¿Cómo pueden las organizaciones detectar incidentes de seguridad, oportunamente y con mayor precisión, mientras desperdician menos recursos?

por Víctor Ruiz, fundador de SILIKN, instructor certificado en ciberseguridad — CSCT™ y mentor del Centro de Ciberseguridad 05000.

Para comprender por qué los equipos de seguridad se ven tan frenados por lo no prioritario, primero debemos comprender las consecuencias de lo que puede ser aplazable para el equipo de seguridad. Si bien no es una lista exhaustiva, aquí hay algunas repercusiones clave.

Ciclos desperdiciados: cuando los equipos de seguridad crean un flujo de trabajo en torno a una fila de trabajo centralizada, esa fila de trabajo debe ser atendida, desde la clasificación y el manejo de incidentes hasta el análisis, la investigación, el aspecto forense y la recuperación. Eso significa que todos los eventos en la fila deben priorizarse y revisarse. Lo no prioritario llena esta fila con elementos para revisar que no agregan valor al programa de seguridad. En otras palabras, se desperdician los valiosos ciclos del equipo de seguridad.

Verdaderos positivos perdidos: La frase “encontrar una aguja en un pajar es adecuada en seguridad, y en operaciones de seguridad en particular. La aguja representa los incidentes de seguridad positivos verdaderos, mientras que el pajar representa los falsos positivos. Cuantos más falsos positivos haya, más difícil será encontrar los incidentes de seguridad reales que están enterrados en lo no prioritario.

Mayores costos de infraestructura: los elementos no prioritarios también conllevan un costo de infraestructura. Cada registro, alerta y evento, independientemente de si agrega valor o no, debe conservarse. Por lo tanto, si el equipo recopila una gran cantidad de información que agrega poco o ningún valor, simplemente está utilizando un exceso de infraestructura. Esto viene con un costo que le quita presupuesto a las áreas donde podría agregar mucho más valor.

Métricas sesgadas: los falsos positivos tienden a sesgar las métricas. Ciertas métricas, particularmente aquellas que se enfocan en el porcentaje de tiempo dedicado a incidentes de seguridad, proporciones de verdaderos positivos a falsos positivos, volumen de incidentes, número de incidentes manejados y tiempo del analista por incidente se verán muy afectados por el volumen de lo que no es prioritario. Cuanto menor sea la tasa de falsos positivos, más precisas y favorables resultarán estas métricas.

Cómo eliminar lo postergable

Conocer algunas de las razones por las que los falsos positivos y lo no prioritario afectan negativamente a nuestro programa de seguridad nos ayuda a elaborar un plan para abordar el problema. En este sentido, proporcionamos las siguientes recomendaciones:

1. El riesgo: No es sorprendente que una comprensión firme y un compromiso con el riesgo sean las bases más sólidas para construir un programa de seguridad sólido. Evalúe los riesgos y amenazas para la empresa, comprenda a qué afectan dentro de la empresa y aprenda el costo potencial y el potencial de daños y pérdidas asociados con cada uno.

2. Los objetivos y las prioridades: seleccionar cuándo abordar la que es una de las decisiones estratégicas más importantes que puede tomar un equipo de seguridad. Priorice los riesgos y amenazas enumerados en el paso anterior y cree objetivos y prioridades que se abordarán tanto a corto como a largo plazo.

3. El impacto: la identificación de activos críticos, recursos clave y almacenamiento de datos importantes, entre otras cosas, ayuda al equipo a comprender el impacto potencial de un incidente. Saber dónde están los activos, recursos y datos más confidenciales e importantes ayuda a centrar al equipo en dónde existen brechas.

4. Exceso de datos: Evalúe si cada fuente de datos contribuye a mejorar la detección para el equipo de seguridad. Si no es así, recolectarlo solo agrega costos de infraestructura sin agregar valor. Identifique brechas que dejan al equipo ciego ante posibles incidentes de seguridad y desarrolle un plan para abordar esas brechas.

5. Exceso de tecnología: mire de cerca la tecnología existente que está en su lugar. Examine dónde es útil la tecnología, como producir alertas de seguridad altamente confiables, recopilar datos valiosos o hacer que el proceso y el flujo de trabajo sean más eficientes. Vigile de cerca dónde lucha la tecnología, en lugar de ayudar, al equipo de seguridad, así como dónde existen brechas.

6. Deseche el conjunto de reglas predeterminado: las reglas, las firmas y otras técnicas de detección que generan un gran volumen de ruido no agregan valor al programa de seguridad. En cambio, entierran al equipo en falsos positivos y trabajan activamente contra la detección oportuna y precisa de incidentes de seguridad. Puede sonar radical, pero descartar el conjunto de reglas predeterminadas tiene muchos más beneficios que desventajas.

7. Detección estricta: La filosofía de “menos es más” incluye interrogar los datos para producir alertas y eventos de alta fidelidad y alta confiabilidad. Si bien la implementación de enfoques más sofisticados para la detección requiere una inversión de tiempo significativa por adelantado, paga grandes dividendos.

8. El proceso: la fila de trabajo de la más alta calidad en el mundo no ayudará cuando hay procesos rotos o inexistentes. Un equipo de seguridad de clase mundial tiene procesos maduros, eficientes y efectivos que guían y gobiernan su funcionamiento.

9. Mejora continua: ningún programa de seguridad se encuentra en un estado ideal, y los mejores equipos de seguridad son muy conscientes de sus debilidades y oportunidades de mejora. Tomar las lecciones aprendidas de cada uno de los puntos anteriores y utilizarlas para mejorar continuamente el programa de seguridad es fundamental para su éxito a largo plazo.

La sabiduría convencional de que más datos, más eventos y más alertas contribuyen a una mejor detección está desactualizada y mal informada. A través de un enfoque estratégico en el riesgo y un enfoque metódico para reducir el ruido, las empresas pueden mejorar tanto el estado de sus capacidades de detección como la madurez de sus programas de seguridad.

Adoptar la filosofía de “menos es más” para la seguridad puede ayudar a las empresas a detectar incidentes de seguridad antes y con mayor precisión, mientras desperdician significativamente menos recursos en falsos positivos y ruido.

Para mayor información, visite: https://www.silikn.com/

--

--

Founder of SILIKN

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store