TIPS TECNOLÓGICOS, DE CONFIGURACIÓN Y NEGOCIO QUE COMPLEMENTAN TU SEGURIDAD

ORQUESTACIÓN DE SEGURIDAD: EL FUTURO DE UN PROGRAMA DE RESPUESTA A INCIDENTES

Escrito por Miguel Torres on 15/06/17 12:25

Orchestration2.jpgLas tecnologías emergentes de orquestación pueden reducir trabajos intensivos para los equipos de ciberseguridad y crear una nueva perspectiva en cuanto a respuesta a incidentes.

Los típicos grandes corporativos poseen docenas de tecnologías de ciberseguridad e insuficientes analistas de seguridad para manualmente detectar y mitigar una infiltración o ataque inminente. Esto puede convertirse en buscar una aguja en un pajar y llevarle a un equipo de seguridad de dos a cuatro horas para resolverlo, según un estudio reciente de Splunk. Para ese momento un atacante podria haber llegado tan profundo que el daño puede ser irreparable.

Adicional a lo anteriormente planteado está la falta de especialistas en ciberseguridad: un nuevo informe de (ISC)2 proyecta 1.8 millones de vacantes a nivel mundial en 2022, con un incremento del 20% desde 2015.

Hablando en específico  de orquestación de seguridad, es una tecnología que integra múltiples herramientas y sistemas de seguridad las cuales agilizan y mejoran la información obtenida en la operación diaria. La orquestación a menudo  se confunde o se agrupa con la automatización de seguridad que normalmente se utiliza para una sola tarea o proceso según Enterprise Strategy Group (ESG).

Debido a que la orquestación en seguridad sigue siendo una tecnología relativamente nueva en el mercado, no existen aún muchos datos sobre el tema. Jon Oltsik analista principal de ESG estima que el valor del mercado ronda entre los 100 y 150 millones de dólares. De acuerdo a un estudio de esta organización alrededor del 90% de las empresas planean o han implementado tecnologías de automatización y orquestación. Más de la tercera parte de los encuestados consideran prioridad la orquestación en lugar de la automatización.

Pensemos en la orquestación de seguridad como "una capa de tejido conectivo" que enlaza las herramientas de seguridad, comenta el veterano Oliver Friedrichs fundador y CEO de Phantom un startup de orquestación.

"Si posees un firewall de Palo Alto Networks y EDR (endpoint detection and response) de Carbon Black e inteligencia de amenazas de FarSight, la orquestación permite a todas estas tecnologías trabajar en conjunto desde la detección con FarSight y Palo Alto hasta la remediación con Carbon Black, esto hoy en día se hace manualmente" comentó Friedrichs.

Al emplear el termino "manual" nos referimos  nos referimos a que los analistas de ciberseguridad trabajan en las consolas de administración y monitoreo de cada solución. A un SOC (Security Operations Center) puede tomarle tiempo valioso de respuesta detectar el incidente y puede ser demasiado tarde para detener un evento de exfiltración de datos.

El uso más popular de la orquestación de seguridad es unicamente para tareas monótonas y simples como la investigación de ataques de phishing, así como la automatización de un proceso de remediación de bajo nivel, por ejemplo, el bloqueo de IP's maliciosas para comando y control.

Varias empresas startup y adquisiciones han llegado al mercado de orquestación en el último par de años. Phantom, Demisto, DFLabs, Komand, Swinlane y Resilient de IBM son algunos de los jugadores en el plano así como FireEye que recien adquirió Invotas el año pasado para competir. El nuevo miembro del grupo es Microsoft el cual anunció la semana pasada sus planes para comprar Hexadite.

"La orquestación es una manera de conjuntar las tecnologías existentes y de nueva generación para que no sean simplemente mejoras aisladas" comenta Ted Julian VP de producto en Resilient de IBM. Todo lo demás es incremental, esta es el área mas transformados en el ámbito de seguridad que he visto en los últimos 12 años" dijo.

Oltsik de ESG comentó que orquestación y automatización son temas "candentes" en seguridad con más startups siendo fondeadas y las empresas empiezan cada vez más a voltear al tema.

"La razón es que los CISO se han dado cuenta que poseen recursos limitados y de una u otra manera debe encontrar una solución" Si saben lo que estan haciendo y necesitan ayuda encontrarán una opción en inteligencia - machine learning, automatización, orquestación o tercerizando. La orquestación y automatización son tan atractivas porque los equipos de seguridad no les gusta renunciar al control y da sentido que sea lo primero a implementar" mencionó Oltsik.

 ¿CÓMO FUNCIONA? 

Tradicionalmente  los analistas de seguridad extraen manualmente copiando y pegando inteligencia e información de sus múltiples soluciones de seguridad para analizarla. La orquestación extrae esa información para ellos, lo  que permite a los expertos de seguridad agilizar y automatizar algunas de las tareas de la operación diaria y tener más tiempo para los incidentes más graves y complicados, dicen los expertos.

Jerry Dixon, CISO en la firma de seguridad CrowdStrike y ex funcionario de US-CERT, dice que esta tecnología le permite configurar un proceso más automatizado e integrado para manejar incidentes. "Rápidamente trae datos al analista para determinar y si hay algo de que preocuparse o no", dice.

"Los scripts personalizados de Python son tarea habitual para simplificar o automatizar las cosas en un SOC" dice. "El problema con eso es cuando alguien cambia a otra compañía, te atascas tratando de hacer que todo funcione de la misma manera". Lo bueno de las herramientas de orquestación  es que permiten aprovechar esa experiencia y crear plantillas", dice Dixon.

La escasez y la retención del personal de seguridad son uno de los grandes impulsores detrás de la orquestación. Sandro Bucchianeri, un veterano CISO de una firma global de servicios financieros, dice que está buscando usar orquestación, automatización y machine learning para darle a su equipo de seguridad, (con recursos limitados) algo de espacio para respirar.

La empresa ve millones de alertas. "Conseguir que estos chicos se enfoquen en las alertas es una enorme pérdida de tiempo porque tienen que hacerlo manualmente y descartar lo irrelevante", lo que a veces deja algunas alertas importantes desatendidas.

Encontrar y retener a las personas de seguridad es uno de sus mayores desafíos, dice. "El mayor problema es retener ese talento después de encontrarlos y entrenarlos" dice. "La próxima compañía viene y ofrece de $ 10.000 a $ 20.000 dólares más, y todo ese conocimiento de formación y experiencia se va con ellos", comentó.

Bucchianeri dice que estas cuestiones han llevado a su firma, cuyo nombre no pidió ser publicado, para empezar a contemplar la orquestación como medida de respuesta a incidentes de phishing, reduciendo los falsos positivos y automatizando los reportes. "El phishing es la única gran cosa que enfrentamos, incluyendo ataques dirigidos a nuestros altos ejecutivos", mencionó.

En el lado de los negocios, la orquestación de seguridad proporciona datos tangibles sobre el tiempo y los ahorros de costos actuales que luego se pueden usar para justificar el presupuesto de seguridad requerido para la adquisición, dicen Bucchianeri y otros expertos en seguridad.

"Sabemos lo que nos cuesta un analista", dice. Si la orquestación de seguridad puede ahorrar horas de trabajo al día, esa es una información cuantificable que se puede traducir y presentar en la alta dirección, señala.

Julian de IBM hace eco de eso. "Tener una conversación basada en términos de negocio te pone en una mejor posición para abogar por lo que quieres hacer".

¿CÓMO ORQUESTAR? 

Antes de instalar el software o los servicios de orquestación, asegúrese de que el proceso que está orquestando esté bien comprendido, señala Julian, de IBM Resilient. "Creemos que todo el mundo debería comenzar con la orquestación, sólo para validar un proceso", "Una vez validado la organización obtiene un proceso consistente y repetible".

El peligro de desplegar orquestación sin la planificación y preparación adecuada es que tendería a simplemente automatizar procesos sin tanta importancia en lugar de nanalizar y optimizar uno crítico" "No tiene sentido orquestar un mal proceso, es una de las cosas que sostienen o frena a la gente", advirtió Oltsik.

Al igual que muchas operaciones de seguridad, las personas y el proceso también deben ser considerados y sincronizados. Gary Ruiz, gerente senior de seguridad cibernética de Rackspace, comenta que es importante comunicarse y trabajar en estrecha colaboración con los analistas de seguridad al establecer operaciones de orquestación.

"Todo el mundo está acostumbrado a hacerlo manualmente", por lo que capacitar a los equipos de seguridad y asegurarles que esto ayudará y no necesariamente los reemplazará puede ser un desafío, dice Ruiz, cuya compañía está probando un sistema de orquestación.

¿DESEAS CONOCER COMO PROTEGER TU INFRAESTRUCTURA CRÍTICA?

EVENTO Y CONCURSO DE HACK EN VIVO: CAPTURE THE FLAG

DA CLICK EN LA IMAGEN Y REGÍSTRATE

Capture The Flag a nivel global

Si tienes algún comentario o requerimiento adicional puedes contactarme en mi dirección de correo electrónico: mtorres@smartekh.com  

*Kelly Jackson/DarkReading/2017

Topics: cibercrimen, Daño por Ransomware, Seguridad, Seguridad Informática, Ciberseguridad, panorama de amenazas, mejores practicas seguridad informatica, controles de seguridad informática, mitigacion de riesgos, amenazas dia cero, zero day threats, dia cero, programa respuesta a incidentes, orquestacion seguridad, orquestacion ciberseguridad, automatizacion tecnologias de seguridad, automatizacion ciberseguridad


Deja un comentario

No te pierdas lo mejor en Seguridad ¡Suscríbete al blog!

Lists by Topic

see all

Lo que se dice en Smartekh

ver lo mejor en Seguridad
EBOOK-Guia-de-senales-de-prevencion-para-evitar-ataques-por-ransomware-con-tu-solucion-de-ciberseguridad.jpg
Tienes-problemas-de-soporte-levanta-tu-caso-aqui.jpg
AsistenciaInmediataLevantarTicketDeSOPORTE.png
Fortalece-a-tu-equipo-con-el-Diplomado.jpg
Agenda-aqui-tu-asesoria-con-un-consultor-experto.jpg

Aprende a minimizar la superficie de ataque por Ransomware WannaCry