Operaciones de seguridad
Las operaciones de seguridad mantienen y restauran las garantías de seguridad del sistema como ataques de los adversarios en directo. Las tareas de operaciones de seguridad están muy bien descritas por las funciones del Marco de ciberseguridad de NIST para la detección, la respuesta y la recuperación.
Detección: las operaciones de seguridad deben detectar la presencia de adversarios en el sistema, que pretenden permanecer ocultos en la mayoría de los casos, ya que esto les permite conseguir sus objetivos sin impedimentos. Estos ejemplos incluyen la reacción ante una alerta de actividad sospechosa o la búsqueda proactiva de eventos anómalos en los registros de actividades de la empresa.
Respuesta: si se detectan posibles acciones o campañas de adversarios, las operaciones de seguridad deben investigarlas rápidamente para identificar si se trata de un ataque real (verdadero positivo) o una falsa alarma (falso positivo) y, a continuación, mostrar el ámbito y el objetivo de la operación del adversario.
Recuperación: el objetivo final de las operaciones de seguridad es conservar o restaurar las garantías de seguridad (confidencialidad, integridad y disponibilidad) de los servicios empresariales durante un ataque y después de este.
Los riesgos de seguridad más importantes a los que se enfrentan las organizaciones proceden de operadores de ataque humanos (con distintos niveles de aptitud). Esto se debe a que el riesgo de ataques automatizados o repetidos se ha mitigado significativamente para la mayoría de las organizaciones mediante enfoques basados en firma y aprendizaje automático integrados en el antimalware (aunque hay excepciones importantes, como Wannacrypt y NotPetya, que se movieron más rápido que estas defensas).
Aunque los operadores de ataque humano son difíciles de afrontar debido a su adaptabilidad (frente a la lógica automatizada o repetida), funcionan con la misma "velocidad humana" que los defensores, lo que permite equilibrar la situación.
Las operaciones de seguridad (también denominadas Centro de operaciones de seguridad [SOC]) tienen un papel fundamental en la limitación del tiempo y el acceso que puede conseguir un atacante a sistemas y datos valiosos. Cada minuto que un atacante tiene en el entorno le permite seguir realizando operaciones de ataque y acceder a sistemas confidenciales y valiosos.
Objetivo y métricas
Las métricas que mida tendrán un efecto significativo en los comportamientos y los resultados de las operaciones de seguridad. Centrarse en las mediciones adecuadas ayudará a impulsar una mejora continua en las áreas adecuadas que reduzca el riesgo de forma significativa.
Para asegurarse de que las operaciones de seguridad contengan de forma efectiva el acceso de los atacantes, los objetivos deben centrarse en:
reducir el tiempo de confirmación de una alerta a fin de garantizar que no se ignore a los adversarios detectados mientras los defensores dedican tiempo a investigar falsos positivos;
reducir el tiempo de corrección cuando se detecta un adversario a fin de reducir el tiempo de oportunidad de realizar un ataque y llegar a sistemas confidenciales;
priorizar las inversiones de seguridad en sistemas que tienen un valor intrínseco alto (objetivos probables o alto impacto empresarial) y acceso a demasiados sistemas o sistemas confidenciales (cuentas de administrador y usuarios confidenciales);
aumentar el enfoque en la búsqueda proactiva de adversarios a medida que el programa madura y los incidentes reactivos se controlan. Esto se centra en reducir el tiempo que un adversario con mayores aptitudes puede operar en el entorno (por ejemplo, si es lo suficientemente cualificado como para eludir las alertas reactivas).
Para obtener más información sobre cómo el centro de operaciones de seguridad de Microsoft usa estas métricas, consulte https://aka.ms/ITSOC.
Vista empresarial híbrida
Las operaciones de seguridad deben asegurarse de que sus herramientas, procesos y conjuntos de aptitudes de analista faciliten la visibilidad en todo el ámbito de su espacio híbrido.
Los atacantes no restringen sus acciones a un entorno determinado cuando se dirigen a una organización: atacan los recursos de cualquier plataforma con cualquier método disponible. Las organizaciones empresariales que adoptan servicios en la nube, como Azure y AWS, manejan de forma efectiva un conjunto híbrido de recursos locales y en la nube.
Las herramientas y los procesos de las operaciones de seguridad deben diseñarse para ataques en los recursos locales y en la nube, así como para los atacantes que se mueven entre recursos locales y en la nube mediante el uso de la identidad u otros medios. Esta vista general de la empresa permitirá a los equipos de operaciones de seguridad detectar los ataques, responder a ellos y recuperarse rápidamente, lo que reduce el riesgo para la organización.
Aplicación de detecciones y controles nativos
Cuando sea posible, use controles y detecciones de seguridad integrados en la plataforma en la nube antes de crear detecciones personalizadas mediante registros de eventos de la nube.
Las plataformas en la nube evolucionan rápidamente con nuevas características, lo que puede hacer que el mantenimiento de las detecciones suponga un desafío. El proveedor de servicios en la nube es el responsable del mantenimiento de controles nativos que, normalmente, son de alta calidad (baja tasa de falsos positivos).
Dado que muchas organizaciones pueden usar varias plataformas en la nube y necesitan una vista unificada en toda la empresa, debe asegurarse de que estas detecciones y controles nativos alimentan una SIEM centralizada u otra herramienta. No se recomienda intentar sustituir las consultas y las herramientas de análisis de registros generalizadas en lugar de las detecciones y los controles nativos. Estas herramientas pueden ofrecer muchos valores para las actividades de búsqueda proactiva, pero, para conseguir una alerta de alta calidad con estas herramientas, es necesario dedicar un tiempo y unos conocimientos profundos que se podrían invertir mejor en búsquedas y otras actividades.
Para complementar la amplia visibilidad de un SIEM centralizado (como Azure Sentinel, Splunk o QRadar), debe usar las detecciones y los controles nativos, tal como se muestra:
Las organizaciones que usan Azure deben usar Azure Security Center para la generación de alertas en la plataforma Azure.
Las organizaciones deben usar funcionalidades de registro nativas, como Azure Monitor y AWS CloudTrail, para extraer los registros a una vista central.
Las organizaciones que usan Azure deben aprovechar las funcionalidades del grupo de seguridad de red (NSG) para dar visibilidad a las actividades de la red en la plataforma de Azure.
En las prácticas de investigación se deben usar herramientas nativas que cuenten con un profundo conocimiento del tipo de recurso, como una solución de detección y respuesta de puntos de conexión (EDR), herramientas de identidad y Azure Sentinel.
Priorización de la alerta e integración de registros
Asegúrese de que está integrando las alertas de seguridad y registros críticos en SIEM sin introducir un gran volumen de datos de valor reducido.
La introducción de demasiados datos de valor reducido puede aumentar el costo de SIEM, el ruido y los falsos positivos, además de reducir el rendimiento.
Los datos que recopile deben centrarse en la compatibilidad con una o más de estas actividades de operaciones:
Alertas (detecciones a partir de las herramientas existentes o los datos necesarios para generar alertas personalizadas)
Investigación de un incidente (por ejemplo, necesario para las consultas comunes)
Actividades de búsqueda proactiva
La integración de más datos permite enriquecer las alertas con contexto adicional que permita obtener una respuesta y corrección rápidas (filtrar falsos positivos, remitir verdaderos positivos, etc.), pero tenga en cuenta que la recopilación no implica una detección. Si cree que los datos no le ofrecen un valor significativo (por ejemplo, un gran volumen de eventos de denegación de firewall), puede quitar la prioridad de la integración de estos eventos.