Por qué estar familiarizado con su información es crucial para una estrategia de ciberseguridad próspera
Publicado: 2022-01-06
Las redes organizacionales pueden crear terabytes de conocimiento para cada día laboral a partir de rutinas típicas, unidades celulares relacionadas con la comunidad, sensores y proveedores centrados en la nube. Hay miles de funciones detalladas de varios recursos, como registros de unidades de actividad de usuario, metadatos, direcciones IP, registros de enrutador, antivirus de terceros, como Internet y unidades, y todos evolucionan y se multiplican. Mientras hacen esto, el área de ataque crece. Como resultado, los equipos de TI se enfrentan a las presiones de actuar con rapidez sobre la información recopilada para proteger sus redes y limitar las trampas de los ataques cibernéticos.
El problema es que con este tipo de volúmenes sustanciales de datos, los profesionales de la estabilidad pueden confundirse y batallar para cotejarlos para su análisis. La mayoría de las veces, sin embargo, les resulta difícil darse cuenta de lo que generalmente significa cada nivel de información, cuáles son sus implicaciones y cómo convertir las alertas en acción. Si bien es una práctica superior monitorear y obtener registros para verificar el ejercicio de la comunidad, ¿tiene sentido hacerlo si nadie los entiende? Entonces, ¿cómo ayuda el conocimiento a mejorar los enfoques de ciberseguridad?
Protegiendo a la comunidad
En este momento, se realizan muy pocos ataques cibernéticos en un solo punto final. Casi todos tienen que cruzar la red, y si esa red no está bien protegida, los piratas informáticos pueden ingresar y causar daños graves antes de salir. Aun así, independientemente de si regulan la manipulación de registros de unidades o no, los analistas perfectamente equipados seguirán estando listos para ver los datos de la comunidad y determinar qué sucedió exactamente. Las redes son el hogar de la evidencia más importante, pero también la mejor ruta hacia el corazón y el cerebro de la empresa. Si se ven comprometidos, pueden interrumpir las funciones, lo que lleva a implicaciones económicas muy graves y perder estatus. Por lo tanto, es importante que los equipos de TI sepan cómo se ve una red en buen estado para luego poder ubicar las anomalías y cerrar las brechas mediante el monitoreo estándar y la búsqueda proactiva de amenazas. Cambiar a métodos de ciberseguridad más proactivos con conocimiento en el centro es la mejor práctica para proteger a las empresas de amenazas cibernéticas en constante evolución y progresivamente avanzadas.
Maximización de la protección de puntos finales
Si bien la mayoría de los piratas informáticos se enfocan en la comunidad en sí misma para obtener acceso a las pertenencias de la organización, algunos explotan las vulnerabilidades de los puntos finales primero para luego infiltrarse en las redes. Tanto las unidades de propiedad como las de pequeñas empresas están notablemente inclinadas a la ciberdelincuencia. Desde malware común hasta ataques de phishing, normalmente solo se necesita una conexión sospechosa para propagar el virus y comprometer los métodos. Con el número cada vez mayor de unidades de IoT, un patrón BYOD cada vez más popular y versiones de trabajo cambiantes, los equipos de TI necesitan un conocimiento profundo de cada punto final para protegerlo contra las amenazas que atraviesan la red empresarial. Independientemente de si los grupos toman una decisión sobre un antivirus único, filtrado de URL o controles de aplicaciones adicionales, estas decisiones deben tomarse en función de la evidencia para garantizar que los métodos de protección implementados estén destinados a limitar el riesgo de ataques cibernéticos.
Acelerar la respuesta a incidentes
Como la gran mayoría de las personas ahora trabajan en la web en alguna capacidad de su vida, es seguro que se materializarán incidentes. A medida que surgen, ninguno de ellos debe ser realmente ignorado. La información es crítica aquí, ya que los respondedores de incidentes no pueden comenzar a investigar, excepto si tienen datos para analizar. Por otro lado, incluso si tienen información, ¿qué es probable que hagan con ella si simplemente no pueden comprenderla? El hecho desafortunado es: nada en absoluto. A medida que las investigaciones se retrasan, los proveedores se exponen a una multitud de riesgos. Con más tiempo, los piratas informáticos pueden comprometer los sistemas, robar o arruinar datos más confidenciales o disfrazarse dentro de la red. Las respuestas lentas también pueden generar una acumulación peligrosamente masiva, en particular si las alertas graves y de precedencia sustancial se abren paso en la pila. Por lo tanto, el ritmo de respuesta a incidentes es, sin duda, crucial para mantener la información de la organización a salvo de un intruso.
Investigaciones forenses útiles
Independientemente de si en el mundo serio o solo digital, investigar la escena de un delito no es un trabajo rápido. Sin embargo, es un aspecto extremadamente crítico de cada sistema de ciberseguridad individual para hacer una historia completa de lo que sucedió y por qué. Filtrando a partir de miles de registros de información y destilando los metadatos, los grupos de protección necesitarán obtener la mayor cantidad posible de evidencia de red, punto final y programa para cerrar la situación. Las aplicaciones de ciberseguridad más efectivas ayudarán a obtener datos históricos granulares y comprenderlos por completo para informar la historia del incidente, utilizando la narrativa para mejorar la protección de la comunidad y protegerse contra futuras infracciones previsibles que ocurran. Después de todo, cada compromiso y cada violación de datos es una experiencia de trabajo de aprendizaje que realmente debería utilizarse para modificar las estrategias, las herramientas y los procesos para maximizar la visibilidad, impulsar la caza de amenazas y acelerar la detección.
Construyendo el sentido del sonido
Los grupos de seguridad pueden obtener una gran cantidad de alertas que les informan sobre un posible riesgo. Algunos de ellos serán de hecho aplicables, otras personas de precedencia reducida. Cuantos más grupos de sonidos obtengan, mayores serán las probabilidades de que falte algo importante. La infame violación de la información de Concentrate podría haberse evitado si el personal de seguridad no se hubiera dejado vencer por el volumen de notificaciones de una serie de métodos de estabilidad que apuntan a un problema significativo. En el caso de Target, el elemento de velocidad fue crucial para detener la brecha, o al menos minimizar su influencia, pero la tripulación no pudo abordar ni clasificar las alertas. Este desafío es mucho más frecuente y sigue siendo muy actual en las organizaciones más importantes y en las organizaciones más pequeñas.
Dicho esto, los equipos de protección actuales ofrecen a los departamentos de TI no solo una precisión de notificación mucho mejor, sino también un contexto de conocimientos y más información de apoyo para acelerar la reacción ante incidentes y llevar a cabo investigaciones mucho más productivas. Restringir el nivel de ruido y mejorar significativamente su calidad ayuda a ejecutar decisiones mucho mejores y más rápidas. Las métricas de seguridad son complejas, por lo que los equipos utilizados por los equipos de TI deben presentar una cierta cantidad de simplificación. De esa manera, la confianza en la estrategia de seguridad cibernética puede desarrollarse a medida que los datos se convierten en información procesable y fácil de comprender. Con autoestima, simplicidad y una mejor priorización de las advertencias, los equipos de seguridad cibernética pueden estar facultados para cambiar su técnica de reactiva a proactiva, sin perder nunca a un intruso al acecho. Estar equipado con las herramientas adecuadas puede ayudar a los grupos a comprender mejor los datos de seguridad, evitando adecuadamente las infracciones y protegiendo a las empresas, empleados y consumidores durante varios años.
Vincent Stoffer, director sénior de gestión de mercancías, Corelight