La necesidad de integrar herramientas de ciberseguridad

 

Los mejores programas de ciberseguridad combinan dos conceptos básicos de seguridad: defensa en profundidad y el “mapa de calor” de riesgos de impacto empresarial.” Defensa en profundidad Es la práctica de construir capas de contramedidas para evitar que una brecha en una capa ponga en riesgo todo el sistema. Este enfoque puede incluir firewalls, controles basados en reglas, gestión de identidad y acceso, seguridad física, biometría y cifrado., gestión de incidentes y así sucesivamente.

Los mejores programas de ciberseguridad combinan la defensa en profundidad y el “mapa de calor” del riesgo de impacto empresarial.”

Por el contrario, la mapa de calor Aborda estas capas de defensa y centra los recursos de ciberdefensa en los activos de datos más críticos. Si una vulneración de una base de datos específica pudiera causar el mayor daño a la empresa, esta debería contar con la mejor defensa.

Estos componentes dan como resultado una matriz de contramedidas y controles de distinta intensidad para cada una de las herramientas y estrategias de seguridad particulares de la organización.

Figura 1 – Integración entre un sistema SIEM y las herramientas de seguridad que lo alimentan con datos.

Integración de herramientas de ciberseguridad para una mejor defensa

Ninguna herramienta de ciberseguridad puede hacerlo todo por sí sola. Cada herramienta desempeña un papel en una solución de seguridad más amplia e integrada. Las necesidades específicas de la organización determinan cómo funciona cada herramienta e interactúa con las demás, pero para funcionar en conjunto, deben estar integradas.

Imaginemos que una organización emplea:

• Cortafuegos
• Dispositivos de seguridad de redes inalámbricas
• Un sistema de detección de intrusiones (IDS)
• Seguridad basada en correo electrónico
• software antivirus

Si bien cada herramienta realiza tareas específicas, a menos que estén integradas, sus esfuerzos serán aislados y el impacto en la postura de seguridad general de la organización será limitado. Gestión de incidentes y eventos de seguridad (SIEM) El sistema puede ayudar. Los SIEM asimilan las entradas de cada herramienta de seguridad. La Figura 1 muestra cómo visualizar estas conexiones.

Una solución SIEM analiza múltiples fuentes de datos e identifica posibles amenazas mediante la correlación de puntos de datos entre las diferentes herramientas. Esto es posible gracias a la integración de aplicaciones. Cada herramienta se integra con la solución SIEM para compartir sus fuentes de datos. Esta integración entre herramientas proporciona una mayor seguridad que la que ofrece una herramienta individual.

Es posible llevar el escenario de seguridad a través de la integración más allá con un Automatización de la seguridad Solución de Orquestación y Seguridad (SAO). SAO automatiza los procesos de análisis de amenazas y respuesta a incidentes en una única plataforma. La Figura 2 muestra su diseño. SAO puede recibir información de SIEM y combinar datos de fuentes externas de inteligencia de amenazas. A través de su interfaz de gestión de casos y automatización, ejecuta estrategias predefinidas y orquestadas mediante aplicaciones de gestión de tickets como JIRA.

Simplificando la integración de la seguridad

Para que esto funcione, la integración debe ser sencilla, rápida y económica. Si las tecnologías y los procesos son engorrosos y propietarios, la integración puede resultar demasiado costosa para un entorno de seguridad. Simplemente, hay demasiados componentes y cambios para que la integración con servicios propietarios o profesionales sea una realidad.

En cambio, la integración de la seguridad se basa en estándares abiertos. Si bien los detalles varían según el proveedor, la mayoría de las herramientas de seguridad modernas, los sistemas SIEM y las soluciones SAO utilizan interfaces de programación de aplicaciones (API) RESTful y el lenguaje JSON sobre HTTP. Con estas API, lenguajes y protocolos ampliamente aceptados, es posible y más fácil conectar y reconectar los elementos de un entorno de seguridad integrado a voluntad.

Si las tecnologías y los procesos de integración son engorrosos y propietarios, la integración puede resultar demasiado costosa para un entorno de seguridad.

Figura 2 – Una solución SAO toma datos de SIEM y sus herramientas de seguridad integradas y proporciona un proceso de gestión centralizado y automatizado para la respuesta a incidentes.

Integración de la solución Swimlane SAO

Solución SAO de Swimlane Automatiza las operaciones de seguridad para equipos empresariales. Ofrece alertas de seguridad centralizadas, orquestación y automatización de la seguridad en tiempo real para responder a incidentes automáticamente, a la velocidad de una máquina. Esto reduce drásticamente el tiempo medio de reparación (MTTR) y proporciona contexto adicional para... evaluar cualquier alerta dada.

Además, los analistas pueden automatizar tareas repetitivas mediante Swimlane para gestionar incidentes de forma más eficiente. Esto aumenta la satisfacción laboral y facilita la colaboración de cada analista de seguridad. Mucho más productivo.

Swimlane se entrega con Integraciones preconfiguradas con tecnologías líderes en ciberseguridad Utilizando lenguajes de script comunes y una API RESTful. Dondequiera que una organización se encuentre, con su mapa de calor y capacidades de defensa en profundidad, esta capacidad de integración abierta basada en estándares es extremadamente útil para dotar a las organizaciones de la ciberseguridad más efectiva posible.