Borrar las incógnitas, transformar el SOC

10 de julio de 2022

VP de Investigación y Estrategia de Producto

Borrar las incógnitas, transformar el SOC

Las grandes incógnitas de los equipos SOC

En mi último blog, presenté las 9 C del valor de la ciberseguridad. Mi objetivo era ayudar a los equipos de seguridad a seguir el ritmo de la constante evolución de las superficies de ataque y los métodos de los atacantes: los proveedores, los socios y, de hecho, todos los seres humanos tenemos que trabajar juntos para hacer avanzar la seguridad. Una forma importante de hacerlo es borrar las incógnitas...

de superficies de ataque: Extienda la seguridad más allá de la red del centro de datos y el punto final a la cloud pública, SaaS, la identidad cloud.
de los métodos de los atacantes modernos: Pueden eludir fácilmente las herramientas de prevención aprovechando servicios y API autorizados.
de tecnología y herramientas aisladas: Elimine todo lo que no se integre o automatice para enriquecer el contexto, los flujos de trabajo o la respuesta.

Según un reciente estudio de Vectra , los equipos de seguridad tienen dificultades para seguir el ritmo de los ciberataques. La falta de visibilidad, la falta de detección de ataques modernos y una integración deficiente fueron citadas como las 3 razones principales por las que las herramientas de seguridad no cumplen sus promesas para el 79% de los responsables de seguridad. La razón: las grandes incógnitas.

La carga de las grandes incógnitas recae directamente sobre los hombros de los equipos de los centros de operaciones de seguridad (SOC). El 83% de los equipos de seguridad se sienten superados frente a las amenazas modernas. Las herramientas heredadas que tienen en su arsenal no siguen el ritmo, como demuestra el 72% de los equipos de seguridad que creen que pueden estar en peligro pero no lo saben. Visibilidad, detección de amenazas, integración: estas son las promesas que han hecho los proveedores de seguridad, pero, según los equipos de seguridad, muchos no las están cumpliendo.

En Vectra, nos gusta pensar en el futuro y descubrir el porqué. Lo que descubrimos es que los retos a los que se enfrentan los equipos de SOC se reducen a 3 cosas:

Cobertura: la promesa de garantizar la seguridad de las aplicaciones y los datos estén donde estén.
Claridad: la promesa de ver amenazas en lugares que otros no pueden y detenerlas.
Control: la promesa de integrar y automatizar la defensa contra ataques de principio a fin, de arriba abajo.

Cobertura

Ya no hay perímetros, y la prevención no basta. Hoy se trata de defensa en profundidad, de confiar pero verificar. Todos hemos oído los tópicos. (Pero si dejamos a un lado los tópicos y las frases hechas y pensamos en sentido ascendente, la única verdad es que las superficies de ataque se están ampliando.

Las redes de los centros de datos y las superficies de ataque de los endpoints siempre han estado bajo ataque, pero ahora tenemos AWS, Microsoft Azure, Microsoft 365, GCP, cientos de aplicaciones SaaS y docenas de productos de identidad cloud. Tenemos llamadas API de un servicio a otro, entretejiéndolo todo en una sinfonía perfecta. Para los equipos SOC, esto se convierte en el gran desconocido; para un atacante, es un sueño hecho realidad. Dos tercios de todos los ataques aprovechan servicios autorizados y API para acceder a las aplicaciones y datos de una organización, lo que les da claramente ventaja. Para erradicar las grandes incógnitas de la superficie de ataque, los equipos SOC necesitan una visibilidad unificada de la actividad de las amenazas en las cinco superficies de ataque, desde las redes de los centros de datos y los puntos finales hasta cloud pública, SaaS e identidad. Necesitan cobertura.

Claridad

Siento empatía por los líderes, arquitectos y analistas de los SOC. Les están machacando por todos lados, y como los analistas de SOC escasean, muchos están dejando sus trabajos actuales por pastos más verdes. Los atacantes han ganado la partida. Ajustar y afinar herramientas no es para lo que se contrataron los equipos SOC. Las herramientas heredadas basadas en reglas, como SIEM e IDS, vuelan a ciegas ante los modernos ataques de alta velocidad. Así que, ¿pensar en el futuro? La respuesta para retener y aumentar el talento de los SOC y dar la vuelta a la tortilla frente a los atacantes es eliminar lo desconocido de los métodos de ataque modernos. Para empezar, hay que replantearse el flujo de trabajo del SOC. Hoy en día, oímos a menudo que "lo metemos todo en nuestro SIEM", y lo entendemos. El SIEM es un "cristal único" (otro cliché de seguridad). Pero, ¿cómo puede la seguridad crear una regla para un método de ataque que no ha sido identificado? Peor aún, una vez que se conoce un método de ataque, ajustar y afinar constantemente las reglas SIEM y las firmas IDS es un método agotador, ineficiente e ineficaz para hacer frente a los atacantes modernos.

Aplicar enfoques tradicionales a los métodos de los atacantes modernos crea latencia en el flujo de trabajo del SOC y en el proceso de respuesta a incidentes. Lo último que necesitamos cuando se trata de detectar y responder a ataques modernos es latencia. ¿Por qué dar más tiempo a los atacantes? No, el mejor remedio para la latencia es el contexto, que procede de la cobertura. Sin una cobertura completa, los equipos SOC siempre carecen de contexto. Introducir más datos en un SIEM no equivale a cobertura. Ajustar y afinar constantemente la tecnología no proporciona contexto. Borrar las incógnitas del método de ataque requiere eliminar la latencia del flujo de trabajo SOC. Para ello, los equipos SOC necesitan tecnología que capture, analice e integre el contexto de las cinco superficies de ataque a velocidad y escala. Armarse con un contexto rico en métodos de ataque reduce drásticamente la latencia en los flujos de trabajo de los SOC. Elimina el triaje de alertas, integra y automatiza la priorización, los procesos de investigación y respuesta, y los libros de jugadas. De este modo, los equipos SOC pueden operar con lo que realmente necesitan para eliminar las incógnitas sobre los métodos de los atacantes: una mayor claridad.

Controlar

Cuando una superficie de ataque en constante expansión se une a unos métodos de ataque en constante evolución, junto con la escasez de personal y conocimientos, no es de extrañar que el 83% de los equipos de seguridad se sientan superados y que el 72% piense que puede estar en peligro, pero no lo sepa realmente. A pesar de las crecientes inversiones en tecnología y herramientas, los equipos de SOC siguen luchando por rentabilizar sus inversiones, en gran parte porque sus herramientas a menudo no funcionan juntas como prometían. Cuando la tecnología y las herramientas se convierten en silos, el SOC se resiente. Cuando los equipos SOC saltan de una herramienta a otra para identificar y combatir los ataques modernos, dan ventaja a los atacantes. Los equipos SOC necesitan tecnología y herramientas integradas, y necesitan trabajar juntos para adelantarse a los ataques. Necesitan recuperar el control.

Todos juntos ahora

Con una cobertura completa de la superficie de ataque, los equipos de seguridad obtienen el contexto que necesitan para lograr claridad, lo que se traduce en control. La cobertura proporciona telemetría recopilada en las cinco superficies de ataque: redes (NDR), puntos finales (EDR), cloud pública (AWS, Microsoft Azure, GCP, etc.), SaaS (Microsoft 365) e identidad (Microsoft Azure AD). La claridad viene del análisis de dicha telemetría y de sacar a la luz y alertar de las amenazas que realmente importan. El verdadero control se consigue cuando todo se ha integrado y todo funciona conjuntamente para automatizar el enriquecimiento del contexto, el flujo de trabajo y la respuesta. El resultado: Elimine las incógnitas y construya un SOC más eficaz, eficiente y resistente.

Borrar lo desconocido con la plataforma de seguridad impulsada por IA Vectra

Vectra es el líder en detección y respuesta a amenazas basadas en IA de seguridad. Solo Vectra optimiza la IA de seguridad para ayudar a los líderes de SOC, arquitectos y analistas a borrar lo desconocido. Creamos la señal que ve los ataques en lugares que otros no pueden.

ConVectra, tiene cobertura. Obtenga visibilidad de los ataques con contexto en las cinco superficies de ataque: cloud pública, SaaS, identidad, red y endpoint.
‍Con Vectra, tendrá claridad. Reduzca el ruido de las alertas en más de un 80% identificando los métodos de los atacantes y priorizando las amenazas más importantes para la empresa.
‍Con Vectra, usted tiene el control. Intégrese con su pila existente para obtener contexto, flujo de trabajo y controles para detener las amenazas con menos trabajo, menos herramientas y en menos tiempo.

Para más información sobre la plataforma Vectra, visite nuestra página sobre plataformas.‍

¿Quiere saber más?

Vectra® es el líder en detección y respuesta a amenazas cloud híbrida basadas en IA de seguridad. La plataforma y los servicios de Vectra cubren la cloud pública, las aplicaciones SaaS, los sistemas de identidad y la infraestructura de red, tanto en las instalaciones como cloud. Organizaciones de todo el mundo confían en la plataforma y los servicios de Vectra para resistir el ransomware, el compromiso de la cadena de suministro, la apropiación de identidades y otros ciberataques que afectan a su organización.

Si quiere saber más, póngase en contacto con nosotros y le mostraremos exactamente cómo lo hacemos y qué puede hacer para proteger sus datos. También podemos ponerle en contacto con uno de nuestros clientes para que nos cuente directamente su experiencia con nuestra solución.

Contáctenos