Cada vez hay más nubes para los profesionales de la seguridad, y eso puede ser bueno. A medida que sus organizaciones ponen cloud a trabajar en más aplicaciones, los equipos de seguridad tienen la tarea de integrar un conjunto mucho más amplio de telemetría para dar sentido a su entorno. Crear conciencia de la situación ya es bastante difícil con los entornos existentes. Pero ese movimiento para integrar más cloud puede ser un catalizador para que los equipos den el paso hacia herramientas analíticas que les hagan más productivos y eficaces.
En un estudio reciente de 451 Research, que forma parte de S&P Global Market Intelligence, el 57% de las empresas declararon que ya han implantado o están implantando entornos cloud híbrida que combinan sistemas locales y nubes externas. Esto significa que ya están teniendo que lidiar con una gran cantidad de nuevos tipos de información que arrojan estos sistemas y con el aumento de los volúmenes disponibles. Aunque más datos crean la oportunidad de obtener mejores conocimientos, las competencias necesarias para operar en estos nuevos mundos pueden escasear.
Otro estudio de 451 Research de la misma época muestra que las carencias de competencias más acusadas se dan en los conocimientos sobre plataformas cloud , funciones y herramientas cloud, seguidas de cerca por la seguridad de la información. Esta combinación puede significar que, no sólo persiste la escasez a largo plazo de profesionales de la seguridad de la información, sino que la falta de aquellos con aptitudes cloud puede estar superándola. Las organizaciones deben comprender que no pueden esperar salir de estos problemas contratando.
El uso de la analítica en la seguridad ha crecido considerablemente, impulsado por la necesidad a largo plazo de encontrar multiplicadores de fuerza para equipos sobrecargados. Esa demanda ha llevado a una proliferación del uso de términos como inteligencia artificial (IA) y aprendizaje automático, a menudo con dramáticas afirmaciones sobre su eficacia. El uso de estos términos se ha extendido tanto, que otro estudio nuestro de finales de 2019 los situaba en el puesto número 2 como las tendencias de seguridad o palabras de moda más exageradas, justo después de blockchain. Eso es un indicio de lo difícil que es para los profesionales de la seguridad dar sentido a la avalancha de afirmaciones que inundan el mercado.
Entonces, ¿qué puede hacer un CISO pobre en esta situación? A pesar de las percepciones de bombo y platillo, la analítica es la forma de avanzar y aumentar tanto la productividad como la eficacia. Pero deben tener en cuenta dos cosas: (1) no toda la IA se crea igual y (2) ciertas fuentes de telemetría son más iguales que otras.
En el lado telemétrico del cálculo, las fuentes de datos más fiables ganan a las demás. Incluso en mundos turbios, las fuentes de red tienen muchas ventajas. Son una fuente sólida de verdad y son resistentes a la detección de atacantes. Muchos entornos cloud no podrán proporcionar una escucha de red, por lo que los equipos de seguridad tienen que ser capaces de ingerir registros de flujo y registros de acceso y utilizar sistemas que puedan correlacionarlos.
Para el análisis, es importante tener en cuenta qué modelos se utilizan y cómo se ponen en práctica. Las técnicas de aprendizaje no supervisado prometen la capacidad de funcionar con poca gestión, pero ningún sistema de éxito es totalmente no supervisado. Los enfoques más maduros construyen y ajustan modelos que pueden dirigirse a distintas fuentes y correlacionar distintos datos telemétricos. Utilizarán varios modelos y evaluarán los resultados para limitar la generación de eventos a los que tengan el nivel de confianza adecuado.
La combinación de los datos correctos y los análisis adecuados puede ayudar a los equipos de seguridad a separar las nubes y ayudarles a proteger lo que es un recurso importante para la empresa moderna.
Para saber cómo los equipos de operaciones de seguridad aprovechan la moderna detección y respuesta de redes (NDR) basada en el comportamiento para cazar amenazas y adelantarse a los atacantes , programe una demostración.