Amplíe la búsqueda de amenazas para capacitar a los analistas



Los centros de operaciones de seguridad deben ir más allá de la simplicidad del software bueno y malo para tener niveles de «maldad», así como definir mejor lo que es bueno. Este es el por qué.

Hallazgos de una encuesta reciente del Instituto SANS «Cerrar la brecha de habilidades críticas para los centros de operaciones de seguridad (SOC) modernos y efectivos«abordó los planes de contratación para 2020, incluida una evaluación de las habilidades que los gerentes de seguridad creen que se necesitan. Los encuestados señalaron las habilidades operativas de seguridad como las más necesarias, y para los responsables de la búsqueda de amenazas y el análisis de malware, el desafío para los gerentes de seguridad no es solo cómo para reclutar talento, pero cómo seguir mejorando para mejorar la retención y el crecimiento profesional.

Como se señaló en recientes investigación de Cybersecurity Insiders, las organizaciones están aumentando su madurez operativa y sus inversiones en la búsqueda de amenazas. Aunque la búsqueda de amenazas es todavía una disciplina emergente, el 93% de las organizaciones están de acuerdo en que la búsqueda de amenazas debe ser una iniciativa de seguridad exceptional para proporcionar una detección temprana y reducir el riesgo. El desafío es que la mayoría de las iniciativas de búsqueda de amenazas son manuales y con al menos un millón de amenazas nunca antes vistas que se lanzan a la naturaleza a diario, se convierte en un ejercicio inescalable y con un costo prohibitivo.

El análisis de malware es basic para muchas iniciativas modernas de búsqueda de amenazas. Muchas organizaciones ya realizan algún tipo de búsqueda de amenazas y la mayoría se concentra en buscar indicadores de compromiso con la esperanza de encontrar algo que las herramientas tradicionales no hayan detectado. Pero la esperanza no es una estrategia. La seguridad no puede ser un sistema binario de lo bueno y lo malo y, para ser justos, nunca lo fue. Cuando la atención se centró simplemente en la detección, se asumió que todo lo que no period específicamente malo, o el malware, era bueno. Sin embargo, con el volumen de amenazas que aumenta cada día, esa suposición ha contribuido a muchas violaciones a lo largo de los años. Para mejorar la eficacia de nuestras pilas de seguridad y comenzar a automatizar eficazmente una respuesta confiable, debemos ir más allá de la simplicidad del software bueno y malo para tener niveles de «maldad», así como definir mejor lo que es bueno. Solo con el contexto adecuado podemos determinar qué amenazas investigar y comprender si una amenaza tendrá un impacto paralizante o simplemente será una molestia.

Tenga en cuenta que al perseguir malware irrelevante, los cazadores de amenazas pueden perder el «grande». La clave para saber qué malware perseguir es poder comprender rápidamente cómo lo está afectando para que pueda equipar mejor la pila de seguridad para abordar el problema. Mejorar nuestro conocimiento a través de herramientas automatizadas de búsqueda de amenazas nos ayuda a llegar a un lugar donde esto es posible. Al mismo tiempo, para madurar las habilidades del equipo de seguridad, debemos ir más allá del bien o mal binario de la detección de malware y dar explicaciones claras por qué un comportamiento es malicioso.

Para lograr este contexto más rápido, debemos alejarnos del proceso manual de ingeniería inversa, que puede tardar horas o días en reducir y revelar la esencia del malware, y pasar a automatizar el descifrado y desofuscación de archivos con explicaciones para acelerar la amenaza. la capacidad de los cazadores para detectar, identificar y responder a las amenazas. En pocas palabras, el análisis automatizado con contexto proporciona una comprensión de lo que está viendo, así como la capacidad de explicar los riesgos al particular menos técnico.

Los beneficios técnicos son obvios e incluyen la ampliación de la productividad del SOC, la reducción del tiempo de permanencia del malware y la aceleración de la corrección de las amenazas de día cero. Pero los beneficios de la búsqueda de amenazas automatizada y consciente del contexto van más allá, lo que permite que el SOC amplíe la visibilidad de los tipos de archivos y sistemas operativos que no se estaban monitoreando anteriormente debido a la falta de tiempo o habilidades. Además, permite al equipo de seguridad reducir los esfuerzos dedicados a las amenazas que tienen un impacto limitado y reenfocarse en abordar nuevas técnicas de ataque y llenar los vacíos en la arquitectura de seguridad.

La automatización del análisis de malware ofrece beneficios de productividad y la capacidad de ofrecer respuestas más rápidas, pero lo que es más importante, también puede proporcionar información para la educación y la mejora de las habilidades de los analistas. La clave para mejorar la búsqueda de amenazas y la mejora simultánea de habilidades es tener diagnósticos transparentes y conscientes del contexto que los humanos puedan comprender, interpretar y actuar en consecuencia. Los diagnósticos sensibles al contexto permiten a las organizaciones «participar en su propio rescate» al proporcionar información que es específica de cómo se relaciona un ataque con ellas. Comprender lo que significa el diagnóstico para la organización afecta la respuesta. Y con recursos limitados, también se debe tener en cuenta la priorización de qué abordar y cómo responder. No todas las organizaciones necesitan tratar exactamente la misma pieza de malware por igual. Y con la búsqueda de amenazas mejorada, no tendrán que hacerlo.

Chris Hoff es actualmente vicepresidente de estrategia y planificación en Juniper Networks, después de desempeñarse como arquitecto jefe de seguridad de la empresa. Ocupó cargos similares en Cisco, Unisys y Crossbeam Techniques. Hoff es miembro fundador y asesor técnico de la nube … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first