En el mundo actual, donde la cantidad de datos, fuentes de registro y ataques ha aumentado considerablemente, los analistas de seguridad se enfrentan a desafíos cada vez más complejos. Anteriormente, cuando solo se revisaban los registros del firewall, las organizaciones confiaban en que sus analistas de seguridad detectaran anomalías a simple vista. Aunque todavía es necesario que los analistas y los equipos de respuesta a incidentes examinen y comprendan ese nivel de detalle, la gran cantidad de datos y ataques ha complicado este proceso.
Para dar sentido a esta gran cantidad de datos, es necesario analizarlos, categorizarlos, correlacionarlos y presentarlos de manera que permita al analista identificar o recibir alertas sobre posibles incidentes. Luego, el analista debe profundizar en los datos o buscar datos que corroboren la información para evaluar si se trata de un incidente real, una falsa alarma, una mala configuración o un error del usuario.
La analítica de seguridad puede ayudar proporcionando paneles visuales que incluyen monitoreo de la salud del dispositivo, una vista holística de la actividad de la red y una visión general de la postura de seguridad general, tanto desde una perspectiva técnica como de gestión. La analítica también puede permitir evaluar el riesgo potencial de un ciberataque, detectar y gestionar un incidente en curso, determinar las implicaciones de una violación (pérdida de propiedad intelectual o pérdida financiera, por ejemplo) y cumplir con los requisitos de cumplimiento.
Esto se aplica principalmente a organizaciones más grandes que gestionan su propia seguridad, pueden capturar los datos necesarios y contratar personal capacitado para configurar, operar y mantener la analítica en un entorno de amenazas en constante cambio. Por lo tanto, antes de embarcarse en el viaje de la analítica, es necesario asegurarse de tener o poder implementar el personal capacitado necesario para la configuración personalizada, la generación de reglas, la solución de problemas, el soporte de servicios profesionales y la capacitación del personal para aprovechar al máximo la solución.
La analítica está disponible tanto dentro de las herramientas de seguridad existentes como en paquetes independientes, pero no hay una única respuesta para cada problema. Cada vez más, se están incorporando más analíticas, a menudo utilizando aprendizaje automático, en herramientas especializadas como la detección de malware, la inteligencia de amenazas y las soluciones de sandbox, así como en los sistemas SIEM (sistemas de información y gestión de eventos de seguridad). Estas herramientas suelen ser configurables por el usuario, al menos en cierta medida, por lo que la mayoría de las personas que gestionan su propia seguridad ya tienen cierta capacidad analítica.
Cuando se trata de analítica de seguridad, es importante separar los hechos de la ficción, especialmente a la luz de la creciente exageración de marketing sobre el tema. Por lo tanto, el primer paso no debe ser buscar en el mercado, sino pensar en lo que se quiere lograr con la analítica. ¿Qué datos se necesitan recopilar para el análisis? ¿Ya se tiene acceso a ellos? ¿Qué capacidad analítica se necesita para alcanzar el objetivo? Esto se puede lograr mejor desarrollando varios casos de uso que describan lo que se quiere lograr. Esto conducirá a una estrategia clara, esencial para implementar una solución analítica. Al hacer esto, es necesario pensar en la necesidad de aprendizaje automático, la granularidad requerida (por ejemplo, procesos de punto final, DLL, hilos, objetos, análisis de memoria), las fuentes de datos con las que se necesita interactuar, los requisitos de cumplimiento que se puedan tener y el grado de escalabilidad requerido.
En resumen, la analítica de seguridad es una herramienta poderosa para abordar los desafíos actuales en el campo de la seguridad cibernética. Sin embargo, es importante tener en cuenta que su implementación requiere personal capacitado y una estrategia clara para aprovechar al máximo sus beneficios.
