Cómo reducir los plazos de detección y reacción ante amenazas con los mismos recursos

Recomendados:  Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar 7 consejos para proteger los datos de tu empresa y vencer al ransomware Leer Anatomía del ataque a una cuenta privilegiada Leer

Dado que en la mayoría de los casos no es posible aumentar el personal de ciberseguridad disponible ni las competencias necesarias a corto plazo, las empresas deben aumentar el rendimiento de los recursos existentes. ThreatQuotient ha analizado cómo se puede mejorar el tiempo para la detección y reacción ante amenazas sin un aumento directo de los recursos, y determina que las plataformas de inteligencia ante amenazas (TIP) resultan claves para ayudar a los equipos de seguridad a automatizar las tareas que consumen mucho tiempo, proporcionando a los Centros de Operaciones de Seguridad (SOC), analistas o responsables de la respuesta a incidentes los datos adecuados en el momento oportuno para tomar decisiones rápidas y emprender acciones específicas.

“Las TIP modernas van mucho más allá de la gestión tradicional de datos sobre amenazas, al ayudar a los equipos de seguridad a acelerar los flujos de trabajo y los procesos, actuando como plataformas de operaciones de seguridad”, señala Eutimio Fernández, director general de ThreatQuotient en España, que señala cinco pasos para ayudar a reducir significativamente el tiempo necesario para la detección y la reacción tras un accidente:

Reducción de los silos de datos

Muchas herramientas generan muchos datos, pero la mayoría de las veces no los recogen en un solo lugar, por lo que. al analizar un incidente, los equipos suelen tener dificultades para acceder rápidamente a los datos adecuados. Una base de datos central de amenazas o "Biblioteca de Amenazas", en la que se recoge y almacena automáticamente toda la información sobre amenazas procedente de fuentes internas y externas, permite acceder rápidamente a todos los datos necesarios.

Enriquecimiento de los datos con el contexto

El contexto es especialmente importante para el triaje de alertas. Una dirección IP clasificada como maliciosa es un gran reto para un analista sin más información. Las TIP ayudan a enriquecer automáticamente los datos con el contexto, lo que permite que la nocividad de la dirección IP se confirme o se niegue, haciendo que los falsos positivos se detecten mucho más rápido.

Priorización de los datos ante amenazas

Los datos enriquecidos con contexto pueden ser priorizados. Un sistema de puntuación destaca los datos críticos para su negocio, reduce el ruido y ayuda a los analistas y a los encargados de responder a los incidentes a centrarse en las amenazas relevantes.

Sugerencias de soluciones

Además del análisis de un incidente, la decisión de qué medidas tomar es una de las tareas más difíciles, y que suele requerir conocimientos profundos y experiencia. Las TIPs ayudan a los responsables de incidentes a tomar la acción correcta sugiriendo soluciones, que se importan, por ejemplo, utilizando datos del Marco MITRE ATT&CK.

Colaboración

Una de las medidas más importantes para aumentar la eficacia y la eficiencia de los equipos de seguridad es mejorar la cooperación. Es esencial que todas las personas implicadas puedan obtener rápidamente una visión general y acceder a datos comunes. Las modernas TIP y las plataformas de operaciones de seguridad pueden servir de base para la colaboración, visualizando los datos y mostrando las dependencias de forma gráfica. Una sala de operaciones virtual sirve aquí como lugar central para tomar decisiones conjuntas.