Los centros de operaciones de seguridad (SOC) están actualmente abrumados. Los analistas procesan miles de alertas todos los días y dedican gran parte de su tiempo a rastrear falsos positivos y ajustar las reglas de detección de manera reactiva. Los SOC a menudo carecen del contexto ambiental y de la inteligencia de amenazas relevante necesaria para verificar rápidamente qué alertas son realmente maliciosas. Como resultado, los analistas dedican una cantidad significativa de tiempo a priorizar manualmente las alertas y la mayoría de las alertas se clasifican como benignas.
Abordar las causas fundamentales de estos puntos ciegos y la fatiga de alertas no es tan sencillo como implementar herramientas más precisas. Muchas de estas herramientas tradicionales son muy precisas, pero su defecto fatal es la falta de contexto y un enfoque limitado: perder el bosque por los árboles. Mientras tanto, los atacantes sofisticados a menudo aprovechan riesgos que son invisibles para las herramientas reactivas tradicionales y utilizan kits de derivación ampliamente disponibles para evadir la detección.
Si bien todas estas herramientas son efectivas por sí mismas, a menudo fallan debido a la realidad de que los atacantes no utilizan solo un método de ataque, explotan solo un tipo de exposición ni utilizan un único CVE como arma cuando ingresan a un entorno. En cambio, los atacantes encadenan múltiples exposiciones, aprovechan los CVE conocidos cuando son útiles y utilizan técnicas de evasión para moverse lateralmente a través del entorno para lograr sus objetivos. Las herramientas de seguridad tradicionales pueden detectar individualmente una o más de estas exposiciones o IoC, pero sin el contexto proporcionado por un programa de gestión de exposición continua profundamente integrado, puede ser casi imposible para los equipos de seguridad correlacionar de manera efectiva señales aparentemente desconectadas.
Beneficios de SecOps en cada etapa del ciclo de vida de la ciberseguridad
Las plataformas de gestión de exposición ayudan a transformar las operaciones de SOC al incorporar inteligencia de exposición directamente en los flujos de trabajo de analistas existentes. Por supuesto, la capacidad de obtener visibilidad de las superficies de ataque y de las exposiciones interconectadas proporciona un valor inmenso, pero eso sólo araña la superficie. Aunque a menudo trabajan en paralelo en lugar de en conjunto, esto no es demasiado sorprendente dada la gran superposición en los modelos de alto nivel en los que opera cada equipo.
Para enfatizar aún más este punto, a continuación se muestra una comparación de un flujo de trabajo SOC típico y el ciclo de vida CTEM.
Ciclo de vida típico de SOC Cómo la gestión integrada de la exposición ayuda a los monitores del ciclo de vida de CTEM
Mantenga una visibilidad continua de toda su superficie de ataque y priorice los activos críticos que son más críticos para su negocio y que tienen más probabilidades de ser atacados por atacantes. Visibilidad de la superficie de ataque compartida
La integración con herramientas CMDB y SOC crea una vista unificada de la superficie de ataque y los activos críticos, alineando a los equipos de seguridad y TI en lo que más importa. rango
Describa el alcance de su programa de gestión de exposición, identifique los activos críticos que son más críticos para su negocio y mantenga una visibilidad continua en toda su superficie de ataque. detectar
Lo ideal es identificar actividades maliciosas sospechosas en la superficie de ataque antes de que obtengan acceso o comprometan sistemas o datos críticos. Contextualizar las alertas de amenazas
Cuando se produce una detección, los analistas revisan instantáneamente la postura de riesgo del activo y si la actividad sospechosa coincide con los vectores de ataque conocidos, convirtiendo las alertas generales en investigaciones específicas. descubrir
Descubra riesgos en toda la superficie de ataque, incluidas rutas de ataque, vulnerabilidades, configuraciones incorrectas y problemas de identidad y permisos.
Valide las alertas de seguridad y correlacione los registros de eventos para identificar verdaderos incidentes de seguridad y actividades maliciosas frente a actividades anómalas benignas. Mejorar la precisión de la colocación
Tome decisiones mejor informadas basadas en el contexto empresarial y de activos para filtrar el ruido de las alertas de seguridad y, al mismo tiempo, reducir el riesgo de falsos positivos. priorizar
Priorice las exposiciones descubiertas en función de la inteligencia de amenazas, el entorno y el contexto empresarial para centrar los esfuerzos de remediación en los riesgos más impactantes y apremiantes. investigar
Profundice en inteligencia sobre amenazas, registros de eventos y otros hallazgos para determinar el alcance, la causa raíz y el impacto de los incidentes de seguridad. Visualice cadenas de ataques complejas
Traduzca los hallazgos de riesgos abstractos en escenarios de ataques potenciales validados. Los analistas pueden visualizar cómo los actores de amenazas encadenan exposiciones específicas para identificar puntos críticos. Verificar
Confirme que las exposiciones descubiertas realmente existen, que los actores de amenazas pueden acceder a ellas y que realmente pueden explotarse en función de la disponibilidad de parches y los controles de compensación. responder
Tome medidas para minimizar el impacto de una infracción y eliminar las amenazas en su entorno. Respuesta dirigida a incidentes
Comprender los vectores explotables permite una contención y remediación precisas, lo que le permite abordar rápidamente exposiciones específicas sin un aislamiento excesivo destructivo ni un impacto comercial. movilizar
Impulse de manera eficiente y eficaz la corrección de la exposición impulsando la colaboración interdisciplinaria, automatizando los flujos de trabajo de notificación y emisión de tickets, implementando mitigaciones de seguridad cuando sea posible y automatizando los flujos de trabajo de parcheo.
Esta alineación natural entre los flujos de trabajo de alto nivel de los equipos proactivos y reactivos hace que sea fácil ver dónde la inteligencia de superficie de ataque y amenazas dirigidas desde una plataforma de gestión de exposición puede ser útil para los equipos SOC antes y durante la investigación de amenazas.
La magia realmente comienza a ocurrir cuando los equipos integran plataformas de gestión de exposición con herramientas EDR, SIEM y SOAR para brindar inteligencia contextual sobre amenazas a los analistas de SOC precisamente cuando y donde más la necesitan. Esto permite a los equipos correlacionar automáticamente las exposiciones descubiertas con técnicas específicas de MITRE ATT&CK, creando inteligencia sobre amenazas procesable que es inmediatamente relevante para la superficie de ataque única de cada organización.
Para las exposiciones que no se pueden remediar de inmediato, los equipos pueden aprovechar esta inteligencia para informar los esfuerzos de ingeniería de detección y búsqueda de amenazas. Esto crea un circuito de retroalimentación continuo donde la inteligencia de exposición informa las actualizaciones de detección, mejora la clasificación de alertas y la investigación y respalda la respuesta automatizada y la remediación priorizada.
Obtenga más información sobre los flujos de trabajo SOC con inteligencia de exposición mejorada
Las herramientas de detección tradicionales generan alertas basadas en firmas y patrones de comportamiento, pero carecen de contexto ambiental. La gestión de exposición continua cambia esto al proporcionar contexto en tiempo real sobre los sistemas, configuraciones y vulnerabilidades involucradas en cada alerta.
Cuando se produce una detección, los analistas de SOC comprenden instantáneamente qué riesgos existen para los sistemas afectados, qué métodos de ataque son viables dada la configuración actual, cuál es el radio potencial de explosión y cómo encaja esta alerta en las rutas de ataque conocidas. La clasificación de alertas se vuelve dramáticamente más eficiente cuando los analistas pueden evaluar instantáneamente el verdadero riesgo potencial de cada alerta. En lugar de realizar una clasificación basada en una puntuación de gravedad general, la gestión de la exposición proporciona un contexto de riesgo específico del entorno. Durante una investigación, la gestión de exposición continua proporciona a los analistas un análisis detallado de los vectores de ataque que muestra exactamente cómo los atacantes explotarán las alertas actuales como parte de una campaña más amplia. Esto incluye comprender todas las rutas de ataque posibles según la topología de la red real, las relaciones de acceso y la configuración del sistema. También incluye profundizar en la causa raíz de una infracción, ayudando a los analistas a identificar los puntos más probables de compromiso y los caminos tomados por los atacantes. Las actividades de respuesta son más precisas cuando se basan en inteligencia de exposición. Los equipos SOC pueden implementar respuestas quirúrgicas para abordar exposiciones específicas que se están explotando en lugar de medidas de contención amplias que pueden interrumpir las operaciones comerciales. La fase de remediación va más allá de la respuesta inmediata al incidente y llega a la reducción sistemática de la exposición, generando automáticamente tickets que abordan no solo el incidente en cuestión, sino también las condiciones subyacentes que lo permitieron. Una vez que se completan las actividades de remediación, el mismo proceso de prueba utilizado para descubrir brechas de seguridad se puede utilizar para verificar que los cambios implementados realmente funcionan y reducen el riesgo.
La gestión de exposición continua está integrada en los flujos de trabajo de SecOps, por lo que cada incidente se convierte en una oportunidad de aprendizaje para fortalecer las capacidades futuras de detección y respuesta. Comprender qué exposiciones condujeron a ataques exitosos durante las pruebas de validación y formación de equipos rojos puede ayudarlo a refinar e implementar controles compensatorios o ajustar las reglas de detección para detectar actividades similares en una etapa más temprana de la cadena de ataques.
El futuro de las operaciones SOC
El futuro de las operaciones SOC no radica en procesar más alertas con mayor rapidez, sino en desarrollar capacidades enfocadas contra las amenazas más importantes y al mismo tiempo prevenir situaciones que generen alertas innecesarias. El control continuo de la exposición proporciona conciencia ambiental que convierte las herramientas de seguridad comunes en instrumentos de precisión.
En una era en la que los actores de amenazas se vuelven cada vez más sofisticados y persistentes, los SOC necesitan todas las ventajas que puedan obtener. La capacidad de dar forma proactiva al campo de batalla, eliminar la exposición, ajustar la detección y desarrollar capacidades personalizadas basadas en las realidades del entorno puede marcar la diferencia entre adelantarse a las amenazas y mantenerse siempre al día.
Nota: Este artículo fue escrito y contribuido por Ryan Blanchard, actualmente director de marketing de productos de XM Cyber. Comenzó su carrera analizando los mercados de servicios profesionales y de TI y las estrategias de GTM, y ahora ayuda a traducir los beneficios de la tecnología compleja en historias que conectan la innovación, los negocios y las personas.
Source link
