Cómo las herramientas SIEM en la nube de próxima generación pueden ofrecer a las empresas visibilidad crítica para la búsqueda eficaz de amenazas


Las fuerzas de trabajo virtuales enfrentan amenazas cada vez mayores debido a su acceso remoto desde varias redes. Descubra cómo la información de seguridad y las herramientas de gestión de eventos pueden ayudar en la batalla.

«data-credit =» Imagen: iStock / Undefined Undefined «rel =» noopener noreferrer nofollow «>Concepto de seguridad en la nube

Imagen: iStock / Undefined Undefined

Como administrador del sistema, tuve una prueba de soporte técnico el otro día en la que no pude acceder al portal de mi empresa a través de la conexión VPN desde mi oficina en casa. Me tomó algún tiempo resolverlo, durante el cual el analista con el que trabajé se disculpó profusamente y explicó que habían tenido que implementar algunos mecanismos de seguridad extremadamente rigurosos para proteger a la empresa, ya que casi todos nuestros empleados trabajan de forma remota.

VER: Política de protección contra robo de identidad (TechRepublic High quality)

Ese es un tema común ahora, ya que la pandemia continúa y se están implementando disciplinas completas para abordar estas preocupaciones de seguridad y, al mismo tiempo, permitir que los trabajadores sigan siendo productivos.

Hablé con Augusto Barros, vicepresidente de soluciones de Securonix, un proveedor de operaciones y análisis de seguridad, para obtener más información sobre las soluciones disponibles para este desafío mundial.

Scott Matteson: ¿Cuáles son los desafíos para hacer frente a las amenazas prevalentes a las fuerzas laborales virtuales?

Augusto Barros: Los equipos de seguridad no son ajenos a un panorama de amenazas en constante cambio. Sin embargo, como el resto del mundo, no estaban preparados para la abrumadora avalancha de nuevos desafíos que resultaron de la pandemia de COVID-19.

La tríada SOC, es decir, la combinación de respuesta de detección de red (NDR), gestión de eventos e información de seguridad (SIEM) y detección y respuesta de puntos finales (EDR), tradicionalmente permitía a los equipos de seguridad obtener información sobre las amenazas contra sus entornos locales.

Sin embargo, al comienzo de la COVID-19 pandemia, las empresas se apresuraron a implementar rápidamente soluciones para permitir el trabajo remoto, comprometiendo significativamente la visibilidad de los equipos de SOC y el acceso a la telemetría en las fuentes de datos. Esto no solo dejó ciegos a los equipos ante muchas amenazas nuevas y emergentes que han resultado de este escenario, sino que también obstaculizó su capacidad para determinar una línea de foundation para el comportamiento regular del usuario.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

Esta nueva realidad también ha desafiado a las herramientas SIEM locales tradicionales, que están luchando por recopilar los registros de todas las soluciones recientemente implementadas. Esta inmensa cantidad de datos requiere muchos cambios de recopilación y contenido actualizado para abordar un grupo de amenazas emergente y único.

Scott Matteson: ¿Qué hace que abordar las amenazas virtuales sea diferente de las operaciones físicas en el sitio?

Augusto Barros: Los equipos de seguridad tradicionalmente optaban por una combinación de herramientas conocidas de la tríada SOC, que aprovecha los datos de los registros, las redes y los puntos finales para proporcionar una vista holística del entorno area de una organización. Pensar en las capacidades de cada herramienta equilibra las limitaciones de otra. En términos sencillos, explican los puntos ciegos de los demás.

Sin embargo, cuando el cambio a la nube se vio exacerbado drásticamente por el rápido cambio de las empresas al trabajo remoto, estas herramientas no lograron proporcionar una visibilidad clara de múltiples entornos y capas tecnológicas.

Por ejemplo, las herramientas NDR locales tradicionalmente detectan anomalías en el comportamiento de la purple al monitorear el tráfico desde una estación de trabajo de oficina a Internet. Sin embargo, con todo el tráfico de la red moviéndose hacia la fuerza laboral remota, el uso de estas herramientas para monitorear la fuerza laboral que opera desde dispositivos y redes personales resultó inútil.

Si bien las herramientas de EDR normalmente compensarían este déficit al proporcionar visibilidad de los dispositivos administrados, no pueden implementar agentes en un dispositivo private si una organización le otorga acceso a los recursos corporativos.

Además, la necesidad de adaptarse y escalar rápidamente a la nueva realidad brindó la oportunidad perfecta para acelerar el empuje a la nube, pero las herramientas tradicionales obsoletas de gestión de eventos e información de seguridad (SIEM) no pueden recopilar y procesar de manera eficiente el alto volumen de telemetría generada. por los múltiples servicios en la nube adoptados como parte de este impulso.

Los servicios en la nube recientemente adoptados, como el software como servicio (SaaS), la infraestructura como servicio (IaaS) y la plataforma como servicio (PaaS), ofrecen a las organizaciones capacidades que normalmente proporciona un centro de datos tradicional, como una pink privada digital (VPN). terminación y filtrado de contenido world wide web, directamente desde la nube. Aunque es conveniente, se ha convertido en el talón de Aquiles del SIEM regional tradicional, que no puede recopilar todos los registros y monitorear de manera efectiva las amenazas nuevas y emergentes.

Scott Matteson: ¿Cuáles son los remedios involucrados?

Augusto Barros: Las organizaciones deben adoptar una nueva mentalidad centrada en la nube, respaldada por una combinación de nuevas soluciones de seguridad listas para manejar el gran volumen y la velocidad de los datos que fluyen a través de los entornos de la nube. Las organizaciones deben centrarse en herramientas como el SIEM de próxima generación, herramientas centradas en la nube como el agente de seguridad de acceso a la nube (CASB) y la gestión de la postura de seguridad en la nube (CSPM), y servicios de seguridad y de purple consolidados modernos, como el servicio de acceso seguro edge (SASE) , que permiten enfoques de arquitectura de seguridad moderna.

VER: 5 lenguajes de programación que los ingenieros en la nube deben aprender (PDF gratuito) (TechRepublic)

Estas herramientas escalables incluyen modelos de licencia que no se basan en el volumen de datos ingeridos, sino en otras variables, como la cantidad de usuarios monitoreados. CSPM y CASB pueden ayudar a los usuarios a adoptar nuevas prácticas de aplicación de políticas, ayudando a las organizaciones a navegar por configuraciones y servicios de seguridad complejos de proveedores de nube pública y cubrir cualquier brecha en la visibilidad de los múltiples servicios IaaS, PaaS y SaaS adoptados.

Además, cuando los usuarios operan desde dispositivos personales y acceden a recursos cooperativos, las ofertas de SASE ayudan en la transición de controles, como puertas de enlace internet seguras, a un modelo basado en la nube desde cualquier parte del mundo.

Las empresas ya no necesitan debatir la pérdida de visibilidad por un mejor precio o una mejor resistencia de la purple.

Scott Matteson: ¿Cómo juegan un papel las herramientas SIEM en la nube de próxima generación?

Augusto Barros: Las soluciones SIEM heredadas y basadas en dispositivos están limitadas por su arquitectura fija, lo que significa que no pueden respaldar el esfuerzo del equipo de seguridad para reducir el tiempo medio de detección (MTTD) y el tiempo medio de respuesta (MTTR) si el SIEM alcanza un límite de escala.

Por el contrario, los SIEM nativos de la nube se basan en una arquitectura escalable. A diferencia de sus predecesores, están equipados con contenido de detección de amenazas especialmente diseñado, no solo para manejar la carga de nuevos servicios en la nube, sino también para monitorear y detectar nuevos vectores de amenazas relacionados con la nube. Estas soluciones basadas en la nube ofrecen un mejor rendimiento, análisis más precisos y una mejor detección de amenazas porque pueden escalar dinámicamente hacia arriba o hacia abajo según las necesidades del equipo de SOC.

Los proveedores de MSS y MSR también están adoptando este enfoque para gestionar su nueva realidad. Muchos de los que confían en EDR están ampliando su cartera de tecnología para tener en cuenta los puntos ciegos al agregar herramientas SIEM en la nube de próxima generación a sus backends, donde pueden agregar datos de herramientas EDR existentes con datos de otras fuentes.

Las plataformas SIEM modernas pueden ofrecer análisis de comportamiento de entidades y usuarios (UEBA) y análisis avanzados, así como mejorar la clasificación de alertas y la respuesta a incidentes al aprovechar la funcionalidad de orquestación, automatización y respuesta de seguridad nativa (SOAR).

VER: 5 lenguajes de programación que los desarrolladores de soluciones de aplicaciones deben aprender (PDF gratuito) (TechRepublic)

Los SIEM modernos permiten a los equipos SOC buscar rápidamente eventos de seguridad, ya sean datos históricos o en tiempo authentic. En common, estas soluciones logran el objetivo last del equipo de SOC: correlación más rápida, visibilidad clara, análisis más precisos y mayor contexto de amenazas.

Scott Matteson: ¿Funcionan estas herramientas tanto para operaciones virtuales como físicas?

Augusto Barros: Un SIEM de próxima generación se puede implementar en la nube o en plataformas de components comunes y permite incorporar de forma segura mejoras en esa plataforma.

Sin embargo, en lugar de impulsar una solución area basada en hardware en el cliente, las implementaciones de SIEM de próxima generación deben coincidir con la estrategia de TI general de la organización. Antes de la pandemia de COVID-19, las empresas ya se estaban dando cuenta de los beneficios, la flexibilidad, la agilidad y los ahorros de costos que ofrecían las estrategias de TI híbridas y en la nube ahora más que nunca, esa epifanía suena a verdad. Hoy en día, las empresas poseen poco o ningún components, lo que demuestra aún más por qué las soluciones SIEM de próxima generación deben permitir opciones de implementación virtuales y basadas en la nube. Tener fuentes de datos locales tampoco es un obstáculo para aprovechar un SIEM de SaaS.

Scott Matteson: ¿Qué viene en 2021?

Augusto Barros: A medida que las organizaciones continúan presionando a los grupos de seguridad para que muevan las herramientas a la nube, veremos que las soluciones de fuerza de gravedad de los datos que requieren la recopilación de volúmenes masivos de datos de la infraestructura y las aplicaciones se acercan a las fuentes de datos.

Los equipos de SOC deberán evolucionar sus ofertas e integrar otras tecnologías para admitir los servicios en la nube recientemente adoptados y expandir su perfil de punto ultimate a Net de las cosas (IoT) y dispositivos móviles. Cada vez más proveedores de MDR (detección y respuesta administradas) comenzarán a adoptar soluciones SIEM, UEBA y SOAR en sus backends a medida que se den cuenta de la necesidad de servicios de seguridad que funcionen incluso cuando no pueden implementar un agente.

Scott Matteson: ¿Tiene alguna recomendación para tecnólogos y usuarios finales?

Augusto Barros: La abrumadora cantidad de empleados que operan desde dispositivos personales ofrecerá poca o ninguna visibilidad para las herramientas tradicionales de EDR. Dé preferencia a las soluciones SIEM de próxima generación que se pueden consumir como un servicio para minimizar los gastos generales y la administración. Este enfoque permite a las organizaciones expandir el monitoreo a entidades más allá de los puntos finales, con un fuerte enfoque en las identidades de los usuarios, y digerir suficientes datos en la nube para llevar a cabo la búsqueda de amenazas de manera más efectiva y precisa.

Las organizaciones deben entender que este desafío no es diferente a cualquier otro en la historia. Tratar de hacer que las prácticas anticuadas funcionen en una nueva era es ineficaz. Pasar por esta transición no es opcional. Tanto los equipos de seguridad como las organizaciones deben participar en la adopción de herramientas modernas para respaldar la nueva era de negocios digitales basada en la nube.

Ver también



Enlace a la noticia unique