Automatizar la respuesta es una maratón, no un dash



Una de las constantes a las que se enfrentan los profesionales de la seguridad es un alto volumen de alertas. Incluso después de filtrar el ruido y llegar a los eventos importantes, ese número suele ser mucho mayor de lo que los equipos de seguridad pueden abordar en un turno usual. Rara vez hay presupuesto disponible para adquirir la plantilla necesaria de profesionales calificados, o incluso una combinación de profesionales capacitados y capacitados, por lo que los líderes de seguridad están desarrollando sus planes de respuesta para incluir la automatización donde tiene sentido ayudarlos a abordar la gran cantidad de eventos.

Veamos más de cerca las diferentes etapas de la automatización de la respuesta y lo que los equipos de seguridad deben considerar a lo largo de este proceso. Para ilustrar estos conceptos, considere los siguientes escenarios y respuestas.

Escenario 1: posible amenaza interna
Las credenciales de administrador de TI de una empresa de servicios financieros se utilizan para acceder y modificar sistemas que antes no se tocaban. Esto podría ser una advertencia temprana de una posible amenaza interna, o podría no ser nada en absoluto. La actividad anómala desencadena un libro de jugadas que envía una notificación automática al administrador de TI y a su supervisor en sus dispositivos móviles. Se les da la opción de deshabilitar las credenciales de usuario en Active Listing o investigar más abriendo un ticket en ServiceNow.

Escenario 2: anomalía de acceso privilegiado
Las credenciales privilegiadas de un alto ejecutivo se utilizan para manipular la información de la empresa desde una geografía inusual. El incidente desencadena un libro de jugadas para contener la amenaza potencial y notificar al equipo de seguridad. Se restringen los privilegios de las credenciales, se envía una notificación automática al administrador de seguridad y se envía un mensaje a Slack para notificar al equipo de seguridad para que puedan verificar la legitimidad de la actividad.

Escenario 3: Indicadores complejos de compromiso
Un sistema de admisión de pacientes en una clínica de atención médica muestra una actividad anormal de PowerShell consistente con campañas de ataques de ransomware conocidas. El incidente desencadena instantáneamente un libro de jugadas para aislar el host comprometido y bloquear la comunicación de fuentes externas en el perímetro para evitar la propagación a otros hosts.

Análisis
El primer escenario es un ejemplo de una organización en la etapa inicial de exploración de la automatización en su strategy de respuesta. Permite que se tome una decisión guiada por humanos antes de ejecutar el cambio en el management de seguridad en este caso, deshabilitar al usuario con credenciales. También abre un boleto para que los equipos investiguen más a fondo. En esta etapa, la organización querrá asegurarse de conocer la criticidad de los activos y categorizarlos como «esto es crítico» para escalar la automatización de la respuesta.

El segundo escenario es un ejemplo de una organización que comienza a adoptar la automatización. Hay una condición que activa el control de seguridad para ajustar automáticamente los permisos para que sean un poco más restrictivos. Esto permite al usuario seguir accediendo a los recursos internos y seguir siendo productivo mientras el investigador confirma si la anomalía es una actividad válida. En esta etapa, habría habido suficientes incidentes del mismo tipo y acciones del mismo tipo para tener la confianza de ejecutar la acción en el manage de seguridad mientras se lleva a cabo la investigación.

El tercer escenario demuestra una empresa que adopta completamente la automatización. Hay un conjunto de condiciones que se cumplieron y el sistema automatizado ejecutó automáticamente acciones en el host y en los controles de seguridad perimetrales para evitar la propagación y obtener pwn3d. La velocidad fue crítica, por lo que no hubo un punto de decisión humano, aunque habrá algún tipo de notificación a las partes interesadas correspondientes para realizar más análisis forenses y fortalecer los sistemas afectados.

Cada uno de estos escenarios requiere múltiples acciones, que incluyen informar al gerente de seguridad de un incidente y ajustar los controles de seguridad. La mayoría de las organizaciones que comienzan a implementar la respuesta automatizada comenzarán informando al own cuando se cumple una condición hasta que esté seguro de que una acción en el handle de seguridad no tendrá una consecuencia no deseada que interrumpa el negocio luego implementará gradualmente la automatización donde tenga sentido. En última instancia, una organización exitosa se siente cómoda con su postura de seguridad y adopta controles a su propio ritmo, equilibrando la automatización de procesos y la interacción humana para abordar sus requisitos de seguridad.



Enlace a la noticia original