El arte de la priorización despiadada y por qué es importante para SecOps


El equipo del centro de operaciones de seguridad (SecOps) se encuentra en la primera línea de un campo de batalla de ciberseguridad. El equipo de SecOps trabaja las 24 horas del día con recursos valiosos y limitados para monitorear los sistemas empresariales, identificar e investigar las amenazas de ciberseguridad y defenderse de las brechas de seguridad.

Uno de los objetivos importantes de SecOps es una colaboración más rápida y eficaz entre todo el personal involucrado con la seguridad. El equipo busca agilizar el proceso de clasificación de seguridad para resolver los incidentes de seguridad de manera eficiente y efectiva. Para que este proceso se optimice, creemos que la priorización despiadada es fundamental en todos los niveles de respuesta de alerta y clasificación. Esta implacable priorización requiere que tanto los procesos como las plataformas técnicas de soporte sean predictivos, precisos, oportunos, comprensibles para todos los involucrados e idealmente automatizados. Esto puede ser una tarea difícil.

Los volúmenes de alerta tienen al equipo de SecOps bajo asedio

La mayoría de los equipos de SecOps son bombardeados con un aluvión cada vez mayor de alertas cada año. Un reciente Informe de IBM También descubrió que la complejidad está afectando negativamente las capacidades de respuesta a incidentes. Los encuestados estimaron que su organización estaba usando más de 45 herramientas de seguridad diferentes en promedio y que cada incidente al que respondían requería una coordinación entre alrededor de 19 herramientas de seguridad en promedio.

Según el tamaño de la empresa y la industria, estas herramientas pueden generar muchos miles de alertas en períodos que van desde horas hasta días, y muchas de ellas pueden ser redundantes o no tener valor. Un proveedor encuestó a los profesionales de TI en la conferencia RSA en 2018. Los resultados de la encuesta muestran que el veintisiete% de los profesionales de TI reciben más de 1 millón de alertas de seguridad al día.[1].

El costo y el esfuerzo de revisar todas estas alertas son prohibitivos para la mayoría de las organizaciones, por lo que muchas se despriorizan y se ignoran de inmediato. Algunos encuestados admiten que ignoran categorías específicas de alertas y algunos desactivan las alertas de seguridad asociadas con los controles de seguridad que generan gran parte del tráfico de alertas. Sin embargo, la única alerta que ignora puede haber resultado en una importante filtración de datos para la organización.

Los analistas de SecOps de nivel 1 tienen que gestionar este aluvión de alertas. Están rodeados de consolas y monitores que rastrean muchas actividades dentro de las redes empresariales. Hay tantos datos que el personal de respuesta a incidentes no puede procesar, salvo una fracción. Las alertas llegan cada minuto y aumentan el nivel de actividad y el estrés asociado a lo largo del día.

Un analista de SecOps de nivel 1 procesa hasta varios cientos de alertas en un día que requieren una revisión y clasificación rápidas. A medida que se registra la alerta, el analista de SecOps de nivel 1 generalmente revisa una lista de verificación para determinar una mayor priorización y determinar si se requiere una mayor escalada. Esto puede variar sustancialmente según la automatización y las herramientas que respaldan sus esfuerzos.

Una vez que se determina que la alerta es potencialmente maliciosa y requiere seguimiento, se escala a un analista SOC de nivel 2. Los analistas de nivel 2 SOC son principalmente investigadores de seguridad. Quizás solo el 1% o menos se escale a un analista de SOC de nivel 2 para una investigación profunda. Una vez más, las cifras pueden variar sustancialmente según la organización y la industria.

Los investigadores de seguridad utilizarán una multitud de datos, inteligencia de amenazas, archivos de registro, actividad de DNS y mucho más para identificar la naturaleza exacta de la posible infracción y determinar la mejor guía de respuesta a utilizar. En el caso de una amenaza grave, esta respuesta y la subsiguiente remediación deben realizarse en el menor tiempo posible, idealmente medido en minutos, si no solo en unas pocas horas.

En el escenario más peligroso en el que un actor de amenazas ha ejecutado lo que se determina que es un ataque de día cero, el equipo de SOC trabaja con TI, operaciones y las unidades de negocio para proteger, aislar e incluso desconectar servidores críticos para proteger la empresa. . Los ataques de día cero elevan el SOC a un punto de partida de guerra, que, si se ejecuta de manera adecuada y rápida contra los libros de jugadas del equipo, puede ayudar a mitigar el daño adicional de lo que de otro modo serían técnicas de ataque previamente desconocidas. Estos requieren la habilidad y la experiencia de analistas de seguridad avanzados para ayudar a evaluar y mitigar los ciberataques complejos en curso.

Dada la avalancha de alertas, es esencial adoptar una estrategia que se adapte mejor a las capacidades de su equipo frente a un proceso impulsado por prioridades. Esto le permite optimizar su respuesta a las alertas, administrar mejor los recursos del equipo de SecOps y reducir el riesgo de un evento de incumplimiento peligroso.

Hay varios puntos de vista estratégicos que el liderazgo del SOC puede asumir sobre cómo enfocar mejor la priorización. Estas incluyen estrategias impulsadas por datos que utilizan herramientas como DLP, estrategias impulsadas por amenazas para reforzar las defensas y acortar el tiempo de reacción a los vectores de amenazas activos en su industria y geografía, y quizás estrategias impulsadas por activos, donde ciertos activos ameritarán una protección mejorada y una escalada impulsada por prioridades para las alertas. La mayoría de las organizaciones descubren que una combinación integrada de estas estrategias aborda sus necesidades generales.

Un enfoque de priorización basado en datos

El primer enfoque para la priorización, consistente con los principios de confianza cero, es adoptar un enfoque basado en datos. Los datos de los clientes y la propiedad intelectual suelen estar en el centro de las joyas más protegidas de todas las organizaciones. Una forma de enfocar esto dentro de SecOps sería implementar la Prevención de pérdida de datos (DLP). La prevención de pérdida de datos (DLP), según Gartner, puede definirse como tecnologías que realizan tanto la inspección de contenido como el análisis contextual de los datos enviados a través de aplicaciones de mensajería como correo electrónico y mensajería instantánea, en movimiento a través de la red, en uso en un dispositivo terminal administrado, y en reposo en servidores de archivos locales o en aplicaciones y almacenamiento en la nube. Estas soluciones ejecutan respuestas basadas en políticas y reglas definidas para abordar el riesgo de fugas accidentales o inadvertidas o la exposición de datos confidenciales fuera de los canales autorizados.

Las soluciones Enterprise DLP son completas y están empaquetadas en software de agente para equipos de escritorio y servidores, dispositivos físicos y virtuales para monitorear redes y tráfico de correo electrónico, o dispositivos de software para el descubrimiento de datos. El DLP integrado funciona con puertas de enlace web seguras (SWG), puertas de enlace de correo electrónico seguras (SEG), productos de cifrado de correo electrónico, plataformas de gestión de contenido empresarial (ECM), herramientas de clasificación de datos, herramientas de descubrimiento de datos y agentes de seguridad de acceso a la nube (CASB).

Un enfoque de priorización basado en amenazas

La inteligencia de amenazas se centra en la defensa y la prioridad de clasificación de los datos a los actores de amenazas externos y las técnicas que es más probable que utilicen. La inteligencia de amenazas puede proporcionar al SOC los datos que necesitan para anticipar a los actores de amenazas y las Tácticas, Técnicas y Procedimientos (TTP) que estos actores de amenazas podrían usar. Además, la inteligencia de amenazas puede proporcionar un camino para reconocer los incidentes de compromiso (IOC), a menudo únicos, que pueden identificar de manera única un tipo de ciberataque y el actor de amenazas que los usa. El objetivo, por supuesto, es identificar y prevenir estos ataques más probables antes de que ocurran o detenerlos rápidamente al ser detectados.

El premio de consolación también es bueno. Si no puede evitar un ataque, debe poder identificar una amenaza en desarrollo. Debes identificar el ataque, romper la cadena de muerte del atacante y luego detener el ataque. La inteligencia de amenazas también puede ayudarlo a evaluar su entorno, comprender las vulnerabilidades que respaldarían la ejecución de una cadena de eliminación en particular y luego permitirle moverse rápidamente para mitigar estas amenazas.

En agosto de 2020, investigadores de universidades holandesas y alemanas[2] copresentaron en la 29ª conferencia de Usenix sobre una encuesta que realizaron. La encuesta mostró que hay menos superposición entre las fuentes de inteligencia de amenazas de lo que la mayoría de nosotros esperaría. Esto incluye fuentes de inteligencia de amenazas abiertas (gratuitas) y de pago. La moraleja de la historia es que las grandes organizaciones probablemente necesiten un amplio conjunto de datos de inteligencia de amenazas de múltiples fuentes para obtener una ventaja sobre los actores de amenazas y los vectores de ataque que probablemente utilicen. Y estas fuentes deben integrarse en un panel común donde los investigadores de amenazas de SecOps puedan aprovecharlas rápidamente.

Un enfoque de priorización basado en activos

Por supuesto, ciertos activos son más valiosos que otros. Esto puede ser una función de los datos que pueden tener de forma exclusiva y el acceso a la red, las aplicaciones y los recursos de información frecuentados por sus propietarios, o el nivel de criticidad de la función del activo. Por ejemplo, se puede suponer que la computadora portátil del director financiero está en posesión de los datos más confidenciales, o un monitor de dispositivo médico durante la cirugía o un controlador de comando para la producción de fabricación. Por tanto, pueden merecer una mayor prioridad en términos de protección.

Optimice su estrategia de priorización con MVISION XDR

MVISION XDR proporciona capacidades que aprovechan todas estas estrategias de priorización: basadas en datos, basadas en amenazas y basadas en activos. Además de esto, MVISION XDR ofrece una evaluación predictiva basada en amenazas globales que probablemente apunten a su organización con una evaluación local de cómo su entorno puede contrarrestar la amenaza. Esta evaluación procesable «antes del ataque» está impulsada por las distintas MVISION Insights que permiten al SOC ser más proactivo y menos reactivo. Aquí hay una vista previa de las diez campañas de amenazas principales de MVISION Insights. Aquí hay algunos ejemplos clave de priorización entregados en MVISION XDR:

Ejemplos clave de priorización de MVISION XDR

Estrategia (s) de prioridad Descripción de la capacidad Beneficio y valor
Basado en datos Alerta basada en la sensibilidad de los datos Centrarse en la actividad de impacto crítico
Impulsado por amenazas Técnicas automáticas de amenazas correlacionadas para derivar en los próximos pasos probables Gana confianza en la alerta menos falsos positivos
Impulsado por amenazas Vea las tendencias y los actores de amenazas que se dirigen a su organización Reducir el universo de amenazas y actores a los que importan
Impulsado por activos Etiquete los activos críticos para una priorización automatizada Aborde las amenazas a los activos críticos más rápido

La priorización ofrece un valor comercial mejorado para el equipo de SecOps

MVISION XDR puede ayudarlo a implementar y optimizar su estrategia de priorización. Su equipo de SecOps tendrá el tiempo de clasificación mejorado que necesita con amenazas priorizadas, evaluación predictiva y respuesta proactiva, y el conocimiento de los datos para tomar decisiones mejores y más rápidas. Para obtener más información, revise el resumen de la solución MVISION XDR o comuníquese directamente con nuestro equipo de ventas.

[1] https://www.imperva.com/blog/27-percent-of-it-professionals-receive-more-than-1-million-security-alerts-daily/

[2] https://www.usenix.org/system/files/sec20_slides_bouwman.pdf





Enlace a la noticia original