¿Por qué contratar servicios de detección y respuesta gestionados?
- Actualidad
El alcance de los ataques de los ciberdelincuentes en España, con las tácticas, técnicas y procedimientos cada vez más sofisticados, sigue sorprendiendo e inquietando incluso a los profesionales de la seguridad más avezados. El escenario actual precisa de capacidades de detección y respuesta las 24 horas del día desplegadas a gran escala, que sobresaturan de trabajo a los SOC. Otra alternativa, como explica un experto de Vectra AI, son los servicios MDR gestionados.
"Si queremos vencerlos, debemos enfrentarnos a ellos en sus propios términos, y eso significa capacidades de detección y respuesta las 24 horas del día desplegadas a gran escala", sostiene Antonio Huertas, ingeniero de sistemas para España y Portugal de Vectra AI.
Sería una tarea realizada desde los Centros de Operaciones de Seguridad (SOC) para los que, a día de hoy, supone "un reto" ofrecer estas capacidades. Para este experto, la solución son los servicios de detección y respuesta gestionados (MDR), que "aplican un modelo de responsabilidad compartida, proporcionando conocimientos del sector de primer nivel y bajo demanda, al tiempo que devuelve el control del entorno a su propietario". Lo hacen a través de una inteligencia artificial (IA) avanzada y contextualizada que ofrece una Inteligencia de Señales de Ataque (Attack Signal Intelligence) superior a las partes interesadas en la seguridad.
Cinco ventajas, según el especialista
1. Responsabilidad compartida
Tanto si se utilizan servicios de MDR para complementar un SOC existente como si se utilizan como modelo de externalización de la seguridad, los mejores resultados surgirán de una comprensión clara de las funciones y responsabilidades entre las distintas partes interesadas del lado del cliente y del lado del proveedor. La transparencia en torno a quién hace qué infundirá al ecosistema de seguridad un elemento crítico de previsibilidad. Los acuerdos de nivel de servicio no sólo asignarán tareas, sino que los registros del sistema registrarán quién las hace y cuándo. Así, las omisiones y los errores quedarán claros para todos y se podrá generar la tan necesaria confianza entre los equipos de servicios de MDR y de clientes.
2. Integración colectiva
La estrategia y la política deben ser comprendidas por ambos equipos. Incluso si el cliente subcontrata la función de seguridad, debe existir un equipo de enlace que supervise los planes, las decisiones y las acciones. Gran parte de la actividad que tiene lugar durante un incidente es sensible al tiempo, pero también debe tener en cuenta la naturaleza del negocio. Los equipos de respuesta, ya sean de MDR, del cliente o una combinación de ambos, deben ser capaces de actuar con rapidez teniendo debidamente en cuenta las operaciones empresariales del cliente. Las acciones y prioridades deben documentarse minuciosamente en un libro de ejecución y actualizarse inmediatamente cuando cambien las necesidades.
3. Integración transparente
Los servicios de MDR deben integrarse con las herramientas, soluciones e infraestructuras en la nube existentes, aquellas que sirven a la función de ciberseguridad, TI y operaciones empresariales básicas. Uno de los objetivos de los servicios de MDR es reducir la complejidad, pero deben hacerlo sin afectar a las operaciones cotidianas. La experiencia en investigación, la optimización de la configuración y la visibilidad global a través de la Inteligencia de Señales de Ataque permiten al proveedor de soluciones de MDR navegar por la integración en beneficio del cliente y minimizar las interrupciones. Las ofertas nativas en la nube de MDR deben integrarse con las principales soluciones de detección y respuesta de puntos finales (EDR) para mejorar la eficacia de la Inteligencia de Señales de Ataque.
4. Borrar el ruido y hacer frente a las amenazas desconocidas
Los ataques de día cero pueden pasar fácilmente desapercibidos en los momentos más tranquilos. La IA de MDR reduce el ruido de las alertas que los atacantes pueden utilizar para enmascarar sus infiltraciones. Los equipos de MDR están en constante sintonía, ajustando políticas y configuraciones para garantizar que el aparato de seguridad se convierta en un oyente activo y no en una fábrica de alertas reaccionaria. Los servicios de MDR, como función, aprenden de cada alerta e incidente para perfeccionar el ecosistema de seguridad y garantizar que sólo las amenazas auténticas consumen el tiempo de los profesionales humanos.
5. Ampliar el equipo de seguridad
Algunos informes muestran que un 55% de los especialistas en seguridad TI tiene intención de cambiar de trabajo debido a la presión que sienten. La experiencia y las capacidades de vigilancia de las soluciones de MDR permiten a los analistas internos y a los cazadores de amenazas disfrutar de una experiencia por parte de los empleados más positiva, lo que reduce las tasas de abandono. Las soluciones de MDR ofrecen a las organizaciones lo que antes les faltaba. Si no tienen equipo de seguridad, las soluciones de MDR pueden desempeñar la función en su totalidad, bajo la supervisión adecuada del equipo de enlace del cliente. Si el SOC del cliente simplemente necesita más personal, también se le puede proporcionar, y el equipo de MDR puede informar al CISO del cliente. ¿Más herramientas? No hay problema. Las soluciones de MDR son un repositorio de conocimientos, experiencia, tecnología y mucho más. Son elásticas y se adaptan al aumento preciso que necesita la función de seguridad de un cliente.
