En el entorno actual de la ciberseguridad -con nuevos tipos de incidentes y vectores de amenazas que surgen constantemente-, las organizaciones no pueden permitirse el lujo de sentarse y esperar a ser atacadas. Necesitan ser proactivas y pasar a la ofensiva cuando se trata de defender sus redes, sistemas y datos.
Es importante comprender que poner en marcha una estrategia de ciberseguridad ofensiva no significa abandonar las medidas defensivas tradicionales, como el despliegue de cortafuegos, sistemas de detección de intrusiones (IDS), software antimalware, gestión de parches, gestión de eventos e información de seguridad (SIEM) y otras herramientas similares.
Pasar a la ofensiva en ciberseguridad implica tomar medidas adicionales para identificar preventivamente los puntos débiles antes de que los malos actores puedan aprovecharse de ellos. Significa pensar como ellos y anticiparse a sus movimientos. Aunque la idea de adoptar un enfoque proactivo de la seguridad no es nueva, ha adquirido mayor importancia dado el nivel de riesgo al que se enfrentan tantas organizaciones hoy en día.
Estrategia de caza de amenazas
Una de las formas más eficaces de ser proactivo en materia de seguridad es desplegar una estrategia de caza de amenazas. La caza de ciberamenazas es una iniciativa de defensa proactiva en la que los equipos de seguridad buscan en sus redes para encontrar y aislar amenazas avanzadas que eluden las herramientas de seguridad existentes.
Mientras que las soluciones tradicionales, como los cortafuegos y los IDS, suelen implicar la investigación de datos basados en pruebas después de que una organización haya recibido un aviso de una posible amenaza, la caza de amenazas significa salir a buscarlas antes incluso de que se materialicen.
Ganar visibilidad
Varios componentes clave constituyen la base de un sólido programa de caza de amenazas. El primero es la capacidad de mantener una imagen completa y en tiempo real del entorno de la organización, de modo que las amenazas no tengan dónde esconderse. Si el equipo de seguridad no es capaz de ver las amenazas dentro del entorno de su organización, ¿cómo puede tomar las medidas necesarias para detenerlas?
Tener el tipo de visibilidad necesaria puede ser un reto para muchas organizaciones. La infraestructura de TI típica de hoy en día se compone de puntos finales diversos, dinámicos y distribuidos que crean un entorno complejo en el que los vectores de amenazas pueden permanecer fácilmente fuera de la vista durante semanas o incluso meses.
Por eso una organización necesita una tecnología que le permita localizar cada punto final de su entorno y saber si es local, remoto o está en la nube; identificar los usuarios activos, las conexiones de red y otros datos de cada uno de los puntos finales; visualizar las rutas de movimiento lateral que pueden recorrer los atacantes para acceder a objetivos valiosos; y verificar si se han establecido directivas en cada uno de los puntos finales para poder identificar cualquier laguna.
Búsqueda proactiva de amenazas
El segundo componente clave de la caza de amenazas es la capacidad de buscar proactivamente amenazas conocidas o desconocidas en todo el entorno en cuestión de segundos. Los equipos de seguridad necesitan saber si ya hay amenazas activas en el entorno.
Deben ser capaces de buscar amenazas nuevas y desconocidas que las herramientas de endpoints basadas en firmas pasan por alto; buscar amenazas directamente en los endpoints, en lugar de a través de registros parciales; investigar endpoints individuales así como todo el entorno en cuestión de minutos sin crear una tensión en el rendimiento de la red; y determinar las causas raíz de cualquier incidente experimentado en cualquier dispositivo endpoint dentro del entorno.
Corrección de amenazas
El tercer componente fundamental de la caza de amenazas es la capacidad de responder y resolver cualquier amenaza que el equipo de seguridad encuentre dentro de la misma plataforma unificada. No basta con encontrar una amenaza, hay que eliminarla.
Una solución de búsqueda de amenazas debe permitir a los equipos de seguridad pasar fácilmente de la búsqueda de amenazas a la respuesta mediante el uso de un único conjunto de datos y plataforma; aplicar rápidamente controles defensivos a los puntos finales durante un incidente; aprender de los incidentes y, a través de este conocimiento, reforzar el entorno para evitar ataques similares, y agilizar la gestión de políticas para mantener los puntos finales en un estado seguro en todo momento.
Qué buscar en una solución de caza de amenazas
Un factor clave que hay que buscar en una solución de caza de amenazas es la capacidad de utilizar análisis estadísticos para comprender mejor si determinados incidentes son notables. Eso sólo puede ocurrir cuando un sistema puede enriquecer la telemetría de datos en tiempo real, a escala y en situaciones en constante cambio.
Los equipos de seguridad pueden aprovechar cada fuente de registro, cada pieza de telemetría y cada bit de metadatos de punto final y flujo de tráfico de forma agregada para obtener una comprensión clara de lo que está sucediendo. Los actores de las amenazas no podrán entrar en el entorno de una organización completamente desapercibidos. Sólo es cuestión de que el equipo de caza de amenazas aproveche los datos adecuados para localizarlos.
Es importante que los equipos de caza de seguridad dispongan de inteligencia sobre amenazas de alta fiabilidad y sigan las fuentes adecuadas. Aunque enriquecer las alertas con inteligencia en tiempo real no siempre es fácil, es vital para el éxito. Los equipos necesitan trabajar con fuentes de datos fiables y deben ser capaces de filtrar los datos para reducir tanto los falsos positivos como los falsos negativos.
Además de la caza de amenazas, las organizaciones pueden aprovechar servicios como las pruebas de penetración y la inteligencia sobre amenazas. Con las pruebas de penetración, una organización contrata a un proveedor de servicios para que lance un ataque simulado contra sus redes y sistemas con el fin de evaluar la seguridad.
Estas pruebas identifican los puntos débiles que podrían permitir a agentes no autorizados acceder a los datos de la organización. Basándose en los resultados, el equipo de seguridad puede realizar las mejoras necesarias para solucionar las vulnerabilidades.
La inteligencia sobre ciberamenazas es cualquier información sobre amenazas y actores de amenazas que pretende ayudar a las empresas a mitigar posibles ataques en el ciberespacio. Las fuentes de información pueden incluir inteligencia de fuentes abiertas, medios sociales, archivos de registro de dispositivos y otros.
En los últimos años, la inteligencia sobre amenazas se ha convertido en un componente importante de las estrategias de ciberseguridad, porque ayuda a las organizaciones a ser más proactivas en su enfoque y a determinar qué amenazas representan los mayores riesgos.
Al ser proactivas en materia de seguridad, las organizaciones pueden adelantarse al panorama de amenazas en constante expansión. Pueden ayudar a garantizar que no se limitan a esperar impasibles a que lleguen los ataques, sino que toman iniciativas para detener a los malos actores antes de que puedan actuar.
Fuente: CIO
Comentários