Así puedes reducir significativamente el tiempo de detección y reacción ante amenazas

Reducir los plazos de detección y reacción ante amenazas sin un aumento directo de recursos de personal o cualificación se ha convertido en uno de los mayores retos a los que se enfrentan las empresas a día de hoy. Para ayudarles en este objetivo, ThreatQuotient ha querido compartir sus reflexiones al respecto.

Y es que, dado que en la mayoría de los casos no es posible aumentar el número de personas disponibles ni las competencias necesarias a corto plazo, las empresas deben aumentar el rendimiento de los recursos existentes. Las plataformas de inteligencia ante amenazas (TIP) ayudan a los equipos de seguridad a automatizar las tareas que consumen mucho tiempo y proporcionan a los Centros de Operaciones de Seguridad (SOC), analistas o responsables de la respuesta a incidentes los datos adecuados en el momento oportuno para tomar decisiones rápidas y emprender acciones específicas.

En opinión de Eutimio Fernández, Director General de ThreatQuotient en España: “Las TIP modernas van mucho más allá de la gestión tradicional de datos sobre amenazas, al ayudar a los equipos de seguridad a acelerar los flujos de trabajo y los procesos, actuando como plataformas de operaciones de seguridad”. Desde la compañía señalan los siguientes pasos para ayudar a reducir significativamente el tiempo necesario para la detección (tiempo medio para detectar) y la reacción (tiempo medio para responder):

1. Reducción de los silos de datos

Los equipos de seguridad llevan mucho tiempo sufriendo el problema del “Big Data”. Muchas herramientas que generan muchos datos, pero la mayoría de las veces no los recogen en un solo lugar. Al analizar un incidente, los equipos suelen tener dificultades para acceder rápidamente a los datos adecuados. Una base de datos central de amenazas o “Biblioteca de Amenazas”, en la que se recoge y almacena automáticamente toda la información sobre amenazas procedente de fuentes internas y externas (Threat Data Feeds), permite acceder rápidamente a todos los datos necesarios.

2. Enriquecimiento de los datos con el contexto

El contexto es especialmente importante para el “triaje de alertas”, es decir, el examen de la criticidad de una alerta. Una dirección IP clasificada como maliciosa es un gran reto para un analista sin más información. Las TIP ayudan a enriquecer automáticamente los datos con el contexto. La nocividad de la dirección IP se confirma o se niega, los falsos positivos se detectan mucho más rápido.

3. Priorización de los datos ante amenazas

Los datos enriquecidos con contexto pueden ser priorizados. Un sistema de puntuación destaca los datos críticos para su negocio, reduce el ruido y ayuda a los analistas y a los encargados de responder a los incidentes a centrarse en las amenazas relevantes.

4. Sugerencias de soluciones

Además del análisis de un incidente, la decisión de qué medidas tomar es una de las tareas más difíciles. Esto suele requerir conocimientos profundos y experiencia, de los que a menudo no se dispone. Las TIPs ayudan a los responsables de incidentes a tomar la acción correcta sugiriendo soluciones, que se importan, por ejemplo, utilizando datos del Marco MITRE ATT&CK.

5. Colaboración

Una de las medidas más importantes para aumentar la eficacia y la eficiencia de los equipos de seguridad es mejorar la cooperación. Las personas tienen tareas diferentes y necesitan datos distintos. Además, a menudo ocurre que se necesitan varias personas al mismo tiempo para analizar un incidente. Es esencial que todas las personas implicadas puedan obtener rápidamente una visión general y acceder a datos comunes. Las modernas TIP y las plataformas de operaciones de seguridad pueden servir de base para la colaboración, visualizando los datos y mostrando las dependencias de forma gráfica. Una sala de operaciones virtual sirve aquí como lugar central para tomar decisiones conjuntas.

La entrada Así puedes reducir significativamente el tiempo de detección y reacción ante amenazas aparece primero en Globb Security.