La nueva regla 80/20 para SecOps: personalice lo que importa, automatice el resto


10 de noviembre de 2023Las noticias de los piratas informáticosInteligencia de amenazas/SecOps

Existe una búsqueda aparentemente interminable para encontrar las herramientas de seguridad adecuadas que ofrezcan las capacidades adecuadas para su organización.

Los equipos SOC tienden a gastar alrededor de un tercero de su día en eventos que no representan ninguna amenaza para su organización, y esto ha acelerado la adopción de soluciones automatizadas para reemplazar (o aumentar) los SIEM ineficientes y engorrosos.

Con un estimado El 80% de estas amenazas Al ser comunes en la mayoría de las organizaciones, los SOC actuales pueden confiar con confianza en la automatización para cubrir este gran porcentaje de señales de amenaza.

Pero, si bien es cierto que la automatización puede mejorar enormemente la eficiencia y eficacia de los equipos de seguridad, nunca podrá cubrir todos los casos de uso de detección y respuesta de manera infalible.

En el recientemente publicado Radar GigaOm para el Centro de Operaciones de Seguridad Autónoma (SOC)afirman con precisión que “el SOC no será, ni debería, ser completamente autónomo”.

A medida que más proveedores intentan desafiar a los jugadores dominantes en la categoría SIEM, aumenta la demanda de soluciones que ofrezcan automatización, que puede cubrir el 80%, al mismo tiempo que ofrecen capacidades de personalización para cubrir casos de uso personalizados: el 20% restante.

Operaciones de seguridad
La automatización puede liberar tiempo valioso para los equipos de seguridad, de modo que puedan dedicar la mayor parte de su tiempo a casos de uso exclusivos de su organización.

EL 80%: AUTOMATIZACIÓN

Con el aumento continuo en la creación de datos globales, las organizaciones inevitablemente ven un aumento en la cantidad de alertas administradas por los equipos de seguridad.

Esto puede parecer desalentador para los equipos de seguridad con exceso de trabajo, pero las ofertas avanzadas de los proveedores están implementando la automatización en varias etapas del flujo de trabajo del SOC, lo que ayuda a los equipos a mejorar su velocidad y eficacia.

Las cuatro fases clave en las que estamos viendo la automatización son:

  • Ingestión y normalización de datos: La automatización de la ingesta y la normalización de datos permite a los equipos procesar grandes cantidades de datos de diversas fuentes de manera eficiente, estableciendo una base sólida para procesos automatizados posteriores.
  • Detección: Transferir la responsabilidad de crear una parte importante de las reglas de detección permite a los analistas de seguridad concentrarse en amenazas exclusivas de su organización o segmento de mercado.
  • Investigación: La automatización puede aliviar la carga de las tareas manuales y repetitivas, acelerando los procesos de investigación y clasificación.
  • Respuesta: Las respuestas automáticas a amenazas conocidas y descubiertas facilitan una mitigación rápida y precisa. Esto puede incluir conectividad a la gestión de casos, soluciones SOAR, ITSM, etc.

Los proveedores modernos de reemplazo de SIEM, como Hunters, aprovechan las reglas de detección prediseñadas, integran fuentes de inteligencia sobre amenazas y enriquecen y correlacionan automáticamente los clientes potenciales. Estos procesos automatizados alivian grandes cantidades de cargas de trabajo tediosas, lo que permite a los equipos de seguridad gestionar fácilmente la gran mayoría de las alertas.

Operaciones de seguridad
El enriquecimiento automático y la correlación cruzada crean historias completas, lo que hace que el seguimiento de los movimientos laterales sea mucho más eficiente.

EL 20%: PERSONALIZACIÓN

Aunque la automatización de las fases anteriores del flujo de trabajo ha sido enorme para aumentar la eficiencia de muchos SOC, siempre seguirá siendo necesario un cierto grado de personalización.

Cada organización tiene necesidades y requisitos personalizados según los casos de uso específicos de la industria o la empresa. Esto significa que incluso si las capacidades automatizadas e integradas pueden abordar el 80 % de los casos de uso y tareas generales, se necesitan capacidades adicionales para cubrir el 20 % restante.

“Personalización” puede significar muchas cosas diferentes, pero el principal requisito para los equipos de seguridad es que tengan la flexibilidad para cubrir casos de uso únicos y la capacidad de escalar sus capacidades. Veamos algunos ejemplos de casos de uso en los que esto puede resultar beneficioso:

  • Ingesta de fuentes de datos personalizadas: Cada organización tiene múltiples fuentes de datos que ingiere con diferentes formatos de registro. Es posible que muchos proveedores no tengan integraciones prediseñadas para ingerir desde cada fuente de datos, por lo que si un proveedor ofrece esa capacidad, puede ser un gran avance. Esto es especialmente para organizaciones que actualmente utilizan (o que pronto utilizarán) lagos de datos para mantener datos para múltiples propósitos.
  • Detección como código: Esto se ha convertido en una palabra de moda en la industria de la seguridad, pero con razón. La detección como código ofrece una variedad de ventajas para los ingenieros de detección, como un ciclo de vida de desarrollo mejorado y eficiente, y para que las grandes organizaciones administren de manera más efectiva entornos multiinquilino. Si no está familiarizado con el concepto, la detección como código utiliza API y canales de implementación para proporcionar las capacidades de auditoría deseadas, lo que hace que el ciclo de vida de desarrollo de las operaciones de seguridad sea mucho más cercano al del desarrollo de software tradicional. Este enfoque mejora los procesos para ayudar a los equipos a desarrollar alertas de mayor calidad o reutilizar código dentro de su organización para que no tenga que crear cada detector nuevo desde cero. También ayuda a impulsar la ingeniería de detección que queda en el ciclo de vida de desarrollo, eliminando la necesidad de probar e implementar detectores manualmente.
  • Contexto empresarial escalable: Ya sean entidades con niveles de sensibilidad específicos (como las joyas de la corona), datos de diferentes unidades de negocios o diferentes geografías, o datos aislados de diferentes fuentes, se necesita mucho tiempo y esfuerzo para reunir la información de una manera que sea comprensible y procesable. Aprovechar una alternativa SIEM que le brinda la capacidad de administrar todo esto a través de API brinda mayor eficiencia y escalabilidad que no todos los proveedores ofrecen.

Conclusión

La creación de un SOC eficaz siempre ha sido y seguirá siendo un esfuerzo matizado.

No existe una solución única cuando se trata de herramientas de seguridad. Es importante ofrecer formas para que las organizaciones no solo personalicen sus casos de uso, sino que también sean capaces de combinar esta “personalización” con las capacidades automatizadas ya existentes que ofrecen los proveedores.

Se ha convertido en una necesidad buscar proveedores que puedan ofrecer un enfoque práctico para personalizar herramientas, pero que lo hagan de manera que refuercen las partes autónomas de sus ofertas.

Proveedores de reemplazo de SIEM como Hunters, que han sido nombrados líderes en el mencionado anteriormente de GigaOm. informe en SOC autónomo, son conocidos por sus capacidades prediseñadas y fáciles de usar. Y, para garantizar que satisfagan las necesidades de los equipos de seguridad, continuamos agregando funciones de personalización innovadoras que permiten a las organizaciones adaptar su estrategia de seguridad a sus requisitos únicos.

Cubrir el 80% es vital, pero abordar el 20% restante pondrá a su equipo de seguridad por encima del resto.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57