Hoy en día las organizaciones sufren por falta de visibilidad del tráfico en su red. Y digo sufren porque el área de sistemas usualmente equivoca sus acciones y reacciones si no tiene información real, oportuna y cierta de lo que está pasando en su red en materia de seguridad.
Sin embargo, es muy probable que alguno me diga, “yo si tengo información de mi red”, y no lo dudo. En tal caso, en la gran mayoría de las ocasiones, dicha información está disgregada en distintos sistemas, ya sea de protección, prevención y resolución, o simplemente monitoreo. Y en el mejor de los casos, cuentan con un repositorio centralizado en un SIEM (Security Information and Event Management). Hasta ahí, todo maravilloso. El reto comienza entonces cuando se piensa que el ciclo de vida del SIEM termina cuando se le ingresan las reglas en un inicio de su operación y no se les alimenta de forma permanente. He ahí el gravísimo error !!!
Si bien el SIEM permite correlacionar eventos que aparentemente están aislados en cada plataforma, ya sea de seguridad u operacional, es muy recomendable estar actualizándolo con cierta periodicidad.
Mediante la táctica de “Validación Continua de la postura de Seguridad / Simulación de ataques o brechas”, los SIEM podrán ser alimentados con los mecanismos más recientes de seguridad, ya que esta técnica permite estar censando las distintas tecnologías de seguridad de la organización en tiempo real de manera ininterrumpida. Esto mediante la simulación de ataques cibernéticos en ambientes de producción, midiendo la efectividad de las defensas implementadas en las organizaciones.
Este abordaje permite que las empresas puedan adoptar una postura donde no necesariamente sean dependientes de los grandes y famosos fabricantes de la industria, que dicho sea de paso, usualmente están lejos de ser accesibles económicamente hablando. La razón es simple, esta táctica da como resultado, firmas estándar que pueden ser usadas en cualquier plataforma de seguridad, siempre y cuando, se manejen bajo estándares normalmente adoptados en la industria.
Esta solución llena el espacio donde los pen-test y vulnerability managers tales como Nessus, Qualys, Rapid 7 entre otros, además de administradores de políticas tales como Skybox, Algosec, Tufin o Firemon, no satisfacen las necesidades de seguridad requeridos en las empresas en los ambientes de negocio actuales. A diferencia de encontrar vulnerabilidades detrás de las capas de protección, es necesario enfocarse en identificar si los dispositivos de seguridad (ngfw, nips, waf, proxy, dlp, sandbox, etc.) pueden proteger contra los ataques cibernéticos o no.
Es necesario contar con visibilidad en tiempo real sobre la efectividad de los dispositivos de seguridad para poder:
· Identificar brechas de seguridad en los dispositivos de seguridad antes que los atacantes lo hagan, y;
· Medir la efectividad de la seguridad en función de segmentos de red, tipos de ataque, aplicaciones, sistema operativo e independientemente de en qué etapa de la ciber cadena de la muerte está cada ataque.
· Aumentarsus posturas de seguridad y utilizar plenamente las inversiones en seguridad.
Por otra parte, es fundamental cuantificar y contabilizar la eficacia de las inversiones en seguridad, contratos de consultoría / SLA, cambios operativos y actualizaciones relacionadas con políticas / procesos ya que constituyen un punto que es clave para las operaciones de seguridad cibernética exitosa.
Por ejemplo, saber que los niveles de éxito de seguridad han cambiado durante un cierto período de tiempo (un día, una semana, etc.), permitiría a los gerentes de seguridad identificar el bajo rendimiento de una inversión o una operación antes de que se convierta en un problema.
Del mismo modo, es necesario identificar los fallos repetidos de los controles de seguridad para poder revelar las deficiencias de un contratista o una tecnología. Además, tener tales métricas permitiría a los gerentes de seguridad, gestionar de manera efectiva los riesgos de diferentes tipos, ya sea en aplicaciones, equipos de usuarios, sistemas operativos, servidores de aplicaciones, etc. Debemos contar con métricas proporcionadas que puedan formar parte de los KPI y se puedan integrar fácilmente en tableros de gestión empresariales con integraciones API sencillas.
Un seguimiento cercano a la eficacia de los controles de seguridad, junto con la capacidad de recibir alertas sobre caídas repentinas de la tasa de éxito del bloqueo de ataques cibernéticos, debe constituir parte de las buenas prácticas de seguridad en las compañías. Estas prácticas no solo garantizan una postura ininterrumpida de alta seguridad, sino que también ayudan a identificar configuraciones erróneas en las distintas plataformas de protección, permite detectar errores humanos, fallas de hardware, además de errores relacionados con el servicio que los proveedores están suministrando, probablemente, bajo un contrato de servicio con su correspondiente SLA previamente acordado.
La implementación de nuevas medidas y políticas de seguridad contra las nuevas técnicas de piratas informáticos, puede llevar semanas o meses debido a las preocupaciones derivadas de la continuidad del negocio o la gran carga de trabajo de los equipos de operación de seguridad. Dado esto, es necesario automatizar el proceso de estar al tanto de las nuevas técnicas de hackers, hacer análisis continuos, medir el nivel de éxito de la infraestructura existente y tomar las medidas de remediación necesarias contra ellas, todo esto, sin la dependencia del personal a cargo de la seguridad de la empresa, y sin la menor interrupción de la operación del negocio. Este proceso de trabajo y tiempo intensivo se puede manejar en minutos u horas con procesos automáticos que nos permitan centrarnos en atender a los clientes en la esencia del negocio, y no en solucionar intrusiones cibernéticas.
Continúa pendiente de más funcionalidades en mi siguiente entrega.
¿Actualizas regularmente el SIEM?
Hoy en día las organizaciones sufren por falta de visibilidad del tráfico en su red. Y digo sufren porque el área de sistemas usualmente equivoca sus acciones y reacciones si no tiene información real, oportuna y cierta de lo que está pasando en su red en materia de seguridad.
Sin embargo, es muy probable que alguno me diga, “yo si tengo información de mi red”, y no lo dudo. En tal caso, en la gran mayoría de las ocasiones, dicha información está disgregada en distintos sistemas, ya sea de protección, prevención y resolución, o simplemente monitoreo. Y en el mejor de los casos, cuentan con un repositorio centralizado en un SIEM (Security Information and Event Management). Hasta ahí, todo maravilloso. El reto comienza entonces cuando se piensa que el ciclo de vida del SIEM termina cuando se le ingresan las reglas en un inicio de su operación y no se les alimenta de forma permanente. He ahí el gravísimo error !!!
Si bien el SIEM permite correlacionar eventos que aparentemente están aislados en cada plataforma, ya sea de seguridad u operacional, es muy recomendable estar actualizándolo con cierta periodicidad.
Mediante la táctica de “Validación Continua de la postura de Seguridad / Simulación de ataques o brechas”, los SIEM podrán ser alimentados con los mecanismos más recientes de seguridad, ya que esta técnica permite estar censando las distintas tecnologías de seguridad de la organización en tiempo real de manera ininterrumpida. Esto mediante la simulación de ataques cibernéticos en ambientes de producción, midiendo la efectividad de las defensas implementadas en las organizaciones.
Este abordaje permite que las empresas puedan adoptar una postura donde no necesariamente sean dependientes de los grandes y famosos fabricantes de la industria, que dicho sea de paso, usualmente están lejos de ser accesibles económicamente hablando. La razón es simple, esta táctica da como resultado, firmas estándar que pueden ser usadas en cualquier plataforma de seguridad, siempre y cuando, se manejen bajo estándares normalmente adoptados en la industria.
Esta solución llena el espacio donde los pen-test y vulnerability managers tales como Nessus, Qualys, Rapid 7 entre otros, además de administradores de políticas tales como Skybox, Algosec, Tufin o Firemon, no satisfacen las necesidades de seguridad requeridos en las empresas en los ambientes de negocio actuales. A diferencia de encontrar vulnerabilidades detrás de las capas de protección, es necesario enfocarse en identificar si los dispositivos de seguridad (ngfw, nips, waf, proxy, dlp, sandbox, etc.) pueden proteger contra los ataques cibernéticos o no.
Es necesario contar con visibilidad en tiempo real sobre la efectividad de los dispositivos de seguridad para poder:
· Identificar brechas de seguridad en los dispositivos de seguridad antes que los atacantes lo hagan, y;
· Medir la efectividad de la seguridad en función de segmentos de red, tipos de ataque, aplicaciones, sistema operativo e independientemente de en qué etapa de la ciber cadena de la muerte está cada ataque.
· Aumentar sus posturas de seguridad y utilizar plenamente las inversiones en seguridad.
Por otra parte, es fundamental cuantificar y contabilizar la eficacia de las inversiones en seguridad, contratos de consultoría / SLA, cambios operativos y actualizaciones relacionadas con políticas / procesos ya que constituyen un punto que es clave para las operaciones de seguridad cibernética exitosa.
Por ejemplo, saber que los niveles de éxito de seguridad han cambiado durante un cierto período de tiempo (un día, una semana, etc.), permitiría a los gerentes de seguridad identificar el bajo rendimiento de una inversión o una operación antes de que se convierta en un problema.
Un seguimiento cercano a la eficacia de los controles de seguridad, junto con la capacidad de recibir alertas sobre caídas repentinas de la tasa de éxito del bloqueo de ataques cibernéticos, debe constituir parte de las buenas prácticas de seguridad en las compañías. Estas prácticas no solo garantizan una postura ininterrumpida de alta seguridad, sino que también ayudan a identificar configuraciones erróneas en las distintas plataformas de protección, permite detectar errores humanos, fallas de hardware, además de errores relacionados con el servicio que los proveedores están suministrando, probablemente, bajo un contrato de servicio con su correspondiente SLA previamente acordado.
La implementación de nuevas medidas y políticas de seguridad contra las nuevas técnicas de piratas informáticos, puede llevar semanas o meses debido a las preocupaciones derivadas de la continuidad del negocio o la gran carga de trabajo de los equipos de operación de seguridad. Dado esto, es necesario automatizar el proceso de estar al tanto de las nuevas técnicas de hackers, hacer análisis continuos, medir el nivel de éxito de la infraestructura existente y tomar las medidas de remediación necesarias contra ellas, todo esto, sin la dependencia del personal a cargo de la seguridad de la empresa, y sin la menor interrupción de la operación del negocio. Este proceso de trabajo y tiempo intensivo se puede manejar en minutos u horas con procesos automáticos que nos permitan centrarnos en atender a los clientes en la esencia del negocio, y no en solucionar intrusiones cibernéticas.
Categorías Populares
Instagram Feeds
[instagram-feed]
Popular Tags
Archivos
Nuestros Servicios