Uno de los retos más relevantes que están viviendo las operaciones de ciberseguridad es la orquestación de algunos procesos claves, como son el monitoreo de amenazas, la gestión de plataformas de seguridad, la caza de amenazas, la inteligencia de amenazas, la gestión de vulnerabilidades y la gestión de incidentes; estos seis procesos deben ser integrados adecuadamente para lograr una gestión de respuesta a incidentes cibernéticos.
El primer proceso que debemos integrar a nuestro modelo de operaciones de ciberseguridad es el proceso de monitoreo de seguridad, el cual nos está retando a adoptar mecanismos de automatización, que permitan reducir la fatiga de alertas y disminución en el tiempo de contención frente a una detección proactiva de amenazas. El monitoreo de seguridad normalmente utiliza plataformas de correlación de eventos conocidas como SIEM (Security Information and Event Management), las cuales permiten aumentar la visibilidad de comportamientos sospechosos sobre nuestra infraestructura, cargas de trabajo y usuarios. Sin embargo, estas tecnologías han venido siendo reemplazadas por plataformas XDR (Extended Detection and Response), aumentando capacidades forenses, de investigación y automatización de respuesta.
En el proceso de monitoreo es esencial incluir el monitoreo de nuestros dominios y usuarios claves en la Dark y Deep web, con el fin de tener visibilidad de cuentas comprometidas, que puedan llegar a ser utilizadas para un futuro ataque dirigido a nuestra organización.
El Segundo proceso que debemos orquestar es la interacción entre el equipo de monitoreo de seguridad y el equipo que administra las soluciones de seguridad, pues debemos buscar mecanismos para que ambos trabajen como un único equipo en el proceso de contención de un incidente. Las plataformas de seguridad no solo proveen información sobre eventos de seguridad; son también una pieza trascendental para actuar rápidamente en un proceso de contención. Normalmente estos equipos de trabajo corresponden a diferentes áreas dentro de las organizaciones, generando dificultades de comunicación y respuesta frente a las necesidades de investigación oportunas de un posible incidente. La disponibilidad de actuar rápidamente entre estos dos equipos es fundamental.
El tercer proceso que debemos integrar es la caza de amenazas, el cual es un proceso exigente, teniendo en cuenta que los recursos y las capacidades humanas son limitadas; este proceso nos ha exigido adoptar tecnologías con inteligencia artificial para identificar comportamientos anómalos que nos permitan actuar de forma eficiente y proactiva. La IA tiene capacidades de auto aprendizaje sobre las actividades rutinarias de los usuarios y el entorno de nuestras operaciones, permitiendo identificar acciones maliciosas incluso sin intervención humana, y reduciendo los tiempos de detección e investigación.
Otro proceso esencial por integrar en nuestro modelo de operación es la inteligencia de amenazas. Su objetivo es mantener todos los sistemas de detección actualizados en tiempo real con diferentes fuentes de información especializados en compartir indicadores de compromiso que nos permitan alertar oportunamente la ejecución de procesos o comunicaciones maliciosas conocidos globalmente en nuestro entorno. Entre más fuentes de información podamos interconectar, más indicadores de compromiso tendremos disponibles para contener un comportamiento inadecuado en nuestro contexto.
No podemos dejar a un lado la gestión de vulnerabilidades. Fuera de ser un factor crítico para cerrar la brecha de exposición, también nos aporta información relevante para identificar si realmente somos vulnerables a un evento de seguridad. Este proceso nos da una visibilidad sobre la criticidad real de un evento de seguridad en nuestro entorno y debe ser integrado durante la investigación de amenazas.
Estos cinco procesos deben ser integrados a partir de un sexto proceso: la repuesta a incidentes, el cual establece las acciones que se deben realizar durante un evento de seguridad, incluyendo las fases de reparación, detección, contención, erradicación, recuperación y lecciones aprendidas de cada uno de los procesos involucrados anteriormente.
Nuestro modelo de servicios MDR (Management Detection and Response) de Multisoft involucra la orquestación de todos lo procesos citados anteriormente, protegiendo proactivamente a las organizaciones frente a ciber amenazas a partir de detección temprana y respuesta rápida a incidentes. El modelo de MDR involucra varias tecnologías, modelos de operación 7×24 y personal altamente capacitado que son parte esencial en nuestro Centro de Operaciones de Seguridad NGSOC Multisoft.
Por: Juan Sebastián Segura, Director de Servicios de Multisoft S.A.S