detectar y mitigar amenazas
Cuando se trata de detectar y mitigar amenazas,la velocidad es crucial.Los programas de seguridad deben poder detectar amenazas de manera rápida y eficiente para que los atacantes no tengan tiempo suficiente para buscar datos confidenciales.Los programas defensivos de una empresa pueden detener idealmente la mayoría de las amenazas,porque a menudo se las ha visto antes,lo que significa que deben saber como combatirlas.Estas amenazas se consideran amenazas conocidas.Sin embargo hay amenazas desconocidas adicionales que una empresa pretende detectar.Esto significa que la empresa no los ha encontrado antes,tal vez por que el atacante esta utilizando métodos o tecnologías completamente nuevas.
Las amenazas conocidas a veces pueden pasar incluso por las mejores medidas defensivas,por lo que la mayoría de las empresas de seguridad buscan activamente amenazas conocidas y desconocidas en su entorno,¿Como puede una organización tratar de detectar amenazas conocidas y desconocidas?
APROVECHANDO LA INTELIGENCIA DE AMENAZAS
La inteligencia de amenazas es una forma de ver datos de firmas de ataques vistos anteriormente y compararlos con datos empresariales para identificar amenazas.Esto lo hace particularmente efectivo para detectar amenazas conocidas,pero no desconocidas.La inteligencia de amenazas se usa con frecuencia para obtener un gran efecto en la información de seguridad y gestión de eventos (SIEM),antivirus,sistema de detección de intrusiones (IDS) y tecnologías de proxy web.
ANÁLISIS DE COMPORTAMIENTO DE USUARIOS Y ATACANTES
Con el análisis del comportamiento del usuario,una empresa puede obtener una comprensión básica de cual seria el comportamiento normal de un empleado,a que tipo de datos acceden,a que horas inician sesión y donde se encuentran físicamente.De esa manera un comportamiento atípico repentino,como un inicio de sesión a las 2am en Tokio de alguien que generalmente trabaja de 9 a 5 en Madrid y no viaja por negocios,se destaca como un comportamiento inusual y algo que un analista de seguridad puede necesitar investigar.
Con el análisis del comportamiento del atacante no hay una linea base de actividad para comparar la información,en cambio las actividades pequeñas,aparentemente no relacionadas,detectadas en la red a lo largo del tiempo pueden ser migas de actividad que deja un atacante.Se necesitan tanto la tecnología como la mente humana para unir estas piezas,pero pueden ayudar a formar una imagen de lo que puede estar haciendo un atacante dentro de la red de una empresa.
CONFIGURACIÓN DE TRAMPAS DE INTRUSOS
Algunos objetivos son demasiado tentadores para que un atacante los deje pasar.Los equipos de seguridad lo saben,por lo que ponen trampas con la esperanza de que un atacante muerda el anzuelo.Dentro del contexto de la red de una organización,una trampa de intrusos podría incluir un objetivo que puede parecer albergar servicios de red,especialmente atractivos para un atacante o acceso a credenciales que parecen tener privilegios de usuario que el atacante necesitaría para obtener acceso a sistemas o datos sensibles. Cuando un atacante persigue estos,activa una alerta para que el equipo de seguridad sepa que hay actividad sospechosa en la red que debe investigarse.
REALIZAR CAZAS DE AMENAZAS
En lugar de esperar a que aparezca una amenaza en la red de la organización,una búsqueda de amenazas permite a los analistas de seguridad salir activamente a su propia red,puntos finales y tecnología de seguridad para buscar amenazas o atacantes que puedan estar al acecho aun sin ser detectados.Esta es una técnica avanzada generalmente realizada por analistas veteranos de seguridad y amenazas.
Idealmente un programa de detección de amenazas a la seguridad bine desarrollado debe incluir todas las tácticas anteriores entre otras para monitorear la seguridad de los empleados,los datos y los activos críticos de la organización.
LA DETECCIÓN DE AMENAZAS REQUIERE UN ENFOQUE DE DOS PUNTOS
Detectar amenazas requiere tanto un elemento humano como un elemento técnico. El elemento humano incluye analistas de seguridad que analizan tendencias,patrones en datos,comportamientos e informes,así como aquellos que pueden determinar si los datos anómalos indican una amenaza potencial o una falsa alarma.
La tecnología de detección de amenazas también juega un papel clave en el proceso de detección. No hay nada mágico en la detección de amenazas,no hay una herramienta única que haga el trabajo.En cambio una combinación de herramientas actúa como una red en toda la red de una empresa de principio a fin,para tratar de capturar amenazas antes de que se convierta en un problema grave.
Un programa fuerte de detección de amenazas debería tener:
-Tecnología de detección de eventos de seguridad para agregar datos de eventos en la red,incluida la autenticacion,el acceso a la red y los registros de sistemas críticos.
-Tecnología de detección de amenazas de red para comprender los patrones de trafico en la red y monitorear el trafico dentro y entre redes confiables,así como Internet.
-Tecnología de detección de amenazas de punto final para proporcionar información detallada sobre posibles eventos maliciosos en las maquinas de los usuarios,así como cualquier información forense o de comportamiento para ayudar en la investigación de amenazas.
Al emplear una combinación de estos métodos defensivos,aumentara sus posibilidades de detectar y mitigar una amenaza de manera rápida y eficiente.La seguridad es un proceso continuo y nada esta garantizado. Dependerá de usted y de los recursos y procesos que implemente para mantener su negocio lo mas seguro posible.