Uno de los principales retos de un buen programa de respuesta a incidentes es equilibrar la necesidad de visibilidad, detección y respuesta con el coste y la complejidad de crear y mantener una pila de seguridad utilizable y eficaz.
Históricamente, la información de seguridad y gestión de eventos (SIEM) ha estado en el centro de muchas operaciones de seguridad para cubrir un amplio conjunto de casos de uso, incluyendo la detección de amenazas, informes de cumplimiento, centralización de alertas, así como proporcionar procesos analistas y flujos de trabajo. Para algunas organizaciones, un SIEM es ideal como punto central de todo lo relacionado con la detección de amenazas y los registros. Para otras, la capacidad de gestionar un SIEM eficaz viene determinada por su capacidad de retener el talento. Las hay que se enfrentan a la falta de personal cualificado para las funciones del equipo azul.
Por desgracia, un SIEM suele introducir capas adicionales de sobrecarga, y no todos los flujos de trabajo de investigación o de respuesta a incidentes necesitan estar en un SIEM. Lo que resulta crítico es saber qué eventos proporcionan la mayor relación señal-ruido para la detección de amenazas. Entonces, ¿para qué sirve un SIEM en un entorno con recursos limitados?
Para responder a esta pregunta, debemos empezar por definir las necesidades de la detección de amenazas y la respuesta a incidentes:
- Visibilidad de todos los activos de la organización, dondequiera que residan. Esto podría incluir cargas de trabajo cloud centros de datos y cloud , portátiles propiedad de la empresa, así como dispositivos BYOD e IoT.
- Correlación de eventos de seguridad y capacidad para identificar relaciones entre cargas de trabajo y dispositivos.
- Contexto de lo sucedido asociado a una respuesta procesable.
- Procesos y flujos de trabajo repetibles que permiten a los analistas principiantes ampliar rápidamente sus conocimientos de seguridad y a los analistas veteranos realizar investigaciones rápidas y concluyentes.
- Detección e investigación de amenazas que puede comenzar desde cualquier punto.
Aunque creo que la red es la forma más fácil de obtener la visibilidad más amplia y es un gran punto de partida para saber dónde cazar, otras fuentes de datos pueden enriquecer el contexto.
La detección de amenazas necesita el contexto de la red y de los endpoints, así como los registros. Y cada una de estas fuentes de datos debe contar con el apoyo de herramientas especializadas creadas específicamente para la visibilidad, la detección y la respuesta en sus respectivos tipos de datos que se construyen desde cero para trabajar juntos.
Existe una nueva clase de arquitectura de seguridad sin SIEM que permite a las empresas aprovechar a personas inteligentes con experiencia general en TI para que se conviertan en la nueva generación de analistas de seguridad. Estas plataformas especializadas de detección y respuesta ofrecen procesos fáciles de entender y repetibles que son los cimientos de una investigación eficaz, independientemente del tipo de amenaza a la que te enfrentes.
Los tres componentes clave de esta arquitectura dinámica consisten en (1) detección y respuesta de redes y endpoints (NDR y EDR) combinadas con (2) automatización y orquestación de la seguridad para reunir (3) gestión de casos de respuesta a incidentes. Las investigaciones pueden comenzar en cualquier lugar -red, endpoint o automatización y orquestación de la seguridad- porque los componentes clave de la arquitectura se comunican entre sí. Las herramientas de seguridad perimetral con las que ya se cuenta suelen proporcionar enriquecimiento adicional de casos y aplicación de respuestas.
Esta arquitectura se utiliza a menudo en entornos de clientes con integración entre Vectra, CrowdStrike, Demisto y Palo Alto Networks. Por ejemplo, la integración a través de la orquestación permite que se produzcan acciones informadas basadas en el etiquetado de Cognito, que activa eventos, y la automatización en Demisto, y ofrece información valiosa que permite a los equipos de seguridad crear equipos azules muy eficaces.
Con una mejor fuente de datos como NDR de Vectra y EDR de CrowdStrike, los analistas de seguridad pueden eliminar el coste y la complejidad de los SIEM y, al mismo tiempo, disfrutar de las ventajas de una respuesta más rápida ante incidentes. La plataforma Vectra Cognito se creó específicamente para integrarse con la protección de puntos finales, la orquestación, el cortafuegos, la cloud y la seguridad del centro de datos virtualizado para respaldar los flujos de trabajo de respuesta a incidentes existentes de una forma que complemente su organización.
Estas integraciones incluyen VMware, Microsoft Azure, Amazon Web Services, CrowdStrike, Carbon Black, Demisto, Splunk, Juniper, Palo Alto Networks y más. Esto permite a los analistas de seguridad pivotar fácilmente entre cualquier plataforma o herramienta a la vez que ofrecen un contexto enriquecido sobre dispositivos host comprometidos e incidentes de amenazas.
Y si no puede separarse de su SIEM porque lo percibe como el centro de su universo de investigación de amenazas, Cognito también funciona bien allí(QRadar, ArcSight y Splunk).