A lo largo de esta temporada de la sección de Hack&News hemos hablado en diferentes artículos sobre amenazas, gestión de riesgos y la importancia de contar con un proceso de inteligencia en amenazas que permitiera a la organización disponer de información de valor para tomar las mejores decisiones en el tratamiento de los riesgos, ya sea para disminuir la probabilidad de que las amenazas se puedan materializar o el impacto en caso de que ocurriera el evento de la dicha amenaza.
La proliferación de estas amenazas hace que sea mucho más complicado identificarlas, protegerse ante ellas, detectar un evento de amenaza, responder ante ellas o, en el peor de los casos, recuperarse de un incidente provocado por alguna de estas amenazas.
Precisamente, en el párrafo anterior, hemos repasado las cinco funciones del marco de trabajo de ciberseguridad del NIST (National Institute of Standards and Technology); Identificación, Protección, Detección, Respuesta y Recuperación. En este artículo vamos a centrar en la función de respuesta, enfatizando la importancia de automatizar dicha respuesta en la medida de lo posible, porque sería prácticamente imposible e ineficiente atender a cada una de ellas de manera manual.
Afortunadamente, en la actualidad el mercado nos ofrece diferentes soluciones para la respuesta automatizada ante amenazas, aportando más eficacia y eficiencia en esta tarea. Esto no implica que el “ojo clínico” del analista vaya a separar de esta tarea, pero podría quedar en un segundo plano, para verificar la alerta, descartar un falso positivo, detectar un posible falso negativo, identificar posibles errores en el proceso o posibles oportunidades de mejora de este.
Uno de los ejemplos más claro de este tipo de soluciones son las herramientas antimalware (contra código malicioso) que, como sabréis, ha sufrido un importante cambio y evolución. Entre los cambios más importantes de esta evolución se podrían destacar dos. Por un lado, la integración de la inteligencia artificial para basar la detección de amenazas en el análisis de comportamiento, en lugar de hacerlo basándose en firmas (patrones) del código malicioso. Por otro lado, incluir la capacidad de respuesta ante amenazas.
Las soluciones de tipo EDR (Endpoint Detection & Response) son el mejor ejemplo de este tipo de soluciones. Esta evolución del antivirus tradicional permite, no solo detectar, sino también responder ante la amenaza, basándose en unas “recetas” (playbooks) previamente configuradas. Este tipo de soluciones a su vez han ido evolucionando, y un ejemplo claro son las soluciones de tipo XDR (eXtended Detection & Response), que extienden la funcionalidad de los EDR para incluir también, por ejemplo, las cargas de trabajo de la nube.
Pero esta automatización de la respuesta ante amenazas no se queda solo en el puesto…
Miguel Ángel es consultor de seguridad de la información, con certificación CISA de ISACA y 15 años de experiencia en el mundo de la ciberseguridad. Experiencia en auditorías de seguridad e implantación de SGSI (ISO/IEC 27001). Desempeña la labor de Director de Ciberseguridad, liderando la estrategia de seguridad para la gestión de riesgos IT. Es Co-Líder del Grupo de Expertos de Seguridad en la Asociación itSMF España. Profesor en varios másteres de ciberseguridad (UCLM, Universidad de Sevilla y Universidad de Córdoba). Es autor del blog hacking-etico.com, fundador de Hack&Beers y ponente en congresos de ciberseguridad de ámbito nacional.
Debe estar conectado para enviar un comentario.