • ¿Cuáles son los vectores de ataque más comunes contra su producto?
  • ¿Cuántos escenarios maliciosos identificarán sus registros?
  • ¿Qué tan difícil es analizarlos para que se normalicen con otras tecnologías similares?
  • ¿Cuál es la forma más efectiva de monitorear su registro en busca de actividad maliciosa?
  • ¿Tiene un centro de excelencia para el monitoreo de seguridad de su tecnología?
  • ¿Qué formatos de registro estándar se utilizan para la salida?
  • ¿Qué tan difícil es introducir nuevos registros basados ​​en nuevas técnicas de ataque? ¿Cuál es tu frecuencia de actualización?

Si un proveedor potencial no puede o no le explicará estas cosas por completo, es hora de seguir buscando uno que pueda y lo haga.

Hacer que el cambio valga la pena
«Basura dentro, basura fuera» claramente no es una buena manera de abordar una estrategia de monitoreo de seguridad. Pone en riesgo a las organizaciones y absorbe demasiado presupuesto y tiempo del personalized para ser sostenible o sostenible. Por el contrario, las organizaciones deben incentivar a los proveedores a desarrollar mejores capacidades de registro al convertirlo en un punto de restricción de compras. Use las mejores prácticas y preguntas anteriores para obtener las capacidades de registro que su organización necesita para mantener su pink segura.

Artículos relacionados:

Chris Calvert tiene más de 30 años de experiencia en seguridad de la información defensiva: 14 años en la comunidad de defensa e inteligencia y 17 años en la industria comercial. Ha trabajado en el Estado Mayor Conjunto del Departamento de Defensa y ocupó cargos de liderazgo en grandes y … Ver biografía completa

Más concepts





Enlace a la noticia unique