Miércoles 24 de abril 2024 | Contáctenos
La falta de talento en la ciberseguridad, unida a la creciente complejidad de las amenazas y las redes, un ambiente regulatorio reforzado, y un ritmo acelerado de la innovación están llevando a muchas organizaciones a mirar más allá de sus muros en busca de protección en ciberseguridad. De hecho, Gartner ha predicho que el mercado global para la tercerización de la seguridad crecerá de los 12 mil millones de dólares en 2013 a más de 24.5 mil millones de dólares para 2017.
No obstante, hallar los recursos para abordar efectivamente el panorama cambiante de la ciberseguridad puede ser todo un reto. Los ataques de hoy en día son más furtivos que nunca. Para entenderlos y protegerse de ellos, las organizaciones deben movilizar todos los aspectos de sus defensas con el fin de enfocarse en la amenaza, incluso los servicios. Es cuestión de ganar visibilidad y control en toda la red extendida y el continuo entero del ataque: antes de que ocurra, durante el tiempo en el que está en progreso, y aún después de que haya sido exitoso, con información robada o sistemas dañados. Este nuevo modelo centrado en las amenazas está impulsando cambios en las tecnologías, productos y servicios de ciberseguridad por igual.
La primera ola de proveedores de servicios de seguridad gestionada (MSSP por sus siglas en inglés) se enfocaron en poner a funcionar productos y herramientas, además de proveer mantenimiento, actualizaciones y capacitación. Sin embargo, hoy en día, los servicios efectivos de ciberseguridad deben basarse no solo en las operaciones de la tecnología sino en un conocimiento profundo y continuamente evolutivo de las amenazas en sí. En su reflexión sobre una nueva era en cuanto a cómo debemos abordar la ciberseguridad, algunos analistas de la industria están empezando a llamar esta nueva ola de servicios de seguridad MSSP 2.0.
Basándose en habilidades de seguridad interna, presupuesto y prioridades de negocio en competencia, usted puede elegir subcontratar en mayor o menor cantidad sus necesidades de ciberseguridad. Sin importar dónde se ubique usted en el continuo de la tercerización, a la hora de evaluar los servicios de seguridad gestionada, estas cinco preguntas pueden ayudarle a garantizar que usted obtenga el apoyo que necesita para mantenerse enfocado en la amenaza.
1. ¿Qué tipos de datos de telemetría forman la base de sus capacidades de visibilidad y detección?
Si la respuesta es simplemente datos de flujo o registro, esto no será suficiente. Otros datos, como los metadatos de protocolo (es decir, los datos extraídos directamente de los paquetes que atraviesan la red) son una fuente rica de perspectivas hacia los métodos más populares de hoy en día, tales como los ataques de ‘pozo’ y campanas de phishing que contienen enlaces a páginas maliciosas. En estos casos, la habilidad para incorporar metadatos http en un modelo de telemetría provee la profundidad de información requerida para ayudar a detectar amenazas basadas en la red. Con más datos, el MSSP será más efectivo enfocándose en las anomalías, lo cual es una capacidad clave para hallar la aguja en el pajar.
2. ¿Cómo están haciendo análisis de estos datos?
Con la introducción de más información, los modelos simples de análisis, tales como la correlación de datos de registro contra conjuntos de reglas, son insuficientes, especialmente si no funcionan en tiempo real. Las técnicas avanzadas de análisis de grandes datos son esenciales para impulsar las grandes cantidades de datos recogidos, no solo localmente a nivel de la empresa sino también globalmente a través de una inteligencia de amenazas basada en la comunidad. Este nivel de análisis no se basa en reglas que los atacantes pueden entender y evadir, sino que es predictivo y usa modelado estadístico dinámico para identificar comportamientos anómalos desde el nivel granular de las líneas de base de redes de clientes y otros indicadores de compromiso (IoC por sus siglas en inglés) para señalar posibles actividades maliciosas. Sin importar el número de fuentes de telemetría, la aplicación de análisis robustos a los datos en lugar de una simple correlación hará que las detecciones sean de alta fidelidad.
3. ¿Dónde guardan esos datos y cómo los protegen?
Usted deberá tener claro si los datos se mantienen en el propio centro de datos del MSSP o en la nube. Dependiendo del tipo de datos que tenga su organización, los requerimientos de cumplimiento a los que usted se enfrente, y las garantías provistas por el MSSP, usted deberá decidir si la respuesta es adecuada o, si no, si pueden ofrecer un enfoque alternativo. Esta es una elección individual para cada organización y debe basarse en el nivel de confort de todas las partes afectadas desde los aspectos técnicos, legales y de negocios de la organización.
4. ¿Qué es lo que reportan?
Los datos son grandiosos, pero usted debe poder entenderlos y actuar con base en ellos. Se requiere cierto nivel de garantía de que los datos se correlacionan para proveer contexto, de tal manera que la información que usted esté obteniendo sea relevante para su ambiente y se encuentre priorizada. De este modo, usted podrá enfocarse en las amenazas que importan más. El tiempo es esencial al lidiar con ataques enfocados avanzados con una misión específica. Tenga claro si el MSSP puede presentarle solo información supervisada de alta fidelidad en vez de una lista infinita de eventos que requiere un mayor análisis e investigación solo para hallar que estas eran alertas innecesarias.
5. ¿Cómo pueden ayudar a proteger a mi organización contra ataques desconocidos de día cero?
Para detectar y protegerse contra las amenazas de día cero, es necesario poder ir más allá de los enfoques tradicionales de un solo momento en el tiempo con capacidades que le permitan monitorear y aplicar protección de manera continua en toda su red extendida. Es ahí donde se hace patente el valor de un gran set de telemetría de detección en conjunto con análisis predictivos y modelado estadístico. Esto va más allá de la sola correlación de eventos que los MSSP han ofrecido por años. Cuando se combinan, estas capacidades pueden señalar indicadores de compromiso imperceptibles y anomalías para ayudarle a identificar estos ataques que son particularmente furtivos y destructivos.
Dados los retos de negocios, regulación y ciberseguridad de hoy en día, cada vez más organizaciones están buscando ayuda experta de terceros para proteger sus ambientes de los ciberataques. Al hacer estas preguntas clave, usted puede ayudar a garantizar que usted se está manteniendo enfocado en las amenazas mismas para poder obtener la protección que necesita.
* Director Regional de Sourcefire LATAM, ahora parte de Cisco
Cargando...