Detección y respuesta de amenazas, ¿por dónde empezar?

Redaccion

Líderes de la industria se unen la conferencia MASSTLC para hablar de detección, respuesta a los incidentes y hacer un ejercicio colaborativo en seguridad.

IDG

Mientras el panorama continúa en evolución, los expertos en ciberseguridad dependen más de la detección y respuesta a los incidentes, haciendo de la seguridad un ejercicio colaborativo. Pero… ¿por dónde empezar?

Muchos expertos de seguridad usaron la conferencia MASSTLC como un sitio de lanzamiento. Chris Poulin, estratega de investigación de X-Force en IBM, dijo que “el problema es cuánto les toma entender su ambiente. ¿Cómo son cargados o descargados tantos datos? Los SIEM (administración de eventualidades y seguridad informática) observan los umbrales para entender las políticas y su cumplimiento, pero también tienen que tener conocimiento del ambiente. Los usuarios normalmente no cargan o descargan archivos de cierto tamaño”.

“Hay dos conceptos: inventario de activos y descubrimiento de datos. Esos dos conceptos se alían de manera cercana. Necesitan saber qué sistemas tienen, qué aplicaciones, quiénes son los dueños de esas aplicaciones, quiénes son los usuarios autorizados, y quién tiene derecho a esas aplicaciones”, explicó Poulin.

La analítica del comportamiento de los usuarios, aunque se ha aplicado desde hace largo tiempo, se ha puesto de moda nuevamente en los últimos años, a causa de la escala en la cual las máquinas son capaces de agregar y correlacionar los datos.

No obstante, como con cualquier tecnología, el aprendizaje de la máquina es una de las muchas capas de la infraestructura de seguridad. “Es una capa adicional por encima de un SIEM que va en aumento y ayuda a afinar el sistema”, de acuerdo con Poulin.

Lea también: No arrastre sus malos hábitos de seguridad a la nube

A los CISO se les dificulta determinar cuáles de esas capas son más importantes y cuándo ocurre que existen tantas capas que la tecnología de vuelve redundante o discordante. Según Poulin “la perspectiva lo es todo. Mi filosofía personal la tomo prestada de una expresión de carpintería que dice ‘mide dos veces y corta una sola’. Necesitas tener algo para medir la información”.

Todo lo que tienen que hacer es quitar el exceso para determinar cuál es el verdadero problema; ¿se trata del perímetro, el manejo de los roles del usuario, el acceso a los datos? El problema para muchos que se sienten abrumados y faltos de personal es la pregunta en ciernes ¿por dónde empiezo?

Cuando se trata de planes de respuesta, los CISO o CPO ansían saber más que el conocimiento general de que deben tener uno. Redmond dice: “a menudo me preguntan ¿cómo se ve la tecnología de respuesta a incidentes? y ¿cómo conviertes las cuentas en un ejercicio colavorativo?”. En los albores de los planes de respuesta a incidentes, muchos usaban hojas de cálculo o emails, pero como los datos que recolectan las empresas han crecido exponencialmente, hay cientos de cosas que un equipo de respuesta a incidentes debe considerar para poder desarrollar un plan.

“La tecnología permite tener muchos y diversos planes, como ‘si ocurre esto, hacemos aquello’”, dice Redmon. Pero, más importante todavía, deben ser capaces de documentar si han entendido la diferencia entre incidentes y eventos y si están registrando todos los eventos.

Recoger toda esa información en un solo sitio es más fácil y más eficiente y, cuenta Redmon, “tienen que tener un espacio donde la gente se comunique dentro del sistema”. La comunicación y monitoreo son dos estrategias importantes que permiten detección más rápida y “la detección es crucial”, dice Sheedy.

“Tienes que monitorear y detectar anomalías” y parte de ese monitoreo y detección requiere la recolección de inteligencia. Recolectando inteligencia, los equipos de seguridad sabrán de forma mejor y más precisa de construir un plan de respuesta a incidentes específico para sus negocios. La inteligencia empieza al observar las transacciones.

Le interesa: Las hamburguesas también son cosas de TI

Cuando monitorean sus transacciones aprenden qué es lo normal para sus negocios, y todo fuera de lo normal representa una anomalía. “Empieza con lo que es normal” dice Sheedy, “cuál es el tamaño de la transacción promedio, cuál es la frecuencia”. Establecer una base de lo que se considera normal los ayudará a detectar más rápidamente los comportamientos anormales, porque de otra forma la gente puede abrumarse o bajar la guardia, por lo cual Redmon dice que “es importante hacer simulacros todo el tiempo”.

“¿Qué se les permite hacer? Tienes que hacerte esas preguntas”, explica Sheedy. “¿Qué van a hacer? ¿Cómo se dan cuenta? ¿Qué tipo de sistema usan? ¿Podemos paralizar el sistema, aislarlo o cambiar de ruta? ¿Desactivar ciertas transacciones? ¿Qué latitud tenemos para tomar esas decisiones?”  

Para empezar, escoge una aplicación y monitorea las transacciones de esa aplicación. Desarrolla los patrones normales, luego avanza poco a poco. “Conoce tus mayores aplicaciones, crea libros de ejecución, simulaciones de ejecución, luego construyes tu plan de respuesta informática”—dice Sheedy.

Como parte del plan, hay que ser claros sobre la asignación de tareas. “Es lo que yo llamo ‘darle de comer al gato’. Asignas a una persona para que alimente al gato. De otra forma, si todos le dan de comer, el gato se muere”, cuenta Redmon.

Prepárate para comunicarte, seleccionar los puntos de contacto, saber cuándo involucrarte legalmente o con las autoridades, y compartir la inteligencia, porque la correcta planificación de eventos previene un desempeño deficiente. Debes saber que el trabajo nunca se termina, sigue practicando y dale vida a las políticas porque, inevitablemente, tendrás que cambiarlas.

Este artículo está clasificado como: , , ,

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR