Qué considerar para que los procesos gestionados de seguridad sean un éxito

Recomendados:  El papel de la ciberinteligencia en la seguridad empresarial Webinar Identificación de ataques web Leer La hoja de ruta de DevOps en materia de seguridad Leer

La firma de ciberinteligencia ha plasmado en un informe las mejores prácticas para implementar los procesos de seguridad gestionados por un Proveedor de Servicios de Seguridad Gestionados (MSSP) y de detección y respuesta gestionada (MDR) en un SOC, y sus conclusiones son las siguientes:

Es el momento de pasar de la reacción a la anticipación
Una plataforma de Inteligencia ante Amenazas (Cyber Threat Intelligence, CTI) permite adoptar un enfoque proactivo, e incluso anticipatorio, de las operaciones de seguridad al perfilar no solo el ataque, sino a los atacantes que cambian rápidamente sus herramientas, técnicas y procedimientos (TTP) para evadir los sistemas de defensa. Gracias a los flujos de trabajo basados en la inteligencia, los operadores de seguridad pueden utilizar estos conocimientos sobre los adversarios y su evolución para enriquecer la vigilancia interna, centrándose en las amenazas relevantes y de alta prioridad y minimizando las alertas que son solo ruido o son falsos positivos. Los equipos de seguridad pueden reforzar las defensas enviando automáticamente información relevante sobre las amenazas directamente a la red de sensores, a los registros y a los sistemas de tickets, para proteger proactivamente a la organización de futuras amenazas. En esta configuración, los equipos de SecOps del cliente pueden crear políticas de detección en tiempo real y colaborar activamente con el MSSP/MDR para realizar una gestión de crisis cuando aparezca una nueva amenaza masiva.

La Inteligencia ante Ciberamenazas se nutre ante todo de las cuatro funciones de su SecOps
Las operaciones de seguridad suelen constar de cuatro funciones principales: el equipo de defensa, la gestión de riesgos, el Centro de Operaciones de Seguridad para la detección y el equipo de respuesta a incidentes. Con una plataforma CTI, se puede aprovechar la inteligencia sobre amenazas en todas estas funciones para comprender mejor a los adversarios y sus tácticas, técnicas y procedimientos (TTP), de modo que pueda reforzar las defensas, mitigar el riesgo y acelerar la detección y la respuesta de forma homogénea y eficiente. A medida que las herramientas y los equipos de cada una de estas cuatro áreas recopilan datos, aprendizajes y observaciones adicionales sobre las amenazas, pueden introducir esa información en su plataforma de inteligencia ante amenazas para crear una memoria organizativa. La inteligencia se reevalúa automáticamente y se vuelve a priorizar en función de esta nueva información, de modo que la práctica de la CTI sigue mejorando al aprovechar información fiable y oportuna que ayuda a acelerar las acciones correctas y permite la orquestación basada en datos sobre amenazas reales en todas las herramientas de SecOps.

Una práctica CTI requiere algunas modificaciones en las cuatro funciones, incluido el contrato SOC MSSP/MDR
Cuando se introduce una práctica CTI en el núcleo de las operaciones de seguridad, cada función debe adaptarse para trabajar con una plataforma de inteligencia ante amenazas con el fin de beneficiarse de la colaboración y la comunicación. Algunos proveedores de servicios pueden acelerar el proceso porque ofrecen una capacidad CTI como parte de su práctica. Para otros, hay que trabajar un poco más en sus procesos y acuerdos de nivel de servicio para garantizar el éxito de la incorporación de una plataforma de inteligencia ante amenazas. En cualquier caso, las modificaciones son más sencillas y rápidas cuando se inician en el momento del contrato. De lo contrario, se corre el riesgo de perder todo el valor que estas prácticas pueden aportar a su negocio.

La práctica CTI puede activarse sólo cuando se esté preparado
Si se trabaja con un MSSP/MDR que ya tiene una oferta de práctica CTI, se puede proporcionar una plataforma de inteligencia ante amenazas para el entorno y, con el tiempo, transferir las habilidades para ejecutar la práctica. Si se decide que el proveedor de servicios sigue gestionando esta práctica, la memoria de amenazas es suya y permanece en su sitio para reutilizarla y seguir mejorando la prevención, el bloqueo y el análisis global. Este es el modelo de implementación que más se ha visto implementado en el último año, pero los proveedores de servicios están trabajando junto con los equipos de SecOps de sus clientes para optimizar el camino a seguir. Si el MSSP/MDR no tiene una oferta de práctica de CTI (poco probable hoy en día), se hace necesario buscar una plataforma de inteligencia ante amenazas que aproveche un modelo de datos flexible y admita estándares abiertos de intercambio de inteligencia para garantizar una conectividad y comunicación eficientes y eficaces. El objetivo es estar preparado para la práctica de CTI, aunque no se esté listo para activar el programa de inmediato.