Mientras que las organizaciones generalmente aceptan que la prevención por sí sola no es suficiente, frecuentemente las violaciones de datos todavía no se detectan durante semanas, meses e incluso años.
Las organizaciones necesitan saber qué alarmas son importante para su organización con el fin de llevar a cabo de manera efectiva la respuesta a incidentes. Los sistemas basados en firmas y herramientas de gestión de red ya no pueden ser el único medio para detectar una infracción y detenerla antes de que cause un daño significativo. La detección de anomalías tiene que ver con la habilitación de una respuesta a incidentes proactiva dando a los equipos de seguridad la capacidad de localizar riesgos potenciales antes de que una simple intrusión o comportamiento inusual se convierta en un evento devastador.
Hay una serie de factores a considerar cuando se evalúan las soluciones de respuesta a incidentes. Hay varias consideraciones organizacionales que se deben tener en cuenta al evaluar la mejor manera de prevenir una infracción, así como limitar los daños cuando se produce una violación de seguridad.
No confíe en los procesos de seguimiento manuales. Los equipos de respuesta a incidentes a menudo adoptan un enfoque manual para la supervisión de la seguridad -con miembros del equipo que tienen la tarea de seguimiento de tableros de instrumentos y la identificación de anomalías simples-. Sin embargo, este proceso puede ser extremadamente lento, y es probable que el error humano, debido a las emociones y a las decisiones, de lugar a resultados ineficaces e inexactos. Además, una única métrica es probable que no indique un ataque avanzado. Y, si bien varias métricas pueden muy bien identificar un ataque avanzado, en última instancia, el ser humano no puede contener suficientes elementos relacionados en su memoria.
Considerar el impacto de Shadow IT. Mientras que la seguridad de la red estaba contenida previamente a las aplicaciones controladas y ejecutados por el departamento de TI, la prácitca de Shadow IT y BYOD (o bring-your-own-device en inglés) han hecho que el entorno de negocios sea mucho más complejo. El perímetro de la red se ha expandido de manera exponencial, con equipos de TI y de respuesta a incidentes, que ahora deben que preocuparse por los empleados que trabajan desde múltiples dispositivos (ya se trate de teléfonos inteligentes, ordenadores portátiles o tabletas), que conectan a múltiples redes (redes Ethernet de oficina, casa de banda ancha, VPN, etc.) y el uso de cientos de aplicaciones (ya sea de la empresa, de los consumidores, la productividad o social) que residen en centros de datos corporativos y proveedores de servicios de nube. El perímetro expandido presenta un sinnúmero de endpoints que requieren que los equipos de seguridad piensen de manera diferente sobre su acercamiento a la detección y prevención de amenazas.
No siga las reglas. En un intento para automatizar algunos de los trabajos manuales que participan en la detección de anomalías, las empresas a menudo dependen en gran medida de las reglas y los umbrales. Sin embargo, este enfoque viene con su propio conjunto único de desafíos. Por ejemplo, los umbrales y las reglas son ineficaces y de poca utilidad en los datos periódicos. Además, las alertas de este enfoque pueden generar también una gran cantidad de ruido innecesario que distrae la atención de los equipos de seguridad de la información y respuesta a incidentes.
Establecer una línea de base de un comportamiento normal en los datos. Cada organización es única y en constante cambio – con frecuencia, momentos después de que se determina una línea de base puede resultar inexacta debido a cambios en el entorno de red o el comportamiento de los usuarios. Mediante el establecimiento de una línea de base dinámica, automatizada para un comportamiento normal (a menudo mediante el aprovechamiento de las grabaciones de captura de paquetes de red y forenses), las organizaciones pueden identificar la actividad normal de la red y de las aplicaciones en la nube parecen, por lo que pueden identificar la actividad anormal.
Estas recomendaciones sobre lo que hay hacer y lo que no hacer ofrece algunas consideraciones sobre mejores prácticas a la hora de implementar una solución de respuesta a incidentes y de detección de anomalías, pero es importante recordar que los estándares de la industria para la detección de anomalías siguen evolucionando. Lo más importante para las organizaciones a tener en cuenta es que deben identificar la mejor solución para satisfacer las necesidades de sus datos, su actividad, sus patrones y, en última instancia las amenazas.
Por Alan Hall, de Blue Coat Systems (ahora parte de Symantec)