Seguridad 2020: como manejar las alertas sin perder la cabeza

Daniel Molina analiza el ecosistema de seguridad, con su buen humor estandar

Cómo dejar de ahogarse en notificaciones de ciberamenazas de seguridad y garantizar la defensa continua y completa de la infraestructura de TI encomendada.

Hoy tuve una buena mañana, arranque el día solo con 5 alertas de seguridad, que no son las 10 de ayer, ni las 8 de antes de ayer.

A principios del invierno, la firma de analistas Gartner publicó su investigación sobre tendencias en ciberseguridad.

Y el primer punto es la necesidad de pasar de las herramientas de seguridad de la información individuales a las soluciones altamente integradas que tienen acceso de extremo a extremo a todos los elementos de la infraestructura de TI, incluido el entorno de red.

Los desafíos de la nueva época no permiten actuar en el marco del paradigma anterior, cuando los expertos en seguridad de la información del SoC (Security Operation Center) monitoreaban los eventos que llegaban a través de diferentes canales, distribuyendo su atención entre dispositivos finales, servicios de correo, elementos de infraestructura de red, cargas computacionales, etc.

Pensemos que con esta conclusión Gartner no descubrió América, en temas de seguridad.

El número de incidentes de ciber seguridad en el mundo sigue creciendo.

De acuerdo a Accenture, la frecuencia de los ataques aumentado un 11% entre 2018 y 2019 solo.

Si lo comparamos con un 2014 nada tranquilo, el aumento fue de hasta un 67%.

Y estos son solo casos registrados, mientras que una parte significativa de los ataques exitosos pasan completamente desapercibidos o “emergen” después de meses .

En 2020, la situación se ha complicado aún más con la llegada de la pandemia.

Muchas empresas han transferido a sus empleados al trabajo remoto, ampliando y reduciendo al máximo el perímetro de seguridad de su infraestructura de TI gracias al uso masivo del acceso remoto a la red corporativa.

Las computadoras personales y los dispositivos móviles mal protegidos de los empleados se han convertido en excelentes puntos de entrada para atacantes de todo tipo.

Al mismo tiempo, el miedo al coronavirus hizo que muchas personas buscaran frenéticamente cualquier información sobre sí mismo y los medios de protección contra él.

Esto ha provocado un gran aumento en la actividad de los distribuidores de correos electrónicos de phishing relevantes y sitios falsos.

De acuerdo aTrend Micro, en la primera mitad de 2020, casi 9 millones de ataques se registraron explotado que de alguna manera el tema COVID-19.

En abril de este año, Google se vio obligado a bloquear diariamente 17 millones de correos que contienen información falsa sobre la pandemia, enlaces peligrosos y archivos adjuntos.

Desafortunadamente, no todas las empresas tienen su correo corporativo ubicado en el mismo proveedor responsable.

Es difícil sobreestimar la función de la detección eficaz y oportuna de intrusiones en la infraestructura protegida en tales condiciones.

El único problema es que ningún centro de respuesta a amenazas cibernéticas puede realizar un seguimiento de cada laguna.

Por lo general, se presta mayor atención al área más potencialmente peligrosa: los dispositivos finales.

Como resultado, obtenemos casos anecdóticos.

Como, por ejemplo, el famoso robo de la base de datos de clientes VIP de los casinos estadounidenses. Los atacantes piratearon el termostato de uno de los acuarios instalados en el casino conectado a la red WiFi.

A través de él, penetraron en la red interna de la empresa y extrajeron un total de más de 10 GB de información altamente confidencial.

Obviamente, el tsunami de amenazas cibernéticas solo se puede contrarrestar con un control total sobre toda la infraestructura de TI.

Pero, ¿cómo se puede hacer esto en condiciones en las que, según una encuesta de 179 especialistas en seguridad de la información realizada por Imperva, el 55% de los expertos reciben más de 10,000 notificaciones de amenazas por día?

¡En el 27% de los casos, esta cifra alcanzó el millón! Un millón de notificaciones al día de decenas de herramientas de seguridad diferentes.

Está claro que las unidades de seguridad de la información de todo el mundo enfrentan los mismos desafíos modernos:

– la necesidad de reducir radicalmente el tiempo de respuesta a incidentes;

– congestión con notificaciones;
– la necesidad de gestionar productos que no están integra-dos entre sí.

La respuesta a estas llamadas debe ensamblarse a partir de varios elementos.

Primero, un sistema es vital que pueda rastrear eventos sospechosos en todos los elementos de la infraestructura, ya sea un servidor de correo, una máquina virtual en la nube o un conmutador de red.

En segundo lugar, para procesar este enorme flujo de información, es necesario implementar ampliamente tecnologías de big data en herramientas de seguridad de la información.

En tercer lugar, el procesamiento de estos datos debe confiarse a sistemas de inteligencia artificial capaces de detectar no eventos sospechosos individuales, sino sus correlaciones que encajan en los patrones de diferentes tipos de ataques.

Para responder a los tres desafíos simultáneamente, se requieren soluciones basadas en la tecnología XDR (detección de niveles cruzados de amenazas latentes y respuestas a ellas).

Por cierto, Gartner menciona XDR en texto plano en su informe.

Considérelos con más detalle

El análisis de seguridad de la información es una tarea muy difícil en la actualidad.

Y, en primer lugar, esto se debe a la falta de posibilidad de visualización de los eventos de un extremo a otro durante las investigaciones.

Los sistemas de seguridad de clase EDR proporcionan visualización de actividades sospechosas en las estaciones de trabajo.

En este caso, el análisis del tráfico de la red se realiza por otros medios.

Las soluciones en la nube, junto con el correo corporativo, suelen tener una transparencia mínima para las herramientas de seguridad de la información.

Cada uno de estos entornos genera un flujo separado de eventos que ingresan al sistema SIEM (Gestión de eventos e información de seguridad).

El problema es que estas notificaciones vienen sin contexto y sin la capacidad de correlacionarlas con otros eventos de la red.

En tal entorno, es difícil crear un sistema de priorización eficaz que separe de manera confiable los incidentes que requieren atención inmediata de la multitud de cambios menores no amenazantes.

El desarrollo de ataques sofisticados implica el movimiento de la actividad de los ciberdelincuentes a lo largo de la infraestructura de la empresa víctima, lo que complica la restauración de una imagen holística de lo sucedido.

La detección rápida de intrusiones y la capacidad de responder rápidamente a ella es proporcionada por el enfoque XDR (X Detection and Response), donde X representa el entorno corporativo como un todo, y no ninguno de sus elementos separados, como es el caso de EDR.

La principal ventaja de XDR es la capacidad de recopilar de forma centralizada no solo eventos de seguridad, sino también información telemétrica de puntos finales, equipos de red, servicios de correo y estructuras en la nube.

El resultado del trabajo del sistema, creado sobre la base de los principios de XDR, es una descripción completa y detallada de cada ataque detectado con una lista de todos los elementos de red involucrados.

Está claro que ningún SOC es capaz de procesar tal volumen de información, por lo tanto, para implementar los principios XDR, es necesario involucrar tecnologías de procesamiento de big data e inteligencia artificial.

Ésta es la única forma de detectar rápidamente patrones de eventos característicos de varios tipos de ataques en la red y tomar contramedidas.

Los sistemas XDR implican una integración profunda de varios productos con protección de red.

Considerando Trend Micro XDR como un ejemplo típico, estamos hablando de Deep Discovery Inspector (red), Cloud App Security (correo), Apex One (estaciones de trabajo) y Workload Security (computación e infraestructura en la nube).

Algunos proveedores de XDR sugieren usar este sistema como un complemento sobre productos individuales de otros fabricantes, pero este enfoque parece menos efectivo que combinar una única pila de soluciones que están más profundamente integradas entre sí en la etapa de desarrollo y acordar formatos de datos cruzados para el intercambio.

Cada uno de los productos anteriores actúa como sensor para recopilar telemetría.

Y no se trata solo de notificaciones de amenazas.

La seguridad como el buen Whisky tiene que madurar

Una gran cantidad de información muy diferente y heterogénea sobre la actividad ingresa al Data Lake“, después de lo cual la solución Trend Micro XDR realiza un análisis de inteligencia artificial de esta información y busca posibles correlaciones.

Usa información de la base de datos global de amenazas.

Tan pronto como la información sobre una nueva amenaza llega a uno de los 15 centros de investigación de Trend Micro, cada instancia de XDR, donde sea que se encuentre, verifica automáticamente los alimentos que se le han confiado para detectar patrones característicos de actividad.

Cabe señalar aquí que XDR por sí mismo no reemplaza SIEM o SOAR (Security Orchestration, Automation and Response), sino que se integra con ellos a través de interfaces de programación (API), enviando no un flujo constante de notificaciones, sino algunos mensajes de alta precisión que contienen información completa sobre el ataque.

La interfaz Trend Micro XDR le permite visualizar un ataque como un diagrama visual de los nodos involucrados y los vectores entre ellos.

El diagrama se puede detallar en archivos individuales, procesos, conexiones de red, etc. La comprensión de la situación se facilita mediante la codificación visual de colores y una lista completa de las manipulaciones realizadas por el atacante y las vulnerabilidades explotadas, recopiladas en una lista separada con herramientas de navegación.

El panel de control permite empezar a luchar contra la penetración de forma inmediata, en el mismo esquema antes mencionado, cerrando conexiones o bloqueando procesos utilizando los menús contextuales familiares.

La visualización de comunicaciones de red de Trend Micro XDR no solo le permite ver los canales de comunicación involucrados en un ataque, sino también “reproducir” todo el procedimiento de penetración en orden cronológico.

El deseo de reducir la carga de los SOC de los clientes llevó a Trend Micro a ofrecer experiencia adicional de sus propios especialistas en seguridad de la información como servicio.

Este servicio se denomina Managed XDR, y dentro de su marco, el análisis de los mensajes recibidos desde el sistema ya lo realizan “oficiales de seguridad” del lado de la empresa proveedora.

Trabajando 24×7, pueden utilizar las últimas tecnologías experimentales, filtrar falsos positivos e incluso tener en cuenta información sobre amenazas que no se pueden divulgar al público al analizar.

El resultado de los esfuerzos de los expertos de Trend Micro no es solo un plan detallado de un ataque, sino también un mecanismo de reacción, cuya decisión sobre el uso, por supuesto, la toma el cliente del servicio.

En general, uno no puede dejar de estar de acuerdo con la opinión de los analistas de Gartner: el futuro de los sistemas inteligentes de seguridad de la información se construirá inevitablemente sobre los principios de crear un entorno controlado unificado.

Capaz de cubrir todos los niveles de red, en el que herramientas previamente dispares se fusionarán en un “sistema inmunológico” común de infraestructura de TI, que utiliza activamente inteligencia para descargar al personal del SOC y realizar automáticamente investigaciones preliminares de ataques complejos.

Por Daniel Molina Vice President Of Business Development at Integrated Biometrics

 

Lea más

Netskope Advanced Analytics 2020

Elecciones en EE.UU 2020: la amenaza iraní

Foro de Gobernanza de Internet 2020 de la ONU

Riesgo: como administrar a 3ros en tiempos de COVID

NSA: suma 5 nuevos miembros al Cryptologic Hall of Honor 

 

90 / 100