miércoles, 3 de julio de 2019

LOS CAZADORES DE AMENAZAS

Estándar
Ia casa en linea
02 de julio de 2019

Las organizaciones se están moviendo más allá de la detección de amenazas para buscar activamente intrusos en la red.

Están a la caza, en empresas de todo el mundo. Combinando herramientas tecnológicas con habilidades detectivescas, están buscando adversarios ocultos en sus redes. Y sus números están creciendo.
Más de cuatro de cada diez organizaciones que respondieron a la encuesta de búsqueda de amenazas SANS 2018 (PDF) dicen que realizan búsquedas continuas de amenazas, un aumento del 35% en el estudio de 2017 de la firma de capacitación en seguridad de la información SANS Institute. Más de un tercio comienza tales cazas para buscar problemas subyacentes en respuesta a un evento de seguridad.
Su objetivo es erradicar a los intrusos, que pueden permanecer en una red durante un promedio de más de 90 días antes de que sean detectados. “La mayoría de las organizaciones que cazan tienden a ser empresas más grandes o que han sido muy atacadas en el pasado”, según los coautores Robert M. Lee, instructor de SANS, y Rob Lee, director de currículo del instituto. SANS encuestó a 600 organizaciones para el informe.
La búsqueda de amenazas va más allá de la detección de intrusiones en la que confían la mayoría de las organizaciones para descubrir las brechas de seguridad. El informe SANS lo define como un enfoque iterativo para buscar e identificar adversarios en la red de una organización. Se trata de combinar la inteligencia de amenazas y la generación de hipótesis para concentrarse en las ubicaciones más probables a las que los intrusos apuntarán.
La caza de amenazas puede ser efectiva, señala el informe. Por ejemplo, el 21% encontró de cuatro a diez amenazas durante la caza de amenazas. Casi el 17% encontró hasta 50 amenazas de este tipo.

La inteligencia es clave

Una de las razones de la efectividad de la caza de amenazas es que los cazadores están aprovechando la inteligencia de amenazas, según el informe. La mayoría de los encuestados (58%) dicen que dependen de la inteligencia generada internamente en base a incidentes anteriores. Además, el 70% aprovecha la inteligencia de fuentes de terceros, como las firmas antivirus.
“Nada es más valioso que la inteligencia autogenerada correctamente para alimentar las operaciones de caza”, dicen los autores. Sin embargo, las organizaciones sin tales capacidades pueden necesitar recurrir a terceros. De hecho, recomiendan combinar las dos formas de inteligencia como una manera de reducir los tiempos de permanencia del adversario.

Personas y Tecnología

Aún así, los encuestados dependen más de las alertas de las herramientas de monitoreo de red para su inteligencia de amenazas, que los autores señalan que no es realmente una búsqueda de amenazas, un error común. Esta dependencia de los sensores puede indicar que las organizaciones aún ven la caza de amenazas como una solución tecnológica. Los resultados de la encuesta lo confirman, con más del 40% priorizando las inversiones en tecnología para la caza de amenazas frente al 30% para el personal calificado.
El énfasis en la tecnología está fuera de lugar, dicen los autores. Sí, los cazadores de amenazas dependen de la automatización para hacer las cosas más rápido, con mayor precisión y en mayor escala. “Sin embargo, según su definición, la caza es más adecuada para encontrar las amenazas que superan lo que la automatización solo puede descubrir”, subrayan. En su lugar, la tecnología y la gente deben estar entrelazadas.
Los autores recomiendan que las organizaciones prioricen el reclutamiento y la capacitación de personal calificado para la caza de amenazas. En particular, dicen que es más probable que dichos profesionales detecten amenazas y creen herramientas que necesitarán para ser eficaces.
Los encuestados dicen que las habilidades básicas para los cazadores de amenazas son la red, el punto final, la inteligencia de amenazas y el análisis. Las capacidades más avanzadas incluyen análisis forense digital y respuesta a incidentes.

Herramientas de caza

Los cazadores necesitan armas, y aquí es donde entran en uso las herramientas tecnológicas. Nueve de cada 10 encuestados dicen que sus cazadores de amenazas utilizan las herramientas de infraestructura de TI existentes de la organización, mientras que el 62% ha desarrollado herramientas personalizadas.
Sin embargo, los autores se preguntan si estas herramientas brindan la vista de la red necesaria para una búsqueda exitosa, señalando que a menudo se basan en la detección. Tales herramientas pueden no encontrar a todos los intrusos que han roto la red, dicen.
Independientemente de sus herramientas, el informe señala que la búsqueda de amenazas puede requerir muchos recursos y requiere un énfasis en el análisis y el desarrollo de hipótesis sobre adversarios. Si bien los porcentajes cada vez mayores de los encuestados basan la caza en el monitoreo continuo o la respuesta a incidentes, puede ser más efectivo realizar la caza programada. “Incluso unas pocas búsquedas por año, cuando se hacen correctamente, pueden ser altamente efectivas para la organización”, dicen los autores.
El Auditor Interno se complace en brindarle la oportunidad de compartir sus opiniones sobre los artículos publicados en este sitio. Algunos comentarios pueden ser reimpresos en otros lugares, en línea o fuera de línea. Alentamos la discusión abierta y enérgica y solo le pedimos que se abstenga de hacer comentarios y observaciones personales que estén fuera de tema. El auditor interno se reserva el derecho de eliminar comentarios.
SOBRE EL AUTOR
Tim McCollum es editor asociado asociado de la revista Internal Auditor .

No hay comentarios.:

Publicar un comentario