Los profesionales de la ciberseguridad deberían pasar de los indicadores de compromiso a los indicadores de comportamiento


Los expertos en seguridad sugieren utilizar IOB para pasar de reaccionar ante un ciberataque a prevenir el incidente.

«data-credit =» Imagen: Getty Images / iStockPhoto «rel =» noopener noreferrer nofollow «>istock-1265582618.jpg

Imagen: Getty Illustrations or photos / iStockPhoto

La mayoría de los profesionales de la ciberseguridad han sido capacitados para usar Indicadores de Compromiso (IOC) cuando reaccionan a un ciberataque, y no están contentos con la naturaleza posterior a los hechos de este enfoque. El cambio a un modelo de trabajo desde casa es otra limitación importante con la que luchan los profesionales de la ciberseguridad. Elimina el perímetro bien definido al que estaban acostumbrados.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

«Creemos que los usuarios son el nuevo perímetro, no la crimson y la gravedad de los datos se ha desplazado de los centros de datos centralizados operados por la empresa a las aplicaciones SaaS y las cargas de trabajo en la nube, y esto plantea nuevos desafíos, especialmente en términos de conectividad y protección de datos», dijo. Nicolas Fischbach, CTO world-wide y vicepresidente de Ingeniería SASE en Forcepoint, en Cambio de marchas de IOC a IOB.

¿Qué son los indicadores de comportamiento?

Fischbach y Alan Ross, arquitecto jefe de X-Labs de Forcepoint, defienden una solución diferente: Indicadores de comportamiento (IOB). «Los IOB son comportamientos que se monitorean para comprender el riesgo dentro de una organización», dijo Ross en su artículo. Indicadores de comportamiento (IOB): con la visión 2020. «Cada vez que se crea, guarda, modifica, envía, comparte, carga, descarga o elimina un documento, esas acciones se analizan como una serie para determinar el contexto y la intención».

VER: La ingeniería del caos de seguridad le ayuda a encontrar eslabones débiles en sus ciberdefensas antes de que lo hagan los atacantes (TechRepublic)

Los IOB son modificaciones inesperadas y no autorizadas de la línea de base operativa typical. Algunos ejemplos pueden ser:

  • Crear o modificar tareas programadas
  • Instalación de nuevas aplicaciones o servicios
  • Crear nuevas cuentas de usuario
  • Envío de correo electrónico y archivos adjuntos a un dominio own
  • Crear nuevas instancias de computación
  • Acceder a la información almacenada
  • Ejecutar consultas y exportar los resultados

Ross dijo que el uso de herramientas de colaboración y actividades de sitios world wide web como mensajes, enviar archivos adjuntos, cargar información o aprovechar nuevas herramientas o sitios deben considerarse IOB.

¿Cuál es la diferencia entre las IOC y las IOB?

Puede parecer que hay muy poca diferencia entre los dos, pero es una diferencia importante. Ross dijo que las IOB son más que un seguimiento de la actividad, y agregó que la industria necesita comprender realmente cada parte de la secuencia. Por ejemplo, en lugar de simplemente saber que se están robando datos, Ross quiere conocer los pasos individuales que hacen posible el robo dividiendo el proceso en IOB.

VER: No cometa estos errores de ciberresiliencia (TechRepublic)

El examen de las IOB aumenta la comprensión de los riesgos que se están tomando. «Hay cientos de indicadores de comportamiento que podemos observar y recopilar», dijo Ross. «Una vez que recopilamos los IOB, podemos juntarlos para detallar comportamientos específicos, personas y resultados comerciales que pueden manifestarse a partir de estos comportamientos».

Un resultado positivo del uso de IOB, dijo Ross, es la capacidad de predecir lo que sucederá si una organización realiza un cambio en el proceso de seguridad (por ejemplo, deshabilitar USB para dispositivos de almacenamiento externos).

Algunos ejemplos de lo que él consideraría IOB:

  • Los usuarios crean una dirección de reenvío de correo electrónico a un canal de Slack.
  • Los usuarios cambian de la red corporativa al punto de acceso telefónico y viceversa.
  • Los usuarios cargan el código en un repositorio de Git o en un dominio desconocido.
  • Los usuarios descargan información a un dispositivo de almacenamiento extraíble.
  • Los usuarios instalan una aplicación en la nube individual en sus computadoras portátiles.

La capacidad de modificar comportamientos.

Este enfoque permite la protección de activos al tomar acciones dependiendo del nivel de riesgo y el contexto de la situación del usuario. «Podemos advertir al usuario y permitirle que se detenga o continúe y, si es necesario, podemos tomar medidas para proteger los datos, bloquear actividades o incluso deshabilitar el acceso a la cuenta y el dispositivo del usuario», dijo Ross.

VER: Cómo mostrar un ROI sobre los gastos en ciberseguridad (TechRepublic)

«Aprovechar las IOB para formular detecciones de comportamiento reducirá drásticamente la cantidad de ruido y falsos positivos que una organización necesita perseguir», dijo. «Somos muy conscientes de la &#39fatiga de alerta&#39 de los analistas y creemos que existe una forma mucho mejor de recopilar y presentar la información más relevante al usuario closing».

¿Por qué utilizar IOB?

La ventaja de usar IOB es comprender el historial y el comportamiento de los usuarios, lo que permite juzgar si se debe permitir que el comportamiento continúe o se modifique.

Un ejemplo podría ser el de un vendedor que hace una presentación en una conferencia importante. El organizador necesita una copia de la presentación. El vendedor guarda la presentación en una unidad flash y proporciona la unidad al organizador. Conocer este comportamiento es probable que suceda para este usuario en distinct evita una alerta por el uso de unidades flash y permite que el vendedor cumpla con una obligación. Ross concluyó: «Las IOB presentan la mejor oportunidad para brindar confianza adaptativa al detener lo malo y permitir lo bueno».

Ver también



Enlace a la noticia first