En el mundo digital actual, los ciberdelincuentes están constantemente evolucionando sus tácticas de ataque y aprovechando la falta de visibilidad de las amenazas para mantener a los defensores de la ciberseguridad alerta. Uno de los métodos más utilizados por los adversarios es el phishing, así como la creación de armas personalizadas de corta duración. Ante esta situación, cada vez más organizaciones de seguridad están priorizando el uso de la analítica de seguridad para identificar rápidamente los ataques y actuar antes de que se produzcan daños importantes.
Sin embargo, esta transición hacia la analítica de seguridad no está exenta de obstáculos, especialmente cuando las organizaciones adquieren un conjunto fragmentado de herramientas de análisis. A primera vista, puede parecer lógico tener herramientas de análisis separadas para redes, puntos finales, usuarios, nube y aplicaciones. Estas herramientas altamente especializadas pueden proporcionar información prometedora en poco tiempo. Sin embargo, cuando cada una de estas herramientas genera una gran cantidad de datos y alertas individuales, los analistas deben cambiar constantemente entre diferentes pantallas. Esto suele resultar en un aumento sustancial en el costo operativo y en el tiempo necesario para investigar, delimitar y decidir sobre las medidas de remediación.
Una parte de este problema se puede reducir tácticamente mediante el uso de la automatización y la orquestación, pero el verdadero problema surge cuando la organización busca aumentar la calidad y profundidad de la detección mediante el uso de la analítica del comportamiento o el aprendizaje automático, que requieren una amplia cantidad de datos y un tiempo considerable de entrenamiento. Si bien las herramientas fragmentadas pueden ser buenas para generar una alerta individual, compartir todos los datos subyacentes a menudo sigue siendo exclusivo de la herramienta individual, lo que impide que las organizaciones avancen hacia la detección avanzada basada en el aprendizaje automático.
Otro problema es la sobrecarga en la gestión de datos y la administración de todas estas herramientas individuales. Para evitar esta trampa, los equipos de seguridad deben considerar un enfoque basado en plataformas en el que la ingestión, correlación, gestión y un amplio conjunto de análisis de datos puedan estar interconectados. Una sólida correlación dentro de todo el flujo de datos ofrece una gran perspectiva para avanzar hacia una detección más madura.
Por ejemplo, supongamos que una organización desea aumentar la visibilidad de las cuentas de servicio, es decir, las cuentas utilizadas por los administradores para configurar una aplicación o herramienta, que a menudo son el objetivo de los adversarios para robar los activos más valiosos de la empresa. No solo se requiere la información de inicio de sesión de la cuenta de servicio, sino también otra información para identificar al usuario original real, como desde dónde accedieron a la cuenta, a qué hora lo hicieron, qué otras herramientas estaban utilizando y qué acciones ejecutaron. Esta combinación requiere muchas correlaciones, tanto a nivel de ingreso de datos, agregando el nombre del sistema y el nombre de usuario a los datos de la red, como en el proceso de detección, conectando y midiendo eventos de anomalías individuales en una métrica de riesgo (es decir, combinando el inicio anormal de procesos con tráfico de red anormal y actividad de usuario fuera de la actividad del grupo de pares).
Este nivel de correlación avanzada es casi imposible de lograr utilizando herramientas fragmentadas, ya que requiere un conjunto de referencia común de todos los usuarios, activos, redes y nombres de sistemas, que en el entorno empresarial actual no existe o no es satisfactorio.
La analítica de seguridad ofrece muchos beneficios para detectar, investigar y responder a las amenazas. Sin embargo, para avanzar hacia análisis profundos y avanzados utilizando inteligencia artificial (IA) y aprendizaje automático, las herramientas fragmentadas deben ser reemplazadas por un enfoque basado en plataformas que pueda aprovechar un amplio conjunto de datos.
Fuente del artículo: Security Intelligence
