Ciberseguridad

Un nuevo enfoque para el método SecOps

Con la intensificación de las amenazas, las organizaciones se ven incapaces de gestionar el alto volumen de alertas de seguridad. ¿Pueden ser útiles las herramientas de última generación?

foto palo alto networks

Para estar a la vanguardia de la seguridad hay que contar con herramientas eficaces y buenos analistas de seguridad. Pero no es fácil equilibrar tecnología y capital humano.

Las tecnologías de detección y prevención generan miles de alertas diarias, mucho más de lo que los equipos de seguridad pueden manejar. Estas alertas proceden de muchas fuentes desconectadas, lo que complica el trabajo de los analistas. Solo hay tiempo de tratar las alertas de máxima prioridad. Las de baja prioridad no importan.

 

Uso de API y sistemas SIEM

Muchas empresas usan API para integrar la detección y la respuesta. Eso implica el uso de un costoso SIEM como pieza central de sus operaciones de seguridad. El SIEM agrega los datos de registro analizándolos y normalizándolos, eliminando gran parte del contexto.

No es una opción perfecta. Lo que se necesita son tecnologías que reduzcan el total de alertas y que permitan a los analistas evaluar eficazmente las amenazas, para que solo se escalen las alertas de alta prioridad.

 

Nuevas herramientas de respuesta

Han llegado al mercado nuevas herramientas de logging, detección y respuesta como, por ejemplo, Endpoint Detection and Response (EDR), Endpoint Protection Platform (EPP) y Security Information and Event Management (SIEM). Todas tienen puntos fuertes y débiles y pueden ser útiles contra ataques simples, como los que amenazan solo una parte de la infraestructura. Sin embargo, están pensadas para un solo fin y no son las más idóneas para manejar campañas complejas.

Los sistemas más recientes, como NDR y UEBA, están diseñados para solventar algunas de estas carencias. Utilizan Machine Learning (Inteligencia Artificial) para buscar anomalías sobre un patrón de actividad. Así superan las carencias del SIEM en la detección de ataques desconocidos.

 

Las limitaciones de las herramientas de red

Estas también tienen carencias. Los productos en la red no pueden rastrear eventos locales (por ejemplo, datos de procesos recopilados en los endpoints). Si el sistema EDR es profundo y estrecho, NDR es amplio y poco profundo. Las UEBA dependen de los logs de terceros para detectar amenazas y asignarles una puntuación de riesgo. Pero si las herramientas de terceros fallan en sus detecciones, o no registran una parte de la infraestructura, la herramienta UEBA se vuelve ineficaz.

Esto agrava aún más el déficit de capacidades. Las empresas deben buscar herramientas para que los equipos de seguridad sean más eficaces, automaticen tareas y simplifiquen investigaciones.

 

Seguridad XDR de última generación

Hay nuevas herramientas de respuesta a incidentes que ofrecen más sofisticación en la detección y respuesta. Conocida como XDR (donde la X significa 'extendido' y puede representar cualquier fuente de información), esta tecnología admite la ineficacia de examinar los componentes individuales de la infraestructura de forma aislada. XDR usa el análisis dinámico y el Machine Learning para combinar las capacidades y los efectos de SIEM, UEBA, NDR y EDR.

XDR reúne los datos del endpoint, la red y la nube en un sólido lago de datos. Ofrece mayor visibilidad gracias al eficaz motor de Analytics basado en Machine Learning y las capacidades de reparación integradas, cambiando radicalmente la detección, investigación, respuesta y hunting de amenazas.

Contenido elaborado en colaboración con Palo Alto Networks. Para saber cómo Cortex XDR está redefiniendo las SecOps, lea el artículo de Palo Alto Networks The Essential Guide to XDR.

 



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper