Descubrimiento de amenazas cibernéticas críticas a través de la … · 2020. 3. 29. · deben...

Descubrimiento de amenazas cibernéticas críticas a través de la Inteligencia en seguridadModelo de referencia para profesionales de seguridad de TI

Por:Christopher PetersenDirector general de tecnología (CTO) y cofundador de LogRhythm

Con prólogo de:Robert LentzEx director general de seguridad de la información (CISO) del Departamento de Defensa de los EE. UU.

Descubrimiento de amenazas cibernéticas críticas a través de la Inteligencia en seguridad

1 LogRhythm

En mis diez años de trabajo como director general de seguridad de la

información (CisO) para la empresa de información más grande del mundo,

el departamento de defensa de los ee. UU., percibimos, luego de varios incidentes

cibernéticos, que faltaba en gran medida compromiso por parte del liderazgo

y que las organizaciones víctimas no poseían las herramientas, los procesos, el

personal ni la mentalidad necesarios para detectar y responder ante intrusos de

avanzada. Por ello, desarrollamos el Cyber security maturity model (modelo de

madurez en seguridad cibernética) para crear un compromiso estratégico a largo

plazo y la capacidad de medir el rendimiento

táctico, institucionalizando, a la vez, una

cultura de gestión de riesgos.

Los eventos cibernéticos exitosos

y significativos de 2014 pueden bien ser

el punto de inflexión cibernético, donde

las empresas y los gobiernos finalmente

reconozcan en conjunto la fragilidad de

sus empresas, la seria amenaza contra

la seguridad económica y nacional, y la

necesidad de una supervisión a nivel

ejecutivo. el security intelligence

maturity model de LogRhythm ofrece un atractivo marco para ayudar

a las organizaciones a avanzar en su recorrido para combatir los ataques

cibernéticos de avanzada, mientras se recupera, a su vez, la confianza en

internet.

Robert LentzEx director general de seguridad de la información (CISO) del Departamento de Defensa de los EE. UU.

'Utilizar la inteligencia de su propia red es absolutamente esencial para detectar las sofisticadas amenazas de hoy en día. Desafortunadamente, demasiadas organizaciones la están desconsiderando".

Coronel John Burger, EE. UU.

(jubilado) Director, USCENTCOM Joint Cyber

Center (2012-2014)


2 LogRhythm

Introducción

es casi curioso y algo más que naif recordar los tiempos en los que en una empresa se creía que instalando algunos firewalls y algún software antivirus se podría confiar en que la organización estaría bien resguardada de las amenazas cibernéticas. esos tiempos no son tan lejanos, pero mucho ha cambiado en pocos años.

Los entornos de Ti se han vuelto mucho más vulnerables a medida que la movilidad corporativa, los servicios en la nube y el modelo de "usar el dispositivo propio" han ido irrumpiendo en el perímetro defendible y agregado complejidad a la seguridad de las empresas. A la vez, la naturaleza de las amenazas cibernéticas ha cambiado de forma significativa. Los autores de amenazas están bien organizados y bien provistos de fondos, y se sabe que muchos de ellos cuentan con el apoyo de estados nacionales. Poseen habilidades técnicas sofisticadas que les permiten crear programas maliciosos personalizados para objetivos muy específicos y son incansables en la búsqueda de sus objetivos. Además, cualquiera que tenga una intención maliciosa puede adquirir un programa malicioso y alquilar botnets en la Web invisible, abriéndoles paso a las entidades criminales, las naciones y los terroristas para que usen la cibernética como arma de preferencia para su fin deseado.

La realidad actual es que para la mayoría

de las organizaciones, si un adversario

con una motivación dada desea ingresar

en su red, así lo hará.

muchas organizaciones continúan centrando su atención en la identificación y el bloqueo de las amenazas en el perímetro, o al menos lo que queda de este. Por desgracia, las estrategias centradas en la prevención no están teniendo éxito y han sucumbido en algunos de los mayores ataques que llegaron a las noticias. A los atacantes se los conoce por realizar un reconocimiento para encontrar una debilidad en la coraza. intentar evitar un ataque sigue siendo importante, pero las organizaciones deben reconocer que los ataques que son furtivos

por naturaleza pueden ajustarse para superar las medidas preventivas. Los ciberataques ahora se producen a escala industrial. en la encuesta 2015 sobre el estado Global de la seguridad de la información, se muestra que la tasa anual compuesta de crecimiento (CAGR) de incidentes de seguridad detectados ha aumentado en un 66 por ciento año tras año desde 2009 (ver Figura 1). Los participantes de la encuesta reconocen haber detectado una cantidad total de 42,8 millones de incidentes de seguridad en 2014 (un aumento del 48 por ciento respecto de los incidentes detectados en 2013). esto equivale a 117 339 ataques entrantes por día, todos los días, y forma parte solamente de lo que se ha detectado e informado.1 Una compañía de seguridad cibernética recientemente estimó que el 71 por ciento de los ataques no son detectados.2

Figura 1: La cantidad de incidentes detectados continúa aumentando año tras año

3.4MILLONES

2009

9.4MILLONES

2010

22.7MILLONES

2011

24.9MILLONES

2012

28.9MILLONES

2013

42.8MILLONES

2014

CANTIDAD TOTAL DE INCIDENTES DETECTADOS

LOS INCIDENTES DE SEGURIDAD AUMENTAN A UNA TASA COMPUESTADE CRECIMIENTO DEL 66 %

Fuente: PwC, encuesta 2015 sobre el estado Global de la seguridad de la información

en una franja de tiempo relativamente corta, la seguridad cibernética se ha convertido en una de las mayores preocupaciones para agencias gubernamentales, sectores militares, compañías de todas las industrias, instituciones financieras,

1 PwC, Encuesta 2015 sobre el Estado Global de la Seguridad de la Información, www.pwc.com/gsiss2015 2 Trustwave Holdings, 2014 Informe de seguridad global de Trustwave, mayo de 2014


3 LogRhythm

organismos de aplicación de la ley y muchos reguladores. el Foro económico mundial afirma que el robo de información y la interrupción intencional de los procesos digitales o en línea se encuentran entre los riesgos corporativos principales que enfrentan las organizaciones hoy en día. Las investigaciones de BAe systems corroboran esa idea: más de la mitad de las compañías estadounidenses ahora consideran los ciberataques como uno de sus mayores tres riesgos corporativos.3

La realidad actual es que para la mayoría de las organizaciones, si un adversario con una motivación dada desea ingresar en su red, así lo hará. Concretamente, las organizaciones deben adoptar la idea de que "si no sufrimos un ataque ahora mismo, podría sucedernos en cualquier momento". deben trabajar presuponiendo que la red no es confiable y que esta ya ha sufrido un ataque o pronto lo hará.

se está generando un cambio fundamental en términos del enfoque general que las empresas adoptan actualmente hacia la seguridad cibernética para sus organizaciones. en vistas de que el entorno informático ya podría haber sufrido un ataque, los CisO están implementando un cambio en los procesos y las prioridades en pos de detectar cuándo se producen esos ataques y responder ante ellos lo antes posible. saben que no pueden invertir todos sus recursos para intentar construir y mantener un fuerte de aparente impenetrabilidad que ahora se reconoce como algo imposible de obtener.

Las firmas de analistas recomiendan encarecidamente que se reequilibre el presupuesto destinado a la seguridad cibernética y que las empresas reinviertan fondos de prevención pura en la detección y la repuesta. neil macdonald, vicepresidente, analista destacado y miembro emérito de Gartner inc., escribió: "en 2020 los sistemas corporativos se encontrarán continuamente

expuestos a ataques. no podrán evitar que los ataques dirigidos de avanzada se apoderen de sus sistemas. desafortunadamente, la mayor parte del gasto en seguridad de la información corporativa se ha enfocado en la prevención, en un errado intento por evitar todos los ataques". Añade: "Creemos que la mayor parte del gasto en seguridad de la información pasará a respaldar las capacidades de respuesta y detección rápidas, que consecuentemente se vinculan con los sistemas de protección para bloquear un mayor alcance del ataque". el informe de macdonald incluye una recomendación clave: "inviertan en sus capacidades de respuesta ante incidentes. definan y armen un proceso para comprender rápidamente el alcance y el impacto de una violación detectada''.4

En 2020 los sistemas corporativos

estarán continuamente expuestos

a ataques. No podrán evitar que los

ataques dirigidos de avanzada se

apoderen de sus sistemas.

esto no implica que la prevención contra las amenazas sea en sí obsoleta. Por el contrario, las organizaciones deben continuar reforzando la solidez de la red para proteger la infraestructura de Ti y sus activos, pero también deben admitir que esos muros eventualmente serán escalados por el equivalente cibernético de un maleante. mientras más rápido el intruso pueda ser detectado y se pueda iniciar una respuesta, menos probable será el éxito de la misión del ataque. Por sobre todo, las organizaciones no querrán que el atacante realmente llegue a los datos y los exfiltre antes de saber siquiera de su presencia allí.

3 BAe systems, Business and the Cyber Threat: The Rise of Digital Criminality, febrero de 20144 neil macdonald, Gartner, inc., Prevention is Futile in 2020: Protect Information Via Pervasive Monitoring and Collective Intelligence, 30 de

mayo de 2013


4 LogRhythm

El momento de mayor riesgo: el periodo entre el ataque y la mitigación

en la mayoría de las organizaciones de hoy en día, la detección de las amenazas se basa en varios sensores de seguridad que intentan buscar comportamientos anómalos o firmas de actividad maliciosa conocidas. estos sensores incluyen firewalls, sistemas de prevención y detección de intrusos (ids/iPs), puertas de enlace de aplicaciones, antivirus y antimalware, protección de terminales y otros. Funcionan en todas las capas de la estructura de datos de Ti y proporcionan visibilidad de estas.

estos sensores de seguridad proporcionan un flujo continuo de eventos relacionados con amenazas. en las organizaciones corporativas, dicho flujo se puede describir mejor como una manguera contra incendios que ofrece eventos a una tasa de miles o decenas de miles por hora. este intenso flujo de datos de amenazas efectivamente cega al equipo de seguridad en una niebla de ruido. el equipo tiene tanto con que lidiar que no puede identificar en forma oportuna las amenazas que realmente importan, y mucho menos responder a ellas.

dos métricas clave para medir la efectividad de las capacidades de seguridad de una organización son su mean-Time-to-detect™ (mTTd™) y mean-Time-to-Respond™ (mTTR™). el mTTd es la cantidad de tiempo promedio que necesita una organización para identificar aquellas amenazas que podrían impactar potencialmente en la organización: las que presentan un riesgo real y requieren más análisis y esfuerzos de respuesta. el mTTR es la cantidad de tiempo promedio que necesita una organización para analizar por completo la amenaza y mitigar el riesgo presente.

desafortunadamente, muchas organizaciones operan de un modo en el que el mTTd y el mTTR se miden en semanas o meses. Las empresas cuyas redes han sido atacadas se encuentran en mayor riesgo durante este periodo. si buscan disminuir su riesgo de seguridad cibernética, deben trasladar estas métricas, como mínimo, a horas y días, e idealmente, a horas y minutos.

Figura 2: el impacto de una violación se relaciona en forma directa con el mTTd y el mTTR

RIESGO DE VIOLACIÓN

MTT

DTM

*/M

TTRT

M*

DEVASTADOR EVITADO

2015

AÑOS

MES

ESSE

MAN

ASDÍ

ASM

INUT

OSHO

RAS

El tiempo promedio que se tarda en reconocer una amenaza que requiere más análisis y esfuerzos de respuesta

El tiempo promedio que se tarda en responder y, en última instancia, resolver el incidente

*MEAN-TIME-TO-DETECT (MTTD)

*MEAN-TIME-TO-RESPOND (MTTR)

Mientras más tiempo se emplee en detectar y responder a una amenaza, mayor será el riesgo de violación.


5 LogRhythm

Los resultados de la investigación de Trustwave ejemplifican el problema. La compañía analizó la evidencia obtenida de 691 investigaciones de violaciones de datos repartidas en industrias y en el mundo. Trustwave descubrió que el 71 por ciento de las víctimas de ataques no detectaban la violación por sí mismas. Con frecuencia, las primeras en sospechar que una compañía ha sufrido un incidente

de seguridad son las instituciones financieras, las agencias de cumplimiento de la ley y otros terceros. en las violaciones de este estudio en particular, el mTTd fue de 87 días, casi tres meses completos, y el mTTR, de una semana. según Trustwave, la autodetección de una amenaza puede acortar la línea de tiempo desde la detección hasta la contención de 14 días a uno.5

El mandato de inteligencia en seguridad

La forma ofrecer visibilidad de las amenazas más importantes mientras se elimina la niebla de ruido es a través de la inteligencia en seguridad (si). Así como la inteligencia de negocios ha ayudado a muchas organizaciones a comprender tantos puntos de datos de negocios de apariencia superflua para descubrir oportunidades de negocios previamente desconocidas, la inteligencia en seguridad hace prácticamente lo mismo con la información sobre las amenazas, lo que les permite a las compañías ver con claridad las amenazas que son relevantes. el principal objetivo de la inteligencia en seguridad consiste en brindar la información correcta, en el momento correcto, con el contexto apropiado, para disminuir significativamente la cantidad de tiempo que lleva detectar las amenazas cibernéticas perjudiciales y responder ante ellas. en otras palabras, para mejorar sustancialmente el mTTd y el mTTR de una organización.

El principal objetivo de la Inteligencia en seguridad consiste en brindar la información correcta, en el momento correcto, con el contexto apropiado, para disminuir significativamente la cantidad de tiempo que lleva detectar las amenazas cibernéticas perjudiciales y responder ante ellas.

no existe una definición estándar de inteligencia en seguridad. implica cosas diferentes para diferentes compañías. esta definición compuesta nos ayuda a tener una comprensión común.

La Inteligencia en seguridad consiste en la capacidad de captar, correlacionar, visualizar y analizar los datos forenses para desarrollar una perspectiva de acción a fin de detectar y mitigar las amenazas que presentan un verdadero daño a la organización y generar una defensa más proactiva para el futuro. Los usuarios de Inteligencia en seguridad acortarán el MTTD y el MTTR, ampliarán el valor de las herramientas de seguridad actuales y descubrirán amenazas previamente invisibles a través de un análisis avanzado de las máquinas.

Cuando se identifiquen las amenazas, ya sea por medio del vasto conjunto de sensores de una empresa o a través del análisis de las máquinas, la función de la inteligencia en seguridad consistirá en proporcionar una perspectiva de acción sobre las amenazas de daño potencial, con datos forenses de respaldo y una inteligencia contextualmente sólida. Los equipos de seguridad deben poder evaluar rápidamente las amenazas para determinar el nivel de riesgo, además de si se ha producido algún incidente. si se aseguran de que los analistas cuenten con la mayor cantidad de información posible para tomar buenas decisiones, podrán ser mucho más eficientes y contarán con mejores procesos de toma de decisiones.

Analicemos más profundamente los subprocesos clave que respaldan todo el proceso de detección y respuesta ante amenazas. Una plataforma efectiva de inteligencia en seguridad idealmente permite un flujo de trabajo simplificado en cada uno de los procesos y proporciona automatización en los casos posibles. si una organización puede optimizar su eficiencia al realizar estos pasos críticos en el ciclo de detección y respuesta, podrá reducir su mTTd y su mTTR, y, por sobre todo, reducir su exposición al riesgo.

5 Trustwave Holdings, 2014 Informe de seguridad global de Trustwave, mayo de 2014


6 LogRhythm

End-to-End Threat Detection and Response Lifecycle™

Las organizaciones que se esfuerzan por reducir su mTTd y su mTTR deben optimizar el ciclo de vida completo de detección y respuesta ante amenazas. en cada etapa del proceso, y entre ellas, puede haber ineficacias que disminuyan significativamente la efectividad general de una organización. sin embargo, las organizaciones que puedan optimizar la efectividad de sus procesos de operaciones de seguridad en cada una de las etapas podrán obtener notables mejoras en el mTTd y el mTTR.

La detección de amenazas generalmente comienza en el momento en que se obtiene evidencia de una amenaza en los datos forenses. si bien es cierto que las amenazas se pueden identificar antes de que se vuelvan activas, pocas organizaciones cuentan con las capacidades de análisis e inteligencia proactiva contra amenazas para detectarlas antes de que comiencen a interactuar con el entorno objetivo.

Cuando una amenaza interactúa con el entorno objetivo, la evidencia será dejada de lado. esta evidencia existirá en los datos forenses que se recopilan o generan en todo el entorno. La amenaza también puede ser detectada por otros sensores de seguridad. no obstante, para la mayoría de las organizaciones, la evidencia de estas amenazas se

pierde en el ruido. separar la señal del ruido es el primer paso en el proceso completo de detección y respuesta ante amenazas.

el ciclo de respuesta comienza en el momento en que una amenaza califica como una que podría presentar un riesgo y que requiere una mayor investigación. el ciclo finaliza una vez que se ha realizado una investigación completa, y si la amenaza ha resultado en un incidente, si se ha mitigado cualquier riesgo para la organización. Las organizaciones deben reducir este ciclo de respuesta de meses a minutos si desean evitar una violación perjudicial. La inteligencia en seguridad es el "habilitador" más importante para reducir este ciclo de respuesta, a través de lo siguiente:

•Visibilidad centralizada de espectro completo acerca de la amenaza y el incidente asociado, provista mediante potentes herramientas de análisis

•Capacidades de colaboración y flujos de trabajo integradas que aceleren el proceso de análisis y respuesta

•Automatización en el proceso de respuestas a incidentes y la implementación de contrataques

Veamos cada uno de los pasos de este proceso y lo que ellos implican.

Figura 3: el ciclo de vida completo de detección y respuestas ante amenazas

TIEMPO DE DETECCIÓN TIEMPO DE RESPUESTA

PLATAFORMA UNIFICADA DE INTELIGENCIA EN SEGURIDAD

RECUPERAR

Erradicar por completo, limpiar, informar, revisar

y adaptar.

MITIGAR

Implementar contramedidas y controles que

mitiguen el riesgo presentado por la

amenaza.

INVESTIGAR

Analizar por completo la

amenaza y el riesgo asociado; determinar si se ha producido el

incidente o si está por producirse.

DATOS FORENSES

Datos de logs y máquinas capturados

Datos del sensor forense

generados

Datos de evento

CALIFICAR

Evaluar la amenaza y determinar si es posible que genere

un riesgo y si se requiere una investigación

profunda.

DESCUBRIR

Análisis del usuario

Análisis de máquinas


7 LogRhythm

DescubrirComo primer paso en la detección, el descubrimiento es el proceso de identificación de aquellas amenazas que podrían representar un riesgo. Por ejemplo, ver tráfico web proveniente de un país con el que la organización normalmente no realiza negocios. el tráfico podría ser una comunicación de un nuevo cliente internacional o tráfico de ataque de un "hacker" de otro país. en esta etapa, se desconoce si representa o no una amenaza.

el proceso de descubrimiento requiere extraer esas amenazas que requieren un mayor análisis de la masa de datos forenses. existen dos tipos principales de análisis realizados para respaldar el descubrimiento de amenazas: el análisis del usuario y el análisis de máquinas.

el análisis del usuario se basa en personas. es decir, es el trabajo de personas que supervisan los paneles de control; evalúan tendencias, patrones y comportamientos en forma manual; y buscan en forma activa amenazas dentro del entorno. esta forma de análisis escala según la cantidad de personal de seguridad capacitado que pueda emplear una organización.

Como lo sugiere su nombre, el análisis de máquinas se basa en máquinas. esta forma de análisis se realiza a través de un software donde se supervisan y analizan en forma continua datos de eventos y forenses capturados. La función principal del análisis de máquinas es doble: primero, detectar las amenazas que solo pueden verse a través de técnicas sofisticadas de análisis; y segundo, priorizar las amenazas detectadas por otras tecnologías.

CalificarComo parte aún del proceso de detección, la calificación es un paso crítico e implica un mayor análisis de la amenaza para determinar si podría representar un riesgo. Cuando la calificación se realiza correctamente, las amenazas que representan un riesgo son rápidamente identificadas como aquellas que requieren más análisis o esfuerzos de respuesta. Cuando la calificación se realiza de manera poco satisfactoria, las amenazas reales se pierden o los equipos pasan la mayor parte del tiempo buscando falsos positivos.

el resultado del paso de calificación consiste en determinar si la amenaza descubierta es un falso positivo, si no representa un riesgo y puede ser ignorada, o si probablemente representa un riesgo y debe ser investigada en mayor profundidad.

Investigarsi el resultado del proceso de calificación determina que una amenaza representa probablemente un riesgo, el equipo de seguridad pasa al proceso de respuesta. Comienza con una investigación profunda para comprender el riesgo presentado por la amenaza y con la determinación de si existe un incidente. dicho de otra manera, si algo malo ha sucedido o si está por suceder. el resultado del paso de investigación consiste en determinar en forma concluyente si la amenaza representa un riesgo, si se ha producido un incidente y, de ser así, iniciar los esfuerzos de mitigación.

MitigarPara este momento, se ha determinado que existe una amenaza de riesgo real para la organización y que debe hacerse algo para reducir o eliminar dicho riesgo. el paso de mitigación depende en gran medida de tener el suficiente conocimiento sobre la causa raíz y el impacto de la amenaza, además del conocimiento y las habilidades para hacer algo al respecto. es un paso urgente en el que los profesionales de seguridad se beneficiarán ampliamente si tienen una vista centralizada e integrada de todas las actividades relacionadas con amenazas, además de capacidades de colaboración interorganizacionales y simplificadas, bases de conocimiento y respuestas automatizadas.

Recuperareste último paso podría considerarse como la "limpieza del desastre". La recuperación implica realizar esfuerzos posmitigación, como la erradicación completa de la amenaza del entorno, la limpieza de todo daño realizado, las notificaciones necesarias de los incidentes e infracciones, y el análisis de la causa raíz para aprender del incidente y evitar que vuelva a suceder.

Cómo se calculan el MTTD y el MTTRsi se analizan los cinco pasos del proceso (descubrir, Calificar, investigar, mitigar y Recuperar), es fácil calcular las métricas críticas del mTTd y el mTTR.

el mTTd se calcula como el tiempo desde que se evidenció por primera vez la amenaza (recopilación) en el entorno hasta que se la descubrió, más el tiempo entre que se descubre la amenaza y se determina su eficacia o se la descarta.

el mTTR se calcula como el tiempo desde que una amenaza fue calificada hasta el momento en el que se determinó en forma concluyente que representaba


8 LogRhythm

un riesgo o se la descartó, más el tiempo para mitigar el riesgo presentado por la amenaza a un nivel aceptable.

La etapa de recuperación, como se la definió previamente, no está incluida en la métrica del mTTR. La medición crítica de respuesta se considera como

el tiempo que lleva establecer el riesgo existente y la implementación de la mitigación. el tiempo requerido para implementar los procedimientos de recuperación total, si bien es importante, es una métrica de menor importancia en cuanto a la comprensión de la efectividad general de la operación de seguridad en pos de la reducción del riesgo más significativa.

LogRhythm Security Intelligence Maturity Model™ (SIMM™)

La seguridad cibernética es un recorrido, no un punto de llegada. Lleva tiempo y recursos desarrollar cualquier capacidad organizacional significativa, y lograr reducciones significativas del mTTd y el mTTR no es nada diferente. sin embargo, para las organizaciones decididas a reducir su postura de riesgo de seguridad cibernética, es una capacidad en la que deben invertir.

La inteligencia en seguridad es la inversión más efectiva para lograr reducir el MTTD y el MTTR.

La inteligencia en seguridad es la inversión más efectiva para lograr reducir el mTTd y el mTTR. el LogRhythm security intelligence maturity model (simm) está diseñado para ayudar a las organizaciones a evaluar su capacidad actual de inteligencia en seguridad y la postura de riesgo asociada. este modelo también les proporciona a las organizaciones un plan de trabajo a futuro, a medida que buscan mejorar su postura con el tiempo.

el modelo se enfoca en crear y desarrollar las capacidades de detección y respuesta de una organización, en contraposición a la mera implementación de más productos de seguridad individuales. no obstante, las soluciones basadas en tecnología cumplen una función fundamental en respaldar y posibilitar las distintas etapas del proceso detallado anteriormente. idealmente, las capacidades se proporcionan a través de una plataforma unificada e integrada que respalda el proceso completo de detección y respuesta.

Las capacidades críticas que una plataforma de inteligencia en seguridad debe ofrecer en pos del

objetivo de volverse impermeable a las amenazas cibernéticas son las siguientes:

•Proporcionar una captura centralizada y en tiempo real de todos los datos forenses de logs y máquinas generados en todo el entorno de Ti

•Proporcionar sensores que, de forma constante o bajo demanda, obtengan datos forenses adicionales de terminales, servidores y redes, en forma holística o con orientación hacia las áreas de mayor riesgo

•Procesar de manera uniforme todos los datos adquiridos en forma contextualizada y altamente clasificada, a fin de desbloquear la inteligencia contenida en los datos de las máquinas y ofrecer una preparación óptima para un análisis descendente

•Proporcionar un análisis de última generación basado en máquinas que pueda descubrir en forma continua y automática los riesgos y las amenazas de avanzada a través de los siguientes modos:

– Acceso al 100 por ciento de los datos forenses obtenidos

– Aplicación de técnicas híbridas de análisis, desde correlación hasta modelado de comportamientos o aprendizaje de las máquinas

– Priorización inteligente de las amenazas mediante corroboración contextual basada en riesgos

•Proporcionar visibilidad en tiempo real de los incidentes de mayor riesgo que requieran una investigación más profunda y la gestión constante por parte de quienes respondan a los incidentes

•Proporcionar potentes herramientas de análisis basadas en búsquedas que brinden a quienes responden un panorama integral de los incidentes a través del acceso centralizado a los datos forenses tanto en forma sin procesar como totalmente contextualizada


9 LogRhythm

•Proporcionar capacidades de respuesta a incidentes totalmente automatizadas y organizadas a través de flujos de trabajo altamente integrados e impulsados por la inteligencia

•Proporcionar paneles de control e informes que proporcionen a la gerencia indicadores clave de riesgo e incidentes activos dentro del entorno

el LogRhythm security intelligence maturity model, que se detalla en su totalidad en la próxima tabla, consta de varios niveles, comenzando por el nivel

0, donde esencialmente no hay capacidades de si y la organización está bastante expuesta al riesgo, y avanzando hasta el nivel 4, con capacidades de si completas que respaldan una postura de seguridad extremadamente resistente y muy eficiente.

A medida que una organización progresa en el modelo de madurez, su mTTd y su mTTR y el marco de tiempo asociado de mayor riesgo se reducen, como se muestra en la Figura 4.

Figura 4: el mTTd y el mTTR se reducen a medida que las capacidades en inteligencia en seguridad se desarrollan más

NIVEL DE MADUREZ EN INTELIGENCIA EN SEGURIDAD

TIEM

PO P

ARA

DETE

CTAR

Y R

ESPO

NDER

ANT

E UN

A VI

OLAC

IÓN

A LA

SEG

URID

AD

NIVEL 0 NIVEL 1 NIVEL 2 NIVEL 3 NIVEL 4

2015 AÑOS

MES

ESSE

MAN

ASDÍ

ASM

INUT

OS

EXPUESTO A AMENAZAS

RESISTENTE A AMENAZAS

En los niveles más altos de madurez en inteligencia de seguridad se logra una mayor resistencia a las amenazas

MTTDTM

MTTRTM

HORA

S


10 LogRhythm

el LogRhythm simm (ver tabla adjunta) ejemplifica cómo aumentar y desarrollar las capacidades de si disminuyen la postura de riesgo de una organización.

Matrix Security Intelligence Maturity Model™

MTTD

MTTR

NIVEL

1

CUMPLI-MIENTO MÍNIMO

SEMANAS MESES

SEMANAS

• Con frecuencia cuentan obligaciones de cumplimiento que impulsan inversiones, o alternativamente, han identificado un área específica de su entorno para proteger mejor

• Riesgos de cumplimiento identificados mediante revisión de informes, aunque existen riesgos si no se los revisa y no existen procesos para gestionar las violaciones de cumplimiento

• Visibilidad mejorada de las amenazas que tienen por objetivo el dominio protegido, pero aún carecen de personas y procesos que evalúen y prioricen las amenazas con eficacia

• No hay un proceso formal de respuesta a incidentes; todavía dependen de esfuerzos "heroicos" individuales. No obstante, están mejor preparados para responder a los incidentes que afectan el entorno protegido

• Riesgo de cumplimiento significativamente reducido; sin embargo, dependencia de la minuciosidad de la auditoría

• Desconocen la mayoría de las amenazas maliciosas de infiltrados

• Desconocen la mayoría de las amenazas maliciosas externas

• Desconocen las APT• Si tienen un IP de interés

para las naciones o los cibercriminales, probablemente sea robado

• Gestión de logs y SIEM orientados

• Datos forenses de servidores orientados (p. ej., supervisión de la integridad de los archivos)

• Supervisión y respuesta mínimos, obligatorios y orientados al cumplimiento

MTTD

MTTR

NIVEL

2

CUMPLI-MIENTO SEGURO

• Desean trascender el enfoque de cumplimiento mínimo de "lista de verificación"; buscan eficiencias y una garantía mejorada

• Han reconocido que desconocen efectivamente la mayoría de las amenazas y desean ver una mejora significativa en la detección y respuesta ante amenazas potenciales de alto impacto, con enfoque en las áreas de mayor riesgo

• Han establecido procesos formales y tienen responsabili-dades asignadas para supervisar las alarmas de alto riesgo

• Han establecido procesos básicos pero formales para responder ante incidentes

• Postura de cumplimiento extremadamente resistente y eficiente

• Visualizan las amenazas de infiltrados

• Visualizan las amenazas externas

• Aún desconocen gran parte de las APT, pero es más probable que detecten los indicadores y las evidencias

• Mucho más resistentes a los cibercriminales, pero aún vulnerables a aquellos que aprovechan capacidades de tipo APT.

• Aún siguen siendo altamente vulnerables a nivel nacional

• Gestión holística de logs• Datos forenses de

servidores más amplios, alineados con los riesgos

• Caracterización de riesgo en el entorno orientada

• Inteligencia en vulnerabilidades orientada

• Inteligencia en amenazas orientada

• Análisis de máquinas orientado

• Algunos procesos de supervisión y respuesta implementados

DÍASHORAS

O

DÍASHORAS

O

• Mentalidad orientada a la prevención. Cuentan con firewalls, A/V, etc.

• Generación aislada de logs basada en silos de tecnología y funcionales, pero sin visibilidad central de la generación de logs

• Existen indicadores de amenazas y ataques, pero nadie los analiza o se pierden en el ruido

• No hay un proceso formal de respuesta a incidentes; se reduce a "esfuerzos heroicos" individuales

• Riesgo de cumplimiento• Desconocen las amenazas

maliciosas de infiltrados• Desconocen las amenazas

maliciosas externas• Desconocen las APT• Si tienen un IP de interés

para las naciones o los cibercriminales, probablemente sea robado

• NingunaMTTD

MTTR

NIVEL

0

DESCONOCI-MIENTO

MESES

SEMANAS MESES

O

O

CAPACIDADES DE INTELIGENCIA EN SEGURIDAD

CARACTERÍSTICAS ORGANIZACIONALES

CARACTERÍSTICAS DE RIESGO

Continúa en la página 11


11 LogRhythm

Matrix Security Intelligence Maturity Model continuación

• Han reconocido que aún desconocen muchas de las amenazas de alto impacto que podrían causarle daños significativos a la organización

• Han invertido en los procesos organizacionales y en las personas necesarias para mejorar en forma sustancial la capacidad de detectar y responder ante toda clase de amenazas

• Han establecido e invertido en operaciones de seguridad formales y en capacidades de respuesta ante incidentes que funcionan con eficacia gracias a personal capacitado

• Han comenzado a automatizar los procesos de respuesta y las contramedidas ante incidentes

• Se encuentran en la búsqueda activa de riesgos en el entorno mediante paneles de control y búsquedas


• Visualizan y responden con rapidez a amenazas de infiltrados

• Visualizan y responden con rapidez a amenazas externas

• Visualizan evidencia de APT en las primeras etapas de su ciclo de vida, pero pueden tener problemas para atribuir la actividad a un autor/propósito

• Son muy resistentes a los cibercriminales, aun aquellos que aprovechan capacidades de tipos de APT

• Aún son vulnerables a nivel nacional, pero pueden defenderse en forma reactiva

• Datos forenses holísticos de servidores

• Datos forenses de la red orientados

• Datos forenses de terminales orientados

• Inteligencia en amenazas de grado comercial, multivectorial

• Inteligencia en vulnerabilidades holística

• Análisis conductual orientado

• Procesos de supervisión y respuesta completamente desarrollados y establecidos

• SOC funcional establecido

• Organización de IR orientada y respuesta automatizada

MTTD

MTTR

HORAS

HORAS

NIVEL

3

ALERTA

• Representan un objetivo de alto valor para las naciones, los ciberterroristas y el crimen organizado

• Son atacados permanentemente en todos los vectores posibles: físico, lógico, social

• La interrupción de un servicio o una violación son intolerables y representan una falla organizacional del más alto nivel

• Adoptan una postura proactiva hacia la gestión de las amenazas y la seguridad en general

• Invierten en empleados, tecnología y procesos mejores en su clase

• Supervisan de cerca los datos y están alertas sobre amenazas emergentes las 24 horas, los 7 días de la semana

• Tienen procesos de respuesta y contramedidas automatizados cuando resulta posible


• Visualizan y responden con rapidez a toda clase de amenazas

• Visualizan evidencia de APT de forma anticipada en sus ciclos de vida y pueden gestionar sus actividades

• Puede soportar y defenderse contra el adversario más extremo a nivel nacional

• Datos forenses holísticos de la red, los servidores y los terminales

• Caracterización holística del riesgo en el entorno

• Análisis holístico y multivectorial de máquinas

• Inteligencia proactiva en amenazas

• Inteligencia proactiva en vulnerabilidades

• Organización de IR holística y respuesta automatizada

• SOC funcional las 24 horas del día, los 7 días de la semana

• Práctica de rango cibernético

MTTD

MTTR

NIVEL

4

RESISTENTE

MINUTOS

MINUTOS

CAPACIDADES DE INTELIGENCIA EN SEGURIDAD

CARACTERÍSTICAS ORGANIZACIONALES

CARACTERÍSTICAS DE RIESGO


12 LogRhythm

El enfoque de plataforma unificada de LogRhythm

el enfoque de plataforma unificada de LogRhythm (Figura 5) garantiza que se proporcionen todas las capacidades críticas de inteligencia en seguridad mencionadas previamente a través de un conjunto de productos integrado, donde todos los componentes estén diseñados para funcionar con elegancia y eficiencia como un todo. esto es fundamental en el caso de las organizaciones que buscan tener mTTd y mTTR ideales. si bien el conjunto completo de capacidades será aprovechado por organizaciones que busquen niveles más altos de madurez, los clientes que comienzan su recorrido hacia la madurez de si pueden comenzar con productos específicos e incorporar otros con el paso de tiempo.

Figura 5: el conjunto de productos de inteligencia en seguridad de LogRhythm

GESTIÓN DE ENTRADAS EN BITÁCORAS

ANÁLISIS DE SEGURIDAD

SIEM

ANÁLISIS FORENSE DE LA RED

INFORMES FORENSES DE

LOS SERVIDORES

INFORMES FORENSES DE

LOS TERMINALES

Los principales beneficios del enfoque unificado de LogRhythm

Los principales beneficios del enfoque unificado de LogRhythmel enfoque unificado en si de LogRhythm proporciona a las organizaciones una base tecnológica para obtener operaciones de seguridad de eficiencia alta en todas las etapas del proceso de detección y respuesta. solo un enfoque unificado garantiza que la información, las personas y los procesos se alineen en forma ideal hacia el objetivo de reducir el mTTd y el mTTR. A continuación aparecen algunos de los principales beneficios clave obtenidos a través de este enfoque:

Análisis integral de big dataCuando se implementa, LogRhythm tiene una increíble visibilidad de todo el entorno de Ti desde el punto de vista de la adquisición de datos. esta visibilidad se obtiene mediante capacidades de Análisis de seguridad para detectar en forma concluyente amenazas a través de enfoques de análisis de big data. el Análisis de seguridad llevado a cabo fuera del enfoque de arquitectura integrado conlleva complejidad, latencia y un mayor costo de propiedad. estos problemas a menudo resultan en lagunas en los datos. LogRhythm ofrece un enfoque integrado para garantizar que la capacidad de Análisis de seguridad tenga un acceso óptimo a todos los datos forenses obtenidos, en tiempo real y con el menor costo de propiedad posible.

Análisis contextual holísticoel contexto es fundamental para respaldar los análisis y esfuerzos de respuesta efectivos frente a los incidentes. La información de seguridad y gestión de eventos (siem) tradicionalmente proporciona un sustancial almacenamiento de contexto del entorno, como calificaciones de riesgo de la red y el host, listas de cuentas de usuarios privilegiados, vulnerabilidades conocidas, etc. este contexto es fundamental al tratar de descubrir y calificar en forma efectiva las amenazas que requieren mayor atención. el enfoque integrado de LogRhythm garantiza que se configure el contexto una vez y se lo mantenga en todas partes. esto ayuda en gran medida a garantizar un análisis más preciso y esfuerzos de respuesta a incidentes más rápidos, a la vez que reduce el costo total de propiedad actual.

Gestión de amenazas de prioridad globalLa detección de las amenazas es la parte fácil. descubrir aquellas que son relevantes es la parte difícil. Los equipos de seguridad necesitan tener una vista consolidada de las amenazas en todo el panorama global. Además, las amenazas se deben priorizar con inteligencia para que los ciclos de análisis de los usuarios finales se usen en forma efectiva. el análisis integral de big data de LogRhythm, combinado con un contexto holístico, le permite al sistema no solo detectar una clase única de amenazas, sino priorizar aquellas detectadas por LogRhythm y otras tecnologías, y todo en una vista global consolidada. esto es fundamental para lograr un mTTd bajo y se logra perfectamente a través del enfoque de plataforma unificada de LogRhythm.


13 LogRhythm

Respuesta simplificada ante incidentesUna vez que se descubren las amenazas, el reloj comienza a correr. La rapidez con que quienes responden a los incidentes puedan acceder a los datos forenses y al contexto impacta significativamente en la cantidad de tiempo necesaria para investigar cada amenaza. A medida que se investigan las amenazas, se identificará un subconjunto como incidentes que requieren una respuesta completa. el enfoque unificado de LogRhythm garantiza que los datos forenses asociados con el incidente estén disponibles de inmediato para los respondedores, además de las capacidades de respuesta automática.

Cuando los datos forenses están unidos estrechamente con el sistema responsable de organizar y automatizar la respuesta a los incidentes, los tiempos de respuesta son exponencialmente más eficaces, en especial cuando se necesita un flujo de trabajo interorganizacional. Por el contrario, cuando los datos forenses están desvinculados, las respuestas automáticas se ven restringidas, y los respondedores deben lidiar con sistemas dispares desvinculados. La colaboración interorganizacional se vuelve manual y lenta. Y mientras tanto, el reloj sigue corriendo.

Conclusión

A medida que las organizaciones evolucionan en su madurez en inteligencia en seguridad, la reducción obtenida en el mTTd y el mTTR reduce sustancialmente el riesgo de experimentar un incidente cibernético perjudicial. Por supuesto, cada organización debe evaluar por sí misma el nivel apropiado de madurez, con función en su propia tolerancia a riesgos.

A medida que las organizaciones evolucionan en su madurez en Inteligencia en seguridad, la reducción obtenida en el MTTD y el MTTR reduce sustancialmente el riesgo de experimentar un incidente cibernético perjudicial.

Afortunadamente, las organizaciones con presupuesto limitado y mayor tolerancia a riesgos pueden lograr sustanciales mejoras en las capacidades al pasar a una postura de nivel 2. en el caso de las organizaciones con más recursos

de seguridad cibernética y una tolerancia a riesgos mucho menor, pasar al nivel 3 o incluso el nivel 4 puede ser lo apropiado.

el enfoque de plataforma unificada y la arquitectura flexible de productos de LogRhythm permiten que una organización adopte y desarrolle capacidades con el tiempo, con la tranquilidad de saber que las inversiones subsiguientes se valdrán de los pasos previos en el modelo de madurez. el objetivo de LogRhythm consiste en garantizar que las empresas tengan un socio capaz de proporcionar componentes básicos de tecnología integrados (y servicios asociados) para lograr sus objetivos de inteligencia en seguridad de manera más efectiva y eficiente a fin de poder protegerse mejor contra las amenazas cibernéticas perjudiciales.

Acerca de LogRhythm

LogRhythm, líder en análisis e inteligencia en seguridad, permite a las organizaciones de todo el mundo detectar, responder y neutralizar rápidamente las amenazas cibernéticas perjudiciales. La plataforma galardonada y patentada de la compañía unifica en forma única siem de próxima generación, gestión de logs, datos forenses de terminales y redes, y análisis de seguridad de avanzada. Además de proteger a los clientes contra los riesgos asociados a las amenazas cibernéticas, LogRhythm proporciona automatización y garantía de cumplimiento sin igual e inteligencia de Ti mejorada.

LogRhythm es reconocida consistentemente como líder en el mercado. La compañía ha sido posicionada como líder en el informe del Cuadrante mágico de siem de Gartner durante tres años consecutivos. Además, ha sido nombrada "Campeona" en el informe de Panorama de proveedores de siem 2014-15 del info-Tech Research Group y calificada como la mejor de su clase (n.º 1) en la Guía del Comprador de dispositivos de siem 2014-15 de dCiG. Además, LogRhythm ha recibido el Premio al liderazgo en penetración en el mercado global de siem de parte de Frost & sullivan y ha sido nombrada como uno de los mejores lugares de trabajo por el denver Post.

Para descargar o reenviar el complemento de este documento, El riesgo de las amenazas cibernéticas: guía de supervisión para CEO y Directorios, visite el siguiente sitio: www.logrhythm.com\simm-CeO.

LR_SIMM_CISO_01.15

© 2015 LogRhythm, Inc. Todas las marcas registradas, las marcas de servicio y los nombres comerciales a los que se hace referencia en este material son propiedad de sus respectivos propietarios.

Descubrimiento de amenazas cibernéticas críticas a través de la … · 2020. 3. 29. · deben...

Documents

Transcript of Descubrimiento de amenazas cibernéticas críticas a través de la … · 2020. 3. 29. · deben...