Llegamos a ustedes gracias a:



Reportajes y análisis

Detección y respuesta ¿por dónde empezar?

[28/09/2016] A medida que el panorama de las amenazas sigue evolucionando, los expertos en seguridad informática se basan más en la detección y respuesta a incidentes, por lo que la seguridad se vuelve un ejercicio de colaboración. Pero, ¿por dónde empezar?

Muchos ejecutivos de seguridad utilizaron la Conferencia MASSTLC como punto de partida.

Chris Poulin, estratega de investigación para X-Force de IBM, señaló: "El problema es que los lleva a comprender su entorno. ¿Cuánto es demasiados datos descargados o cargados? SIEMS observa los umbrales para entender la política y el cumplimiento, pero también tiene que tener conocimiento del medio ambiente. Los usuarios no suelen subir/descargar archivos de determinados tamaños".

La comprensión de su entorno requiere la mano de obra que la mayoría de las empresas no tienen en este momento. Entonces, ¿cómo es que un equipo de seguridad obtiene una comprensión de su entorno cuando son inundados con alertas y pasan sus días apagando incendios?

"Hay dos conceptos. El inventario de activos y el descubrimiento de datos. Estos dos conceptos están estrechamente ligados. Necesitan saber qué sistemas tienen, qué aplicaciones, quiénes son los propietarios de esas aplicaciones, quiénes son los usuarios autorizados, y quién tiene qué derechos a las aplicaciones", anotó Poulin.

Antes de la aplicación de las políticas, necesitan saber sus controles de inventario y de acceso. "¿Qué datos se encuentra en ellos? ¿Dónde están los datos PCI frente a los datos de código fuente o datos financieros? Además, deben tener conocimiento de la situación", indicó Poulin.

El análisis de comportamiento de los usuarios, que sin embargo se ha utilizado hace mucho tiempo, se ha puesto de moda en los últimos años debido a la escala en que las máquinas son capaces de agregar y correlacionar los datos.

"Los equipos de seguridad necesitan conocer las actividades de su entorno. ¿Cuántos datos se transfieren desde el servidor de correo electrónico o el servidor que almacena los datos financieros o código fuente o lo que sea más importante para la empresa? ¿Qué usuarios los utilizan?", indicó Poulin.

Hasta que comprendan los patrones en sus actividades, no pueden crear reglas y hacer cumplir ese comportamiento.

Claro, en una pequeña empresa, podrían identificar los diferentes umbrales de todos sus usuarios, pero ¿cómo hacer eso en un ambiente con más de 50 mil empleados?

"Las computadoras observan todos estos ejes", añadió Poulin. La promesa del aprendizaje automático es que las máquinas puedan ingerir volúmenes que son imposibles para un ser humano, pero Poulin anotó: "Necesita ser entrenada. Siempre va a depender de un ser humano. Le da suficiente contexto, le dice qué contexto es, qué datos y el contexto en el que está ocurriendo".

Al igual que con cualquier tecnología, el aprendizaje automático es otra de las muchas capas en toda la infraestructura de seguridad. "Es una capa adicional en la parte superior de un SIEM que aumenta y ayuda a afinar el sistema", indicó Poulin.

Los CISOs luchan con la determinación de cuáles de esas capas son las más importantes, y dónde hay tantas capas que la tecnología se vuelve redundante o inarmónica.

"La perspectiva es todo. Mi filosofía personal es tomada de una expresión de carpintería, 'mida dos veces, corte una vez'. Usted necesita tener algo para medir la información", añadió Poulin.

Todo lo que tienen que hacer para eliminar la maleza es determinar dónde está el problema, en el perímetro, administración de roles de usuario o en el acceso a los datos. El problema para muchos de los que se sienten abrumados y con poco personal la pregunta es, ¿por dónde empezar?

Cuando Gant Redmon, vicepresidente del desarrollo de negocios y consejero general en Resiliente, una compañía de IBM, y Paul Sheedy, vicepresidente adjunto de operaciones de servicios de seguridad de redes empresariales en la Reserva Federal de Boston, le pidieron a su público lo que querían saber sobre "la construcción de su plan de respuesta a incidentes", el público respondió con un "¿Por dónde empezar?"

Cuando se trata de los planes de respuesta a incidentes, los CISOs o CPOs tienen muchas ganas de saber más que el reconocimiento general que debe tener uno.

"A menudo me preguntan, ¿qué aspecto tiene la tecnología de respuesta a incidentes, y cómo convierte a los libros que se ejecutan en un ejercicio de colaboración?", anotó Redmon.

En los primeros días de los planes de respuesta a incidentes, la mayoría de las personas utilizaban hojas de cálculo o mensajes de correo electrónico; pero debido a la cantidad de empresas, la recolección de datos ha crecido exponencialmente, hay cientos de cosas que un equipo de IR tiene que considerar cuando desarrolla un plan.

"La tecnología le permite tener una gran cantidad de diversos planes, ya que si algo sucede puede saber qué hacer", anotó Redmon. Más importante aún, tienen que ser capaces de documentar que entendieron la diferencia entre los incidentes y eventos, y que se están conectando todos los eventos.

La recopilación de toda la información en un solo lugar es más fácil y más eficiente, y Redmon señaló: "Tienen que tener un lugar donde las personas se comuniquen dentro del sistema."

La comunicación y el monitoreo son dos importantes estrategias que permitan una detección más rápida, y "la detección reinará", añadió Sheedy.

"Tiene que vigilar y detectar anomalías", y parte de la vigilancia y la detección demanda la recolección de inteligencia. Mediante la recopilación de inteligencia, los equipos de seguridad sabrán con mayor precisión cómo construir un plan eficaz de IR específicos de su negocio. La inteligencia comienza con el examen de las transacciones.

Cuando se monitorean sus transacciones, aprenden lo normal que es para su negocio. Cualquier cosa fuera de lo normal es una anomalía. "Comienza con la normalidad", añadió Sheedy. "¿Cuál es el tamaño medio de la transacción? ¿Cuál es la duración media de una transacción? ¿Su frecuencia?"

El establecimiento de una línea de base normal ayudará a detectar más rápidamente aquellos comportamientos que no son normales, pero la gente puede abrumarse rápidamente y volverse complaciente, razón por la que Redmon señaló: "Es importante hacer simulaciones todo el tiempo".

Los mejores ejercicios en ejecución también revelan las lagunas en el plan, que revela tanto lo que saben cómo lo que no saben. "Mantenga la calma. Nunca se apresure con las conclusiones", anotó Redmon.

Cuando se encuentran con algo que no sabe, es una excelente oportunidad para asignar una tarea. Mientras que alguien está investigando, todo el mundo sigue el plan sin ver delante de sí mismos.

Con el fin de hacer el mejor uso de los mejores ejercicios de mesa, lance algunas bombas en una simulación, entonces el equipo descubrirá lo que no saben. Esa conciencia de lo desconocido, inevitablemente, desenterrará las preguntas que exigen respuestas.

"¿Qué le está permitido hacer? Tenemos que hacer esas preguntas", anotó Sheedy. "¿Qué vamos a hacer? ¿Cómo lo sabe? ¿Qué tipo de sistema utilizan? ¿Podemos apagarlo por completo? ¿Aislarlo? ¿Alejarlo? ¿Deshabilitar ciertas transacciones? ¿A qué latitud tenemos que hacer esas llamadas?"

Para empezar, seleccione una aplicación y haga un seguimiento de sus transacciones. Desarrolle los patrones que son normales, entonces avance un paso a la vez. "Conozca sus aplicaciones principales, cree libros de ejecución, ejecute simulaciones, a continuación, construya su plan de IR", indicó Sheedy.

Como parte del plan, sea claro acerca de la asignación de tareas. "Es lo que llamo 'darle de comer al gato'. Se asigna una persona para que le de comer. De lo contrario, si todo el mundo alimenta el gato, el gato morirá", anotó Redmon.

Esté preparado para comunicarse, seleccione puntos de contacto, sepa cuándo se acoplan con la aplicación legal y/o la ley, y comparta la información sobre amenazas ya que una planificación adecuada evita los malos resultados. Sepa que el trabajo nunca se hace realmente, continúe practicando y dele vida a las políticas, ya que inevitablemente tendrán que cambiar.

Kacy Zurkus, CSO (EE.UU.)