Desde la preparación hasta el seguimiento, las organizaciones siguen esforzándose por desarrollar un enfoque racionalizado de la respuesta a incidentes. Para responder eficazmente a los incidentes de ciberseguridad y contenerlos es necesario que las personas, los procesos, las herramientas y los datos trabajen juntos en armonía. Por desgracia, ese nivel de armonía es poco frecuente en los centros de operaciones de seguridad (SOC) modernos. Así pues, exploremos la importancia de la integración de flujos de trabajo para que los equipos de operaciones de seguridad modernos utilicen eficazmente sus recursos y respondan eficientemente a los incidentes.
Problemas actuales de los procesos de respuesta a incidentes
Las tres estadísticas siguientes por sí solas pintan un panorama aleccionador del estado actual de la respuesta a incidentes:
- El tiempo medio para contener una violación de datos es de 80 días.
- Un informe de 2021 sobre respuesta a incidentes descubrió que hasta el 54% de los equipos de seguridad pierden un tiempo valioso investigando alertas de bajo nivel que ralentizan el proceso de respuesta a incidentes.
- Las empresas despliegan una media de 45 herramientas de ciberseguridad en sus redes, lo que dificulta el trabajo conjunto de la pila tecnológica y también obstaculiza la capacidad de detectar y contener los incidentes de ciberseguridad.
Estas estadísticas muestran que existe una falta fundamental de integración en cuanto a la forma en que los equipos de operaciones de seguridad reúnen herramientas y procesos dispares.
Se ha producido un aumento espectacular del número de actores de amenazas que atacan a las organizaciones desde grupos patrocinados por naciones y grupos con ánimo de lucro. Los entornos de TI modernos, caracterizados por una infraestructura de cloud híbrida y una plantilla remota, aumentan la superficie de ataque. Un flujo de trabajo estructurado e integrado es fundamental para que los equipos de seguridad se preparen para la afluencia de ataques modernos con el fin de responder rápidamente a los incidentes.
Flujo de trabajoLa integración no sólo es importante desde el punto de vista de la respuesta eficaz a los incidentes de seguridad, sino también desde el punto de vista empresarial. Cuando los profesionales de la seguridad cualificados, como los analistas del SOC, pasan gran parte de su tiempo saltando entre distintas aplicaciones sólo para comprender el contexto de un incidente, la organización desperdicia valiosos recursos. Una encuesta reciente reveló que el 51% de los encuestados afirmó que el ROI del SOC está empeorando, mientras que el 80% calificó la complejidad de su SOC como muy alta.
La solución para una mejor respuesta a los incidentes
Sólo en el sector de los servicios financieros, las empresas gastan hasta 3.000 dólares en ciberseguridad por empleado, pero los bancos y otras instituciones financieras siguen sin responder adecuadamente a los incidentes a pesar de estas inversiones. Está claro que se necesita un enfoque estratégico mejor. Una respuesta eficaz a los incidentes en el panorama actual requiere automatización e integración entre sistemas como parte de un flujo de trabajo estructurado y metódico.
Automatización integrada
La automatización libera tiempo para que los profesionales de la seguridad sean más productivos al eliminar la necesidad de realizar tareas repetitivas. No es prudente ni práctico automatizar todos los aspectos de la respuesta a incidentes; sin embargo, tiene sentido automatizar tareas como la generación de alertas y la creación de tickets de incidentes para notificar a los equipos SOC.
Un punto crucial aquí es concentrar los esfuerzos de automatización entre los diferentes sistemas, para que la pila tecnológica funcione como una unidad cohesionada en lugar de las islas aisladas que a menudo crean cuellos de botella en el proceso de respuesta. Esto significa que la automatización debe integrarse desde el nivel de detección de intrusiones o puntos finales hasta el sistema SIEM, pasando por el sistema de gestión de incidentes.
Otro engranaje fundamental de la maquinaria de automatización para una respuesta eficaz a los incidentes es la inteligencia artificial (IA). Las empresas necesitan reducir de días a minutos el tiempo necesario para detectar incidentes. Las soluciones basadas en modelos de aprendizaje automático pueden automatizar la detección de amenazas mediante análisis del comportamiento. Esta automatización impulsada por la IA permite una respuesta y corrección más rápidas de los incidentes de seguridad.
Flujos de trabajo estructurados
Los flujos de trabajo de respuesta a incidentes formalizados, estructurados y repetibles son cruciales para que los equipos de seguridad puedan responder en lugar de estancarse en la clasificación de las alertas. Las soluciones SIEM ofrecen vistas centralizadas de los datos de seguridad, pero el enorme volumen de datos unido a procesos ineficaces ralentiza la respuesta del SOC a los incidentes de seguridad.
Los flujos de trabajo centrados en una serie de tareas que incorporan la automatización pueden consolidar y convertir múltiples hallazgos de diferentes herramientas de seguridad en elementos procesables. Los flujos de trabajo establecen un flujo lógico que los equipos pueden seguir para investigar incidentes de seguridad, como una identidad de usuario comprometida. El flujo de trabajo establece a quién se debe alertar, qué se debe hacer cuando se detecta un posible riesgo de identidad, qué datos representan un riesgo de identidad y qué pasos son necesarios para recuperarla.
Los flujos de trabajo estructurados garantizan un proceso de respuesta a incidentes coherente, predecible y fluido. Los componentes básicos de un flujo de trabajo inician los eventos que desencadenan la respuesta, las acciones y decisiones que deben tomarse, y el estado final que cierra el bucle representando el resultado deseado basado en condiciones predefinidas. Empiece a crear flujos de trabajo para eventos de seguridad comunes, como:
- Contraseña comprometida
- Adquisición de cuentas de correo electrónico
- Brote de Malware
Una vez establecidos los flujos de trabajo, aplique la automatización a las tareas siempre que pueda, de modo que disponga de automatización tanto dentro de los sistemas como entre ellos. Esto libera al personal del SOC del trabajo tedioso y lento y mejora los tiempos de respuesta. Por ejemplo, cuando un nuevo dispositivo se conecta a la red, se lleva a cabo un análisis automático de vulnerabilidades, que activa una alerta automática en su SIEM.
He aquí un breve ejemplo de un flujo de trabajo automatizado e integrado de respuesta a incidentes en respuesta a un brote de malware :
- La solución de detección activa una alerta de malware y la envía al sistema SIEM en función de umbrales predefinidos que indiquen brotes de malware .
- Se crea automáticamente un ticket de incidencia para el equipo SOC
- El ticket se actualiza automáticamente con información contextual sobre el brote de malware para permitir una investigación más rápida por parte de los analistas de seguridad.
- Cuando el responsable del incidente decide la acción a tomar, el ticket se resuelve, y el bucle se cierra actualizando automáticamente la alerta original en la solución de detección.
Una mayor productividad del SOC, un mejor rendimiento de la inversión de las herramientas de seguridad y tiempos de respuesta más rápidos son las ventajas más importantes de la integración y automatización de los flujos de trabajo. Merece la pena tomarse el tiempo necesario para planificar los flujos de trabajo automatizados e integrados de su SOC.
Lleve su respuesta a incidentes al siguiente nivel participando en una demostración de autoservicio hoy mismo.