Mediry mejorar el tiempo total de respuesta es más fácil de decir que de hacer. La realidad es que muchas organizaciones no conocen su estado actual de preparación para poder responder a un incidente de ciberseguridad de forma rápida y eficaz. Y la mayoría no sabe cuál debe ser su nivel de concienciación sobre los riesgos o un nivel de respuesta adecuado. Como mencioné en mi blog anterior, la clasificación del riesgo impulsa el nivel de madurez necesario de la organización.
Y lo que es más grave, aunque se conozca el riesgo, la falta de personal o la ineficacia del mismo no darán lugar a un programa eficaz. Un gran porcentaje del tiempo de un analista de seguridad se dedica a abordar sucesos inesperados que un proceso existente no puede gestionar. Los analistas de seguridad realizan una enorme cantidad de tedioso trabajo manual para clasificar las alertas, correlacionarlas y priorizarlas. A menudo pasan horas haciendo esto sólo para enterarse de que la alerta no es realmente prioritaria.
Además, realizar un trabajo manual y tedioso introduce errores humanos. Las personas destacan en el pensamiento crítico y el análisis, no en el trabajo manual repetitivo. Las organizaciones no tienen otro recurso que contratar a más personas, reducir la carga de trabajo o ambas cosas. Lograr el tiempo de respuesta deseado para un alto nivel de conocimiento de las amenazas requiere una comprensión profunda de qué tareas automatizar y, lo que es más importante, cuándo no automatizar.
Un proceso eficaz de respuesta a incidentes mantendrá a las personas al tanto sin darles todas las llaves de las máquinas. En su lugar, el objetivo es liberar el tiempo del analista de seguridad para que pueda centrarse en un trabajo de mayor valor que requiera pensamiento crítico.
El modelo anterior consta de tres etapas que muestran cómo puede aplicarse la automatización a un proceso de detección y respuesta. Se desglosa de la siguiente manera:
- Visibilidad, detección y priorización de indicadores de ataque procedentes de puntos finales y redes.
- Análisis de datos de terminales y redes correlacionados con otras fuentes de datos clave.
- Una respuesta coordinada a los ataques a través de puntos finales, redes, usuarios y aplicaciones.
Fase 1: Visibilidad, detección y priorización
La red y sus puntos finales proporcionan capacidades de visibilidad y detección. Se basan en los datos de visibilidad y detección para proporcionar la priorización inicial de un incidente y las alertas inmediatas. La automatización del proceso de detección y triaje en esta fase reduce el número total de eventos notificados al agrupar numerosas alertas para crear un único incidente que investigar y que describe una cadena de actividades relacionadas, en lugar de alertas aisladas que un analista de seguridad tiene que recomponer. Los activos y las cuentas centrales de un incidente se contextualizan y priorizan en función de la amenaza y la certeza. A continuación, esta información pasa a la siguiente fase.
Etapa 2: Correlación y análisis
En esta fase, los datos de la red y de los puntos finales se correlacionan con los datos de los sistemas de gestión de usuarios, vulnerabilidades y aplicaciones, así como con otra información de seguridad como los feeds de inteligencia sobre amenazas. El objetivo es verificar lo que se priorizó a partir de los datos de la red y los puntos finales y prescribir la respuesta correcta en función de la gravedad y la prioridad. Esta etapa requiere un análisis humano para tomar decisiones basadas en el contexto ambiental y el riesgo empresarial. Las alertas altamente refinadas y verificadas pasan a la Etapa 3.
Etapa 3: Coordinación y respuesta
En esta etapa, la automatización del libro de jugadas recibe la respuesta priorizada. Esto incluye las alertas de puntos finales y de red generadas por las herramientas de detección y respuesta de redes (NDR) y de detección y respuesta de puntos finales (EDR) en función de sus respectivas capacidades analíticas. Las guías de automatización y orquestación aprovechan los datos proporcionados por la correlación y el análisis. Estas guías coordinan una respuesta a los ataques a través de puntos finales, redes, usuarios y sistemas de gestión de aplicaciones. Las respuestas se ejecutan a velocidad de máquina para mitigar la propagación del ataque y pueden incluir puntos de decisión humana para regular el nivel de automatización a niveles adecuados para la situación.
El alto grado de integración e interoperabilidad entre estas plataformas permite a las organizaciones implantar la detección y respuesta en una configuración muy práctica y manejable. Esto minimiza el número de herramientas y aplicaciones de seguridad necesarias para abordar el ciclo completo de seguridad de detectar, decidir y responder. Esta implantación también proporciona un nivel de madurez superior al que alcanzan actualmente la mayoría de las organizaciones.
El planteamiento no sólo funciona en teoría. Funciona en el mundo real utilizando NDR. Podemos observar las métricas de las organizaciones existentes que desplegaron la plataforma Cognito de Vectra para ver la reducción media de la carga de trabajo para detectar, clasificar y priorizar eventos por parte de un analista de seguridad de primer nivel.
Por cada 10.000 dispositivos y cargas de trabajo supervisados en un mes, el recuento medio máximo de la gravedad del host marcó 27 detecciones críticas y 57 de alto riesgo. Estos dispositivos y cargas de trabajo representan la mayor amenaza para una organización y requieren la atención inmediata de un analista de seguridad. En un periodo de 30 días, esto supone aproximadamente una detección crítica y dos detecciones de alto riesgo al día que requieren atención inmediata. Si bien pueden producirse otros eventos, pocos son de interés real y deben remitirse a los analistas superiores o a las unidades de negocio para una investigación más profunda.
Los algoritmos de aprendizaje automático basados en el comportamiento son increíblemente útiles para realizar trabajos repetitivos a velocidades superiores a las que pueden alcanzar los humanos las 24 horas del día y sin errores. El aprendizaje automático proporciona una visión profunda y un contexto detallado sobre los ciberataques en curso, lo que permite a los analistas de seguridad realizar el pensamiento crítico para verificar y responder rápidamente a un incidente. Esto se consigue utilizando una señal de alta fidelidad que filtra el ruido que conduce a falsos positivos.
Esto, a su vez, reduce las lagunas de cualificación y las barreras de entrada en las operaciones de seguridad como analista junior, al tiempo que libera tiempo de los analistas senior altamente cualificados para centrarse en la caza de amenazas y actuar como asesores de riesgos para las unidades de negocio.
Conclusiones
He aquí tres puntos clave que conviene recordar.
El tiempo es la métrica más importante para detectar y responder a los ataques antes de que se produzcan daños.
Detener los ataques persistentes y selectivos requiere una detección y respuesta rápidas.
Un mayor conocimiento de las amenazas y una mayor agilidad de respuesta son los resultados de un proceso maduro de respuesta a incidentes.
Es vital comprender los riesgos en relación con los niveles adecuados de conocimiento de las amenazas y agilidad de respuesta.
El aprendizaje automático funciona mejor cuando se aplica a tareas específicas.
Es ideal para automatizar tareas tediosas y repetitivas, dejando el pensamiento crítico y el análisis complejo a las personas.
Si necesita mejorar sus operaciones de seguridad y mejorar sus capacidades de respuesta ante incidentes, descubra Vectra Advisory Services para obtener una gama de ofertas adaptadas a las necesidades específicas de su organización.