Lograr la resiliencia cibernética a través del conocimiento de la situación

La información incompleta puede ser un obstáculo para una ciberseguridad eficaz. Por ejemplo, un equipo de operaciones de seguridad (SecOps) recibe una alerta de un firewall, pero no puede determinar fácilmente si se trata de un ping sin sentido o del inicio de un incidente grave. Puede ser difícil saberlo, especialmente al principio. Los errores pueden ser muy costosos. Al mismo tiempo, invertir demasiada energía en falsos positivos supone una carga para los recursos.

La conciencia situacional ofrece una solución a este dilema. Estar consciente de la situación significa tener conocimiento oportuno y preciso de múltiples flujos de información relacionados con un posible incidente. Esto puede implicar la coordinación entre sistemas de seguridad. Una sólida conciencia situacional ayuda al equipo a evitar quedar atrapado en falsos positivos, a la vez que permanece plenamente consciente de amenazas graves, aunque ocultas. Permite a la organización ser resiliente ante las amenazas de ciberseguridad.

Los expertos en ciberseguridad coinciden en que la ciberresiliencia es una prioridad absoluta

Un panel de discusión reciente con funcionarios de seguridad gubernamental reveló cómo los principales profesionales de la ciberseguridad están respondiendo al entorno de ciberamenazas. El evento reunió a representantes de la Oficina del Director de Inteligencia Nacional, la Administración de Seguridad del Transporte y otros.

La ciberresiliencia es quizás su objetivo más importante. En el día a día, la resiliencia significa poder recuperarse rápidamente de un contratiempo, como una lesión. Los panelistas describieron la ciberresiliencia como “utilizar la conciencia situacional para frustrar un ataque de forma temprana o para volver rápidamente a la normalidad tras una vulneración”. El objetivo, según el panel, es “hacer frente a las incidencias a lo largo de la cadena de ciberataque, desde la detección de una amenaza hasta la eventualidad de algún tipo de daño o pérdida de datos”.”

La resiliencia es holística. Va más allá del objetivo de tiempo de recuperación (RTO) estándar definido en los acuerdos de nivel de servicio. Si bien los RTO son necesarios e importantes, son básicamente puntos de datos que definen el grado de protección de un sistema en particular.

La resiliencia refleja la postura de seguridad de toda una organización, su capacidad para resistir un ataque y superarlo, o mejor aún, evitarlo por completo. Ser resiliente significa tener una visión global, estar atento a la situación.

En este sentido, la conciencia situacional es tanto local como global. Los responsables de ciberseguridad deben ser conscientes de su situación particular, pero también de la totalidad del panorama de ciberamenazas. Esto puede requerir la comunicación con otras organizaciones y el intercambio estructurado de información de seguridad.

Los equipos de SecOps necesitan tener conocimiento de la situación de ciberseguridad tanto local como global.

Cómo los principales profesionales de ciberseguridad del gobierno federal crean conciencia situacional

El conocimiento de la situación debe ser rápido y lo más cercano posible al tiempo real. Los panelistas analizaron cómo lograron una respuesta rápida.

Wally Coggins, director del Centro de Coordinación de Seguridad de la Comunidad de Inteligencia de la Oficina del Director de Inteligencia Nacional, está abordando la respuesta rápida a través del conocimiento de la situación de tres maneras:

1. Está automatizando los flujos de datos entre su centro de coordinación de seguridad y los de otras agencias. El objetivo es proporcionar información lo más rápidamente posible a todos sobre la gestión de vulnerabilidades, la seguridad de endpoints y los incidentes de seguridad.
2. Está reuniendo a personas de diferentes orígenes y funciones de inteligencia para centrarse en la ciberseguridad. Por ejemplo, conectando a profesionales de contrainteligencia y ciberseguridad en una célula analítica que colabora para identificar amenazas internas.
3. Está realizando ejercicios de ciberseguridad. Por ejemplo, estos incluyen "juegos de guerra" cibernéticos para mejorar los tiempos de respuesta y las capacidades del personal de ciberseguridad.

El objetivo de estos pasos es construir una capacidad de defensa cibernética que brinde resiliencia a través del conocimiento de la situación de ciberseguridad.

Automatización y orquestación de la seguridad (SAO) y conocimiento de la situación de la ciberseguridad

La respuesta rápida es un requisito esencial para la ciberresiliencia mediante el conocimiento de la situación. Esto también aplica a la orquestación y automatización de los procesos de seguridad. Depender excesivamente de las tareas manuales de respuesta a incidentes perjudicará el conocimiento de la situación. Esto refuerza la necesidad de una solución como Automatización y orquestación de la seguridad (SAO).

Automatización

Todos los funcionarios gubernamentales del panel utilizan algún tipo de herramienta SAO. Estas soluciones automatizan las tareas manuales y tradicionalmente lentas de los analistas. planes de respuesta a incidentes. Las soluciones pueden orquestar las tareas de gestión de casos de seguridad en múltiples sistemas, personas y entidades. Reemplazan los procesos manuales con la toma de decisiones a velocidad de máquina.

Detección y análisis

Una solución SAO optimiza la detección y el análisis de amenazas. Por ejemplo, puede configurarse para reaccionar automáticamente a una alerta de un sistema de detección de intrusiones. Al recibir la alerta, la solución SAO puede enviar automáticamente los detalles de la alerta a un sistema de inteligencia de amenazas, abrir un ticket de gestión de casos en un sistema como JIRA y enviar correos electrónicos a las partes interesadas.

Inteligencia de amenazas

Tener mayor inteligencia de amenazas Mejora la conciencia situacional de ciberseguridad y la resiliencia frente a las amenazas. Al responder automáticamente a las alertas, la solución SAO mantiene al equipo de seguridad informado sobre sus actividades. De esta manera, permite al equipo estar al tanto de la situación y responder rápidamente a las amenazas. La solución también puede ejecutar tareas más amplias necesarias para el conocimiento de la situación, como la recopilación exhaustiva de datos, la estandarización y el análisis del flujo de trabajo. Algunas soluciones SAO pueden "aprender" a emular las prácticas del equipo de seguridad para diferentes respuestas a amenazas. La herramienta captura el conocimiento y las mejores prácticas demostradas por el equipo de seguridad. Esta capacidad aprovecha las habilidades del equipo y les permite dedicar más tiempo a problemas complejos en lugar de a tareas administrativas repetitivas.

Registros e informes

Las soluciones SAO generan registros de sus actividades. Estos registros pueden analizarse y compartirse posteriormente entre equipos y entidades. Con la interpretación de los registros y el historial de gestión de casos, es posible mejorar aspectos de la gestión de la seguridad que fomentan el conocimiento de la situación, la respuesta rápida y la resiliencia.

Mejore el conocimiento de la situación de ciberseguridad con Swimlane

Swimlane cumple automatización de la seguridad y orquestación Para impulsar el conocimiento de la situación y enriquecer la información situacional presentada a los analistas. Fácil de implementar, usar, gestionar y escalar, utiliza métodos orientados a objetos que permiten al equipo de operaciones de seguridad aprovechar las capacidades de sus soluciones de seguridad existentes.

¿Le interesa saber más sobre cómo la automatización y orquestación de la seguridad pueden ayudar a su organización? Descargue nuestro ebook. 8 casos de uso reales para orquestación, automatización y respuesta de seguridad.