Priorización de alertas – Las correlaciones generan contexto, el contexto genera claridad

¿Cuántas veces ha presenciado la siguiente situación? Se produce un gran suceso y las cadenas de televisión se apresuran a difundir la noticia antes que nadie. Desgraciadamente, las primeras conclusiones sobre el suceso resultan ser totalmente erróneas cuando se conocen más datos. Otro ejemplo: un fragmento de vídeo en el que se ve a alguien diciendo una frase polémica se hace viral en Internet. Más tarde, se descubre que la persona fue grabada fuera de contexto, cambiando así el significado de lo que realmente quería decir.

El contexto importa

El contexto importa, al igual que disponer de toda la información relevante antes de tomar una decisión fundada. Aunque es fácil citar ejemplos relacionados con la televisión y las redes sociales, este tipo de historias se repiten en muchas facetas de la vida moderna, incluida la ciberseguridad. Las herramientas tradicionales de control de la seguridad están diseñadas para enviar métricas y alertas preestablecidas al personal informático y de seguridad. Sin embargo, este enfoque tiene varias limitaciones.

  • Al igual que un vigilante humano, cada herramienta de supervisión ve los sucesos desde su propia óptica.
  • A menudo, el personal que está sentado frente a los paneles de control debe interpretar lo que indican las métricas y las alertas.
  • Los equipos informáticos son bombardeados con alertas y mensajes de supervisión, muchos de los cuales son falsos positivos.

En un mundo perfecto, se podría esperar a tener toda la información para responder a un posible ataque. Por desgracia, los hackers no esperan a que juguemos nuestras cartas. Ellos juegan para ganar, e incluso las plataformas legítimas les sirven ahora de terreno de juego. Ninguna red está a salvo.

Sin embargo, gracias a los avances en AL y ML, tanto la velocidad como el contexto son ahora posibles en entornos de gran complejidad. Un ejemplo es Waze, una aplicación de navegación GPS que extrae continuamente datos de múltiples fuentes, incluyendo datos colaborativos de sus usuarios, agencias de tráfico gubernamentales y datos históricos. A continuación, utiliza algoritmos avanzados para informar de las condiciones del tráfico de su próximo viaje con relativa facilidad y precisión.

Más herramientas no son la solución

Según un estudio de Forrester de 2019, las empresas se han lanzado a un frenesí de compras para ampliar su catálogo de herramientas de seguridad en el último año. En el estudio, el encuestado medio gestionaba una media de 25 productos/servicios de seguridad diferentes de hasta 13 proveedores. La premisa que hay detrás de este movimiento es comprensible. Cuantas más herramientas, más cobertura. Cuantos más datos se tengan, más precisas serán las conclusiones. El problema es, que más herramientas, introducen más complejidad. La encuesta 2020 CISO Benchmark Survey mostró que, de hecho, las organizaciones se vuelven más susceptibles al tiempo de inactividad relacionado con la seguridad a medida que aumenta el número de proveedores de seguridad que utilizan. Cada vez está más claro que un conjunto de herramientas de seguridad diversificado plantea verdaderos retos para las empresas de hoy en día.

Conocer la historia al completo

El problema de la vigilancia tradicional de la red y la seguridad es que una alerta de seguridad es un indicador puntual de actividad maliciosa. Los equipos de seguridad necesitan la narrativa completa porque cada ciberataque tiene una historia. La historia típica consiste en una serie de pasos secuenciales básicos:

  • Una brecha inicial como resultado de un correo electrónico de phishing o una vulnerabilidad no parcheada.
  • El establecimiento de un punto de avanzada o frente estratégico desde el que los atacantes establecen su base.
  • Desplazamiento lateral a través de la red en busca de privilegios y datos de alto valor que los atacantes puedan robar o aprovechar.
  • Ejecución del ataque en sí mismo, ya sea una brecha de datos tradicional o un ataque de ransomware.

Un general militar necesita información de todo el campo de batalla para reconstruir la historia completa de lo que está haciendo el enemigo en tiempo real. Por ejemplo, una sola maniobra de flanqueo realizada por el enemigo podría ser una táctica engañosa diseñada para distraer al enemigo mientras se produce el ataque real. Aunque los eventos por sí solos tienen valor, no proporcionan toda la información necesaria a lo largo de la red.

Propósito de la correlación de sucesos

En muchos casos, los sucesos individuales por sí solos no cuentan una historia hasta que se correlacionan con otros sucesos. La correlación de sucesos es el proceso de agrupar y analizar sucesos aparentemente inconexos para identificar patrones y descubrir posibles incidentes de seguridad. Implica tanto la vinculación automatizada como semiautomatizada de múltiples sucesos de seguridad relacionados para contar una historia de secuencias o patrones significativos. Por ejemplo, varios intentos fallidos de inicio de sesión podrían deberse a que un usuario ha olvidado su contraseña. Este es un tipo de falso positivo que se puede ignorar fácilmente. También se puede ignorar un inicio de sesión exitoso del mismo usuario, pero cuando un inicio de sesión exitoso se produce inmediatamente después de cincuenta intentos fallidos consecutivos, comienza a surgir una historia potencial. Otro ejemplo: los tipos de sucesos A, B y C pueden no justificar la priorización por sí mismos individualmente, pero cuando se correlacionan colectivamente, representan un suceso de nivel potencialmente problemático.

Combinación SIEM + SOAR

Muchas organizaciones utilizan SIEM para recopilar y agregar datos de sistemas dispares de sus múltiples redes en una plataforma centralizada. Posteriormente, el SIEM analiza los datos agregados para identificar tendencias o patrones sospechosos. Aunque un SIEM es sin duda una mejora con respecto a un equipo humano de analistas que deben interpretar y evaluar los datos correctamente, sigue quedándose corto a la hora de reaccionar y remediar las amenazas descubiertas. Una nueva metodología llamada orquestación, automatización y respuesta de seguridad (SOAR) está sustituyendo al SIEM mejorando notablemente la seguridad. Mientras que un SIEM hace un gran trabajo manteniendo informados a los equipos de seguridad, una solución SOAR se encarga de correlacionar los eventos respondiendo y remediando las amenazas de forma automatizada. La idea es dejar que el SOAR se encargue de los incidentes de seguridad básicos y que los profesionales de la seguridad se centren en las amenazas más complicadas. SOAR es un miembro proactivo de su equipo de seguridad que añade velocidad, eficiencia y mayor precisión a sus medidas de seguridad.

Combinación SOAR + SOC

Lamentablemente, no todas las organizaciones pueden permitirse un SOAR para ellas solas. Esta es una de las razones por las que muchas organizaciones recurren cada vez más a un centro de operaciones de seguridad (SOC) para reforzar su estrategia de seguridad. Las herramientas SOAR pueden mejorar la eficiencia y la eficacia del equipo de profesionales de ciberseguridad altamente experimentado del SOC. Los SOC consiguen aportar tanto valor que muchas compañías de seguros los están exigiendo a los titulares de sus pólizas de ciberseguros.

Conclusión

Los equipos de seguridad están saturados de información y alertas de seguridad. Aunque es humanamente posible correlacionar esta ingente cantidad de datos, no es factible. Los equipos de seguridad deben tener la capacidad de unir los puntos lo más rápidamente posible antes de que los malos tengan la oportunidad de lograr sus malévolos objetivos. Sólo la automatización puede profundizar suficientemente rápido en los sucesos correlacionados que identifican la historia que está teniendo lugar en su red. No se trata de tener todas las herramientas. Se trata de tener las herramientas adecuadas y, con ellas, de asegurarse de que la historia concluya con un final feliz.

Regístrese para obtener actualizaciones