Blog B-SECURE

Cada vez es más difícil recopilar millones de datos que generan los dispositivos sensibles a una dirección IP y más aún, cuando la tarea principal es el análisis y detección temprana de amenazas.

Aquí es donde encontramos herramientas muy potentes como el SIEM (Security Information and Event Management).

Pero, ¿qué características debe tener un SIEM que aporte a la estrategia de seguridad de una organización?
Un SIEM basa su funcionalidad en toda la información generada por los dispositivos de red, teniendo la capacidad de detectar rápidamente, responder y neutralizar las amenazas informáticas y cuyo objetivo principal es dar una mayor visibilidad a los incidentes de seguridad.

Su integración con otras tecnologías como SOAR (Security Orchestration Automation and Response), una herramienta de workflow muy sofisticada con reglas de detección automática que permiten responder a los incidentes de forma más inteligente y rápida y, por tanto, fortalecer la línea de defensa- y UEBA (User and Entity Behavior Analytics), muy útil para el rastreo de detección de patrones de comportamiento de usuarios, que ayuda a detectar posibles atacantes, -hace de SIEM una herramienta robusta para la gestión de eventos e incidentes de seguridad.

[TAMBIÉN LE PUEDE INTERESAR VER: ¿Qué es SOAR? - Características e importancia dentro de la estrategia de seguridad]

¿Qué hace de SIEM una tecnología indispensable?

Dentro de las características de un SIEM, se encuentran la capacidad de gestionar y recolectar la información de forma centralizada, analizar, normalizar, correlacionar y alertar, la cual permite la monitorización en tiempo real de eventos, con notificaciones e información de seguridad, que permite conocer en tiempo real si existe un ataque o está sucediendo algo inusual.

Adicionalmente, utilizando tecnologías de Big Data e inteligencia artificial, permite tener control, agilidad, velocidad y ante todo, la capacidad de predicción para enfrentar nuevos retos a los que estamos expuestos.

La compleja situación a la que nos ha llevado la propagación del COVID-19  ha hecho centrar nuestra atención en otros frentes de nuestra vida cotidiana. Aun así, es de vital importancia para las organizaciones seguir protegiendo la información en la nube. Dadas las medidas establecidas por el gobierno respecto a la realización de una cuarentena de 3 semanas, que probablemente se extenderá, las organizaciones han tenido que replantear las formas de trabajo y operación, hecho que nos invita a preguntamos:  ¿estamos preparados para afrontar todos los riesgos del teletrabajo? y ¿cómo vamos a proteger los datos, las aplicaciones y la infraestructura que estarán expuestos en la nube?

ALGUNOS RIESGOS ASOCIADOS A LOS AMBIENTES EN NUBE

• Accesos no autorizados: no contar con un cifrado de datos permite el acceso a personal no autorizado.
  
  
• Suplantación de identidad: para un atacante es muy sencillo poder obtener las credenciales de acceso de los usuarios, mediante técnicas como ataques de fuerza bruta o por un descuido del mismo.
  
  
• Protección inadecuada de las credenciales: según el reporte de Cloud Security Alliance "Top Threats to Cloud Computing The Egregious 11", este riesgo se genera por falencias como:
  - Falta de sistemas escalables de gestión de identidades, credenciales y acceso
  - Falta de uso de la autenticación multifactorial
  - No usar contraseñas fuertes
  
  
• Amenazas internas / Accesos privilegiados: empleados insatisfechos con privilegios elevados pueden poner en riesgo las organizaciones, ya que pueden eliminar la información o bloquear el acceso a otros usuarios.
  
  
• Fuga de información: mediante una ataque de ingeniería social o un malware, un atacante puede conseguir que los usuarios entreguen información confidencial.

En la medida en que las empresas se esfuerzan por aprovechar la tecnología para potencializar su negocio, enfrentan grandes retos para mantener segura su información. El universo cambiante de amenazas, la adopción de nuevas tecnologías y regulaciones hacen aún más compleja esta tarea, obligando a definir estrategias de ciberseguridad que estén en constante evolución y sobre todo que se adapten a la cultura y requerimientos del negocio.

La gestión continua de vulnerabilidades es un tipo de servicio que cada vez cobra más relevancia en las organizaciones, la cual de acuerdo con buenas prácticas pasa por un ciclo de vida desde que el error se encuentra, se identifica y se genera; hasta que es completamente eliminado y controlado.

En nuestro anterior blog “Zero Trust: redefiniendo la estrategia de ciberseguridad” pusimos sobre la mesa algunas buenas prácticas usadas para definir la estrategia de ciberseguridad a nivel organizacional, destacando el modelo Zero Trust, el cual propone eliminar la idea de una red confiable dentro de un entorno corporativo y que las empresas creen microperímetros de control alrededor de sus datos y activos sensibles, obteniendo así visibilidad sobre el uso de estos. Sin embargo, la adopción de este modelo requiere de tiempo, recursos y esfuerzos significativos, lo cual demanda que se planee y analice cuidadosamente su desarrollo, definiendo metas a partir de las necesidades organizacionales y su arquitectura actual.

Para nadie es un secreto que las amenazas internas se están convirtiendo en la mayor preocupación para las organizaciones, por el impacto que generan. De acuerdo con el informe de amenazas internas de 2018 emitido por Cybersecurity Insiders, el 90% de las organizaciones se sienten vulnerables a un ataque interno, los factores de riesgo identificados son los usuarios con privilegios excesivos y uso de diferentes tipos de dispositivos para acceder a la información sensible.

Las vulnerabilidades cada año crecen de forma exponencial, según Ponemon Institute, se estima que cada 90 minutos una nueva vulnerabilidad es detectada. Ese panorama no es alentador para las organizaciones, pues amplía dramáticamente el espectro de acción necesario para el control del riesgo cibernético en sus activos de información, además ese riesgo trasciende el impacto técnico de seguridad y obliga a contemplar los impactos operativos y de usabilidad de las aplicaciones del negocio.