Edit

ACERCA DE NOSOTROS

Elliptical es una empresa colombiana que cuenta con una trayectoria de 14 años en la especialización de Soluciones y Servicios Profesionales de Seguridad de la Información y Ciberseguridad, que nació con el fin de responder a las necesidades y demandas del mercado actual, caracterizándonos por nuestro compromiso con la calidad y la pasión por el servicio.
 Forrester sobre los SIEM, la fatiga de las alertas y la priorización de los proyectos de ciberseguridad.

Forrester sobre los SIEM, la fatiga de las alertas y la priorización de los proyectos de ciberseguridad.

El vicepresidente y director de investigación de Forrester, Joseph Blankenship, habló con nosotros sobre el estado del sector de la ciberseguridad. Lea lo más destacado aquí.

El analista industrial de Forrester Joseph Blankenship se ha afianzado como una de las voces más reconocidas e influyentes del sector de la ciberseguridad. Su experiencia trabajando en la primera línea de liderazgo de productos en algunos de los proveedores más innovadores del mundo, como McAfee (Intel Security), Vigilar (una de las primeras empresas de servicios de seguridad gestionados) e IBM (ISS), ha contribuido a informar su amplia perspectiva sobre el panorama de la ciberseguridad en evolución y es una de las razones por las que tantas organizaciones están dispuestas a solicitar su orientación experta a la hora de priorizar sus presupuestos e iniciativas estratégicas.

Por ello, nos encantó tener la oportunidad de que Joseph participara en nuestra más reciente Charla Flash sobre el tema «SIEMs, Fatiga de Alertas y Priorización de Proyectos de Ciberseguridad». Lo que sigue es una versión condensada de la charla, destacando algunos de los puntos clave de la discusión entre el CEO y fundador de Lumu, Ricardo Villadiego, y Joseph. El debate completo de media hora puede verse aquí.

Simplificar la ciberseguridad

Ricardo Villadiego (RV): Los equipos de seguridad demandan formas más sencillas y a la vez más eficaces de abordar el problema de las brechas. ¿Cómo se puede hacer esto?

Joseph Blankenship (JB): Una cosa que creo que tenemos que enfocar y abordar es el tema de la complejidad. Año tras año, en nuestra encuesta tecnográfica sobre seguridad que realizamos con usuarios y compradores de tecnologías de seguridad de todo el mundo, una de las cosas que nos dicen que es una de las principales preocupaciones es la complejidad de los sistemas que utilizan. No se trata sólo de la complejidad de los sistemas informáticos que la empresa utiliza para funcionar, sino también de la complejidad de los aparatos de seguridad que utilizamos para supervisar y proteger esos sistemas. Así que, como tenemos toda esta complejidad incorporada, también se acumulan vulnerabilidades en el extremo del sistema. Y luego le añadimos controles de seguridad lo que hace que nuestro trabajo como profesionales de la seguridad mucho más difícil de hacer.

Así que una de las cosas que creo que tenemos que hacer como líderes de seguridad es racionalizar nuestras inversiones en tecnología y consolidar algunas de nuestras herramientas de seguridad en lugar de tener una miríada de vendedores haciendo casi cosas diferentes – realmente tenemos que evaluar algunas de esas decisiones tecnológicas y hacer estas cosas más fáciles de usar. Así que racionalizar esas inversiones significa invertir en tecnologías que permitan ofrecer la mejor prevención y detección posibles allí donde más se necesitan en la empresa.

Fatiga por Alerta

RV: ¿Cuál es la causa principal del creciente problema de la fatiga por alerta? ¿Cómo hemos llegado hasta aquí y qué podemos hacer para solucionarlo?

JB: Creo que gran parte tiene que ver con el hecho de que hace tiempo se tomó una decisión en materia de seguridad que quizá no fue la mejor. Dijimos que queríamos aportar muchos datos y que luego íbamos a encontrar las agujas en el pajar. Y lo que descubrimos fue que, para construir esos pajares, necesitamos montones y montones de datos. Así que convertimos la seguridad en este problema de grandes datos y decidimos que todos los datos, eran datos importantes. Y tenemos que ir y tratar de minar todos estos datos para encontrar las cosas que son importantes. Ahora bien, una de las cosas que terminó sucediendo es que, sin la capacidad de afinar adecuadamente esta tecnología, arrojaría un montón de alertas a un analista de seguridad que tiene que averiguar a qué señales debería responder.

La otra cosa que sucedió es que estamos recibiendo alertas duplicadas en diferentes tecnologías. Teníamos la promesa de cosas como SIEMS que se suponía que duplicarían estas cosas y nos ayudarían a correlacionar todas estas alertas, pero nunca funcionó realmente como debería. Nunca fue realmente fácil de hacer, especialmente a escala. Así que tenemos tecnologías mal afinadas -y todas estas tecnologías también tienen diferentes interfaces-, por lo que resulta realmente difícil para el analista de seguridad mantenerse al día con todas estas cosas.

Lo que realmente nos dice esto es que sin la capacidad de correlacionar con éxito estas alertas a escala, no sabemos realmente dónde centrar nuestros esfuerzos. Lo que tenemos que hacer es conseguir una señal de alta fidelidad para nuestros analistas. Tenemos que darles la confianza de que la alerta que ven es realmente algo importante, que es un verdadero positivo y no un falso positivo. Tenemos que alejarnos de este problema de los grandes datos y centrarnos más en las alertas de alta fidelidad, en las que tengamos una gran confianza en que algo está ocurriendo y en que existe la posibilidad de que se produzca una infracción.

Visibilidad y confianza cero

RV: ¿Cuál es el papel de la visibilidad en un modelo de ciberseguridad de confianza cero?

JB: Una de las razones por las que ponemos el anillo de visibilidad y análisis alrededor de todas estas cosas es que el modelo ampliado de Confianza Cero dice que la mayoría de nuestras herramientas de seguridad se centran realmente en lo que nos llega externamente. Y eso es lo que informa. Teníamos muy poca información sobre lo que consumían las operaciones de seguridad en términos de lo que ocurría dentro de sus redes y sistemas. Así que una de las cosas que nos dimos cuenta de que teníamos que hacer era iluminar dónde están ocurriendo realmente las cosas, dónde están nuestros activos, dónde se almacenan todos nuestros datos, dónde se procesan y dónde operan nuestros usuarios. Debemos tener visibilidad de ese entorno: qué activos están conectados a las redes, visibilidad de cómo se han tramitado los datos y cómo se comportan los usuarios dentro de los sistemas.

Así que es muy importante que incorporemos esto a Zero Trust, porque vamos a decir: «Vamos a crear este conjunto de técnicas de prevención para proteger los datos y los sistemas». También tenemos que ser capaces de tener visibilidad en la forma en que todas esas cosas están conectadas, y luego ser capaces de dar a los operadores de seguridad la visibilidad de cualquier cosa que está sucediendo dentro de los sistemas. Así que hemos convertido en una parte clave del modelo la posibilidad de capacitar a los equipos de seguridad para que detecten y respondan a las amenazas dentro del entorno y no sólo a lo que se observa externamente.

El papel del SIEM moderno

RV: ¿Dónde encajan los SIEM en el contexto de las arquitecturas modernas de ciberseguridad?

JB: Los SIEM llevan mucho tiempo evolucionando. Hace algo más de una década tuvimos un periodo en el que se estancó y se convirtió en una especie de almacén. Nos limitamos a volcar los registros en él para poder cumplir los requisitos de conformidad. Luego, en un momento dado, nos dimos cuenta de que no queríamos intentar detectar las amenazas con estas cosas. Así que vamos a empezar a bombear toneladas y toneladas de datos en esta zona. Vamos a empezar a alimentar la inteligencia de las amenazas en esto». A hacer todas estas cosas, pero el SIEM realmente no fue construido para manejar ese tipo de problema de datos. Como dije antes, empezamos a tratar la seguridad como un problema de grandes datos. Así que los fabricantes de SIEM respondieron construyendo una infraestructura mucho más escalable para ser capaces de recibir todo este material. El problema, sin embargo, era que el SIEM basado en reglas todavía no estaba bien adaptado a todo eso.

En realidad, hace más de una década que ni siquiera cubrimos el SIEM como una capacidad independiente aquí en Forrester. Y cuando empecé a trabajar hace unos cinco años, empecé a ver el espacio SIEM como algo más evolutivo, en el que habíamos pasado de un SIEM basado en reglas a añadir características de comportamiento, cosas como el análisis del comportamiento de los usuarios, o el análisis de la red y el intento de obtener visibilidad de lo que está ocurriendo dentro de una red. También empezamos a añadir elementos de automatización. Y ahora tenemos todas estas capacidades agrupadas en lo que describimos como el mercado de la «Plataforma de análisis de seguridad», donde reunimos todas estas capacidades diferentes.

Así que creo que esa fue una evolución. Creo que nuestra próxima evolución será sacar el SIEM del centro de datos y del despliegue in situ en el que ha estado encerrado durante mucho tiempo y pasar a un modelo de entrega más centrado en la nube. Y en lugar de intentar analizar todos los datos como un problema de análisis de big data, podremos ser mucho más selectivos sobre los tipos de datos que traemos, el escrutinio que aplicamos a esos datos y cómo priorizamos esos datos de alta fidelidad, y quizás archivamos algunas de estas otras cosas. De este modo, si necesitamos realizar una búsqueda de amenazas o volver a hacer análisis forenses, podremos disponer de ellos. Pero para centrarnos en la detección y respuesta a las amenazas, tenemos que centrarnos en cosas que sabemos que son alertas de alta fidelidad en las que hay mucho contexto. Y luego podemos aplicar la automatización para aumentar nuestros analistas humanos.

Traducción del texto original https://lumu.io/blog/flash-talk-forrester

DEJAR UN COMENTARIO

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Nuestro equipo de colaboradores está aquí para responder todas tus inquietudes,