Tendencias
Ciberseguridad

La ciberseguridad en una encrucijada: es hora de adoptar un enfoque arquitectónico

La necesidad de mayor escala, inteligencia y automatización está impulsando un cambio enorme en las operaciones de seguridad y en el mercado SIEM.

ciberseguridad AAPP

Según la investigación de ESG, el 45% de los profesionales de la ciberseguridad creen que las operaciones de seguridad son más difíciles hoy que hace dos años, mientras que otro 11% afirma que las cosas están más o menos igual. 

Cuando se les preguntó por qué se sentían así, los profesionales de la seguridad señalaron una superficie de ataque cada vez mayor, un panorama de amenazas en continua evolución, el volumen y la complejidad de las alertas de seguridad y la recopilación y el análisis de volúmenes de datos cada vez mayores

Creo firmemente que cada uno de estos problemas se hará mucho más complejo en los próximos dos o tres años. Entre las aplicaciones nativas de la nube, los ecosistemas de socios y los nuevos tipos de dispositivos, el crecimiento de la superficie de ataque y los cambios serán difíciles de seguir, lo que conducirá a una explosión de activos vulnerables

La inteligencia artificial (IA) generativa ayudará a los equipos de seguridad con la higiene básica, lo que llevará a los adversarios a ser más creativos con los exploits a través de rutas de ataque cada vez mayores. El volumen de alertas de seguridad se disparará, lo que dificultará relacionar sucesos aleatorios sin conexión aparente. 

Por último, los volúmenes de datos aumentarán enormemente a medida que se pida a los equipos de seguridad que vigilen de cerca los datos de ciberriesgo, los datos de identidad, las redes sociales y las señales de seguridad física y digital, y que incorporen todas las formas de protección frente al riesgo digital (DRP) a su supervisión de las operaciones de seguridad. 

 

Las condiciones del mercado de la ciberseguridad están cambiando rápidamente   

También vale la pena señalar que los datos de la investigación de operaciones de seguridad anteriores no son nuevos ni únicos. De hecho, cualquiera que haya realizado investigaciones de este tipo en los últimos 10 años llegaría a conclusiones similares.

Durante este periodo, los proveedores de tecnología de seguridad han respondido a estos problemas con numerosas soluciones tecnológicas, como los sistemas SIEM de nueva generación, SOAR, XDR y UEBA. 

Hace poco, Cisco adquirió Splunk, Exabeam se fusionó con LogRhythm e IBM y Palo Alto Networks se asociaron para migrar a los clientes de QRadar en la nube a XSIAM. Otros proveedores se encuentran en graves apuros, buscan una salida y probablemente no estén lejos del final de la línea. 

Todo esto augura cambios masivos en las operaciones de seguridad. Para que quede claro, no estoy hablando de ajustes incrementales de productos o de lagunas funcionales resueltas mediante IA generativa. Hablo de cambios arquitectónicos fundamentales. 

 

Las grandes organizaciones deben adoptar un enfoque arquitectónico de la seguridad 

En los próximos años, las grandes organizaciones deberán pasar de un enfoque centrado en el producto a un enfoque arquitectónico de las operaciones de seguridad. Ningún proveedor ofrecerá la enchilada completa. Por lo tanto, los CISO deben centrar sus equipos en componentes arquitectónicos, como los que se enumeran a continuación: 

 

Escala de la nube 

A menos que seas Amazon, Google o Microsoft, no tendrás la capacidad de computación, red o almacenamiento necesaria para abordar los requisitos de las operaciones de seguridad. Esto significa que las organizaciones con sistemas locales deben planificar las migraciones a la nube lo antes posible. Ten en cuenta que no estoy hablando de un lift and shift. Más bien, los sistemas de operaciones de seguridad deben construirse sobre tecnologías modernas nativas de la nube como contenedores, funciones sin servidor, infraestructura como código y API, capaces de escalar la capacidad exponencialmente en los próximos años. 

  

Todos los datos 

Aquí hay mucho que desentrañar. En primer lugar, la noción de mover todos los datos a un repositorio está completamente obsoleta debido al volumen de datos y al cambio constante. Las futuras operaciones de seguridad deben adherirse a un modelo de datos federados. 

Por supuesto, algunos datos seguirán necesitando ser transmitidos, trasladados y procesados sobre la marcha, lo que exigirá tecnologías mejoradas de canalización de datos. Piense en CRIBL para la ciberseguridad. 

Por último, los estándares de datos como el marco abierto de ciberseguridad (OCSF) y STIX/TAXII cobrarán aún más importancia. Las grandes organizaciones deberían insistir en que sus proveedores observen estas normas a medida que vayan surgiendo. 

Ten en cuenta que veo a las grandes organizaciones estandarizando con tecnologías de data lakes como Databricks y Snowflake, y también veo un papel aquí para cosas como el lago de seguridad de Amazon. Aunque esto tiene sentido hoy en día, veremos nuevas plataformas de gestión de datos en el futuro con casos de uso de seguridad convincentes. Las arquitecturas de operaciones de seguridad de las empresas deben tener la flexibilidad necesaria para migrar o integrar datos en el futuro. 

 

Conectividad 

Esta es bastante sencilla: todo tiene que conectarse con todo lo demás a través de API, protocolos de transporte y normas del sector. En el caso de las API, deben estar bien documentadas y concebidas para casos de uso flexibles, no como cajas negras basadas en el proveedor. 

Me gustaría que el sector se uniera para establecer algunas normas. Por ejemplo, una API EDR estándar para acceder a los datos de los terminales independientemente del proveedor de EDR. En este sentido, los CISO deberían rechazar los ecosistemas de proveedores cerrados o la integración única entre proveedores. Este tipo de bloqueo histórico de la industria está reñido con los sistemas dinámicos de operaciones de seguridad actuales y futuros. 

 

Automatización en el centro

En lugar de atornillar la automatización a las herramientas a posteriori, todo lo que pueda automatizarse debería automatizarse. Esto es especialmente cierto en acciones básicas como la búsqueda de direcciones IP, la asociación de activos con propietarios, el enriquecimiento de alertas con inteligencia de amenazas y la comprobación de muestras de archivos en VirusTotal. 

Además, los sistemas de operaciones de seguridad deben estar dotados de flujos de trabajo flexibles y libros de ejecución que puedan utilizarse para todo tipo de actividades analíticas de nivel 1 a 3, y que puedan personalizarse o integrarse fácilmente con herramientas de gestión de servicios de TI o canales de CI/CD. Una vez más, un lenguaje común estándar para los flujos de trabajo/libros de ejecución sería especialmente útil para compartir toda la arquitectura.   

 

Ingeniería 

Como muchos otros han sugerido, la estructura actual de los analistas de seguridad está fundamentalmente rota. No necesitamos ojos en el cristal, necesitamos manos en los teclados. Como parte de esto, la ingeniería de detección continua/detecciones como código son de vital importancia. Este proceso debe estar estrechamente vinculado a la formación continua de red teaming con el objetivo de establecer una defensa informada de las amenazas guiada por cosas como el marco ATT&CK de MITRE. 

  

Capas de análisis 

Pensar que podemos reunir todas las señales de seguridad y averiguar qué está ocurriendo en una infraestructura de TI híbrida es un enfoque equivocado. Deberíamos abordar los problemas localmente en la medida de lo posible mediante tecnologías como CASB, EDR, ITDR, NDR y SSE, compartiendo al mismo tiempo los datos en toda la arquitectura. También creo que necesitaremos algún tipo de capa tecnológica de análisis de enlaces similar a Palantir para buscar entre conjuntos de datos vastos, distribuidos y aparentemente no relacionados para investigaciones de ciberataques especialmente enrevesadas. 

Es difícil resumirlo aquí, ya que se trata de un gran tema que llevo años investigando. Pero tengo algunas reflexiones finales. 

Muchas o la mayoría de las organizaciones no tendrán los recursos para construir y mantener este tipo de arquitectura de operaciones de seguridad, recurriendo a los MSSP como alternativa. De acuerdo, pero recuerda que los MSSP tendrán que construir sus propias arquitecturas con la escala, la inteligencia y las capacidades de automatización necesarias para dar servicio a una comunidad de clientes. Una vez más, no todos los MSSP lo harán bien. Los CISO deben elegir con cuidado. 

 

La IA generativa será una bendición mixta 

¿Qué hay de la IA generativa? En mi humilde opinión, es una bendición mixta. Ayudará con el conocimiento y la eficiencia de los analistas, pero sus beneficios serán obvios para los adversarios, que diseñarán a su alrededor. 

También creo que la IA generativa entrará en la empresa por la puerta de atrás, sobre los productos existentes. Esto conducirá a la balcanización. El motor de IA de última generación sobre EDR sabrá mucho sobre seguridad de endpoints, pero no tendrá visibilidad sobre lo que ocurre en routers, dispositivos u otros tipos de activos. 

Prepárate para oír el término 'defensa colectiva' mucho más a menudo. Aquí es donde la IA generativa puede ser de gran ayuda mediante el seguimiento de las amenazas y las respuestas a través de múltiples organizaciones y luego compartir las mejores prácticas a través de sus bases de clientes. 

Este es un ámbito en el que los MSSP tendrán una clara ventaja. Mi esperanza es que estén dispuestos a compartir lo que aprenden de su base instalada con toda la comunidad de ciberseguridad. 

Busca la consolidación de las operaciones de seguridad entre comunidades dispares. Varios estados de Estados Unidos ya están llevando a cabo esfuerzos "para todo el estado", ofreciendo servicios de operaciones de seguridad a gobiernos locales con pocos recursos, agencias estatales, universidades, hospitales, etc. 

El OmniSOC, un centro de operaciones de seguridad (SOC) compartido para la enseñanza superior y la investigación, es también un buen ejemplo. Espero que aumente este tipo de cooperación y colaboración en el futuro. 

Por último, veo una nueva categoría de empresas que yo llamo complementarias de SIEM (o, más exactamente, de operaciones de seguridad). Se trata de herramientas y servicios de ingeniería de detección, empresas de agregación de inteligencia sobre amenazas, sistemas de análisis avanzado y similares. 



TE PUEDE INTERESAR...

Contenido Patrocinado

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper