La analítica de seguridad es una herramienta fundamental para proteger la red de una organización contra amenazas externas. Sin embargo, es importante tener en cuenta que invertir en analítica de seguridad no garantiza automáticamente la protección necesaria contra todo tipo de amenazas externas. Existen diferentes opciones disponibles para implementar tecnología de analítica de seguridad, desde firewalls básicos hasta servicios avanzados de aprendizaje automático que predicen y defienden de manera proactiva las amenazas identificadas. Aunque las soluciones más avanzadas pueden ofrecer una protección total, rara vez se puede confiar completamente en ellas.

Es fácil dejarse llevar por la idea de la última y mejor tecnología sin considerar la verdadera naturaleza del riesgo que se está gestionando y la respuesta más adecuada para ello. Las organizaciones aún deben evaluar críticamente su catálogo de activos de TI e identificar las aplicaciones de alta criticidad. Al seleccionar un proveedor potencial de analítica de seguridad, es importante buscar garantías, incluyendo referencias sobre la funcionalidad y capacidades de la herramienta, así como del proveedor mismo. Si es posible, el producto debe ser probado para asegurarse de que cubre las necesidades específicas de la organización. Si se planea confiar en los algoritmos de vulnerabilidad y plantillas de percepción de amenazas del proveedor, también es fundamental realizar una debida diligencia para asegurarse de que se mantengan regularmente para reflejar las cambiantes percepciones de amenazas.

También es importante tener en cuenta si la organización está en riesgo significativo de amenazas externas de este tipo y si la inversión en tecnología es la respuesta correcta. Aunque todas las empresas estarán expuestas a algún tipo de amenaza externa, algunas son más propensas a ser objetivo que otras. Sectores específicos de la industria, como minoristas de alto volumen o empresas farmacéuticas globales, atraerán un mayor volumen de ciberataques debido al tipo de información que manejan o a lo que hacen. Las empresas consideradas como objetivos de alto riesgo son mucho más propensas a invertir en soluciones de analítica más sofisticadas para su infraestructura de red y seguridad. Otras pueden confiar en estrategias de defensa tradicionales como firewalls, encriptación, particionamiento de redes y resiliencia sin agregar una capa analítica adicional.

Al seleccionar una solución de analítica de seguridad, se deben considerar los siguientes aspectos:

• Se suelen requerir múltiples capas de seguridad, y lo mismo ocurre con la analítica de seguridad. Por lo tanto, debe complementar, no entrar en conflicto, con otros programas existentes, así como comunicarse con ellos para leer y comprender los registros disponibles y poder identificar una vulnerabilidad o alerta de amenaza cuando ocurra.
• Se deben poder configurar diferentes indicadores de amenazas según el objetivo, el protocolo o la fuente del ataque. Por ejemplo, ciertas aplicaciones pueden comunicarse inherentemente a través de múltiples protocolos o canales, algunos de los cuales pueden considerarse sospechosos en otras aplicaciones. Estas excepciones o matices por aplicación deberán configurarse en el producto de analítica de seguridad para eliminar falsos positivos o vulnerabilidades no detectadas.
• Se deben manejar parámetros de configuración adicionales a medida que se vuelvan relevantes para la organización.
• Se deben detectar desviaciones de los comportamientos “normales” para identificar posibles comportamientos sospechosos.
• Se requiere una función de alerta y notificación inmediata basada en los niveles de amenaza percibidos.
• Se deben diferenciar diferentes niveles de criticidad, ya que no todas las amenazas identificadas son iguales.
• Si es posible, el software debe poder utilizar respuestas anteriores como plantilla para futuras alertas, utilizando el aprendizaje automático para recordar respuestas anteriores y repetirlas cuando se identifiquen escenarios similares.
• Si el aprendizaje automático es parte de la solución, el producto debe proporcionar algún tipo de calificación de confianza en forma de porcentaje para el modelo simulado, para brindar a los administradores una idea de la confiabilidad de la alerta sugerida.
• Debe ser personalizable para identificar las particularidades de las aplicaciones en el entorno empresarial de la organización. Por ejemplo, comprender los protocolos o puertos específicos utilizados por SAP vs Google o Microsoft.
• Una vez que se haya identificado una amenaza, los activos “infectados” deben ser aislados y puestos en cuarentena.

Las limitaciones de la analítica de seguridad incluyen:

• Las soluciones son tan buenas como los algoritmos que procesan; si estos no están actualizados, las capacidades de detección del sistema tampoco lo estarán.
• Incluso con capacidades de aprendizaje automático, los programas aún requieren una buena calidad de entrada de datos y patrones consistentes tanto de eventos como de respuestas a alertas (como alertas consistentemente eliminadas como falsos positivos) para proporcionar respuestas adecuadas.
• El aprendizaje automático aún requiere validación humana hasta que el “modelo” pueda considerarse suficientemente preciso.

En resumen, la analítica de seguridad es una herramienta valiosa para proteger una organización contra amenazas externas. Sin embargo, es importante tener en cuenta las limitaciones y considerar cuidadosamente la naturaleza del riesgo que se está gestionando y la respuesta más adecuada para ello. Al seleccionar una solución de analítica de seguridad, es fundamental realizar una debida diligencia y asegurarse de que se adapte a las necesidades específicas de la organización.