domingo, septiembre 24, 2023
DirectorTIC
  • INICIO
  • ENTREVISTAS
  • DEBATES
    • Gestión del dato 2023
    • Centro de datos 2023
    • Educacion 2023
    • Seguridad en la nube 2023
    • Puesto de trabajo 2023
    • Horeca 2023
    • Retail 2022
    • Endpoint 2022
    • Aplicaciones 2022
    • Hiperconvergencia 2022
  • GUÍAS
    • Guía de ciberseguridad 2023
    • Guía de ciberseguridad 2022
    • Guía de ciberseguridad 2021
    • Guía de la transformación digital 2021
  • ENTORNO TIC
  • NOTICIAS
  • REPORTAJES
  • CIO
    • Talleres del CIO
    • Consejos para el CIO
    • Videos
  • FORO TAI
  • SUSCRIPCIONES
  • VMWARE
No Result
View All Result
DirectorTIC
  • INICIO
  • ENTREVISTAS
  • DEBATES
    • Gestión del dato 2023
    • Centro de datos 2023
    • Educacion 2023
    • Seguridad en la nube 2023
    • Puesto de trabajo 2023
    • Horeca 2023
    • Retail 2022
    • Endpoint 2022
    • Aplicaciones 2022
    • Hiperconvergencia 2022
  • GUÍAS
    • Guía de ciberseguridad 2023
    • Guía de ciberseguridad 2022
    • Guía de ciberseguridad 2021
    • Guía de la transformación digital 2021
  • ENTORNO TIC
  • NOTICIAS
  • REPORTAJES
  • CIO
    • Talleres del CIO
    • Consejos para el CIO
    • Videos
  • FORO TAI
  • SUSCRIPCIONES
  • VMWARE
No Result
View All Result
DirectorTIC
No Result
View All Result
Inicio Noticias

El ruido y el valor: lo que un programa de inteligencia sobre amenazas debería compartir con la buena publicidad

Inma ElizaldePor: Inma Elizalde
8 septiembre, 2022
inteligencia de amenazas-directortic-taieditorial-España
0
VIEWS
Compartir en TwitterCompartir en Linkedin

Al igual que el mundo real, el virtual puede ser extremadamente ruidoso, con miles de anuncios que compiten por nuestra atención en el transcurso de un solo día. Por supuesto, lo que para una persona puede ser ruido publicitario para otra puede ser la respuesta a una pregunta que ha estado buscando desesperadamente. Dave Winer, desarrollador de software y pionero de los blogs, se pronunció sobre este punto hace más de quince años: «La publicidad perfectamente orientada es solo información». Así, reduce o destila el ruido hasta convertirlo en información, que es bien recibida por el receptor.

Pero, ¿qué tiene que ver esto con un programa de inteligencia sobre amenazas? Todo. Hoy día no hay ninguna organización que esté satisfecha con la cantidad de ruido procedente de sus tecnologías de visibilidad, especialmente las que conforman el espacio de gestión de eventos e información de seguridad (SIEM). El «ruido» en este contexto, que con frecuencia se presenta como falsos positivos, se ve exacerbado por reglas de correlación que o bien se construyeron de forma errónea o ya no existen en absoluto. También entran en juego otros parámetros ejecutados en el entorno de producción, que si bien tuvieron sentido hace años, hoy ya no son relevantes en el seguimiento y en la lucha contra los adversarios actuales; una infraestructura de monitorización que se ajustó una sola vez en el inicio, pero nunca se actualizó; y una mala comprensión interna de la criticidad relativa de los sistemas que están siendo monitorizados.

Por ello, cuanto más ruido exista en un entorno, más difícil será para el centro de operaciones de seguridad (SOC) y para las personas de gran talento que trabajan ahí el encontrar esa aguja en el pajar. En un espacio ruidoso, todo ese conjunto de datos puede parecer exclusivamente un pajar o, lo que es más peligroso, un montón de agujas, en el que cada punto de datos recogido podría representar una amenaza que hay que investigar y trabajar. Esta no es una receta para el éxito.

Ben Smith Field CTONetWitness_-directortic-taieditorial-España
Ben Smith. CTO en NetWitness_

Fuentes de inteligencia

Las fuentes de inteligencia sobre amenazas, especialmente las de origen externo, tienden a multiplicar ese problema de ruido. Sin embargo, las organizaciones invierten en estas fuentes de datos con la esperanza de, a través de ellas (o el socio que gestiona sus capacidades de detección y respuesta a las amenazas), unir esos datos externos con los internos que ya están recogiendo.

Entonces, ¿cuáles son algunos de los indicadores de éxito de las organizaciones que han descubierto cómo separar la inteligencia de amenazas del ruido, y han convertido esos datos brutos en la información, el conocimiento y la sabiduría que el SOC necesita para tomar las decisiones correctas en el menor tiempo posible? La inteligencia de amenazas:

  • Debe ser accesible. El cruce de los datos en bruto (inteligencia de amenazas) con otra información del entorno es lo que genera el contexto para ayudar al equipo humano a eliminar el ruido. Al pensar en la mejor manera de incorporar esos datos a los flujos de trabajo existentes, no hay que pasar por alto cómo será (o debería ser) la experiencia al final de ese proceso, cuando llegue el momento de que una persona haga algo con esa información.
  • Debe adaptarse a un entorno operativo en concreto. Ningún ambiente es idéntico a otro. Descubrir ese contexto adicional, enriqueciendo los datos recogidos sobre el propio entorno, es el camino más corto para demostrar el valor operativo de la inteligencia sobre amenazas. Adaptar una fuente de inteligencia sobre amenazas a partir de datos internos suele considerarse más sencillo que hacerlo a partir de una fuente externa, pero a veces es exactamente lo contrario. La adaptación no es un ejercicio de ajuste puntual: a medida que el entorno operativo cambie, la superficie de ataque crezca y los adversarios desplieguen nuevos exploits, debe producirse una adaptación continua.
  • Debe ser procesable. Si una alerta no requiere una actuación inmediata, ¿es necesario que exista esa alerta? Lo mismo ocurre con la inteligencia sobre amenazas. ¿Se está midiendo realmente el impacto positivo de la inteligencia sobre amenazas en las capacidades de detección y respuesta a las mismas? Solo hay que pensar en métricas como el porcentaje de hallazgos atribuibles a la inteligencia sobre amenazas, o el número de tácticas, técnicas y procedimientos (TTP) originados por la inteligencia sobre amenazas que se añadieron al flujo de trabajo SOC existente, o el número de incidentes en los que la inteligencia sobre amenazas influyó directamente en la gravedad del incidente.

Combinar eficazmente la inteligencia sobre amenazas con la infraestructura de monitorización es el camino para obtener todo el valor en una inversión en inteligencia sobre amenazas. Para ello hay que comenzar con la tecnología que es fundamental para el éxito de cualquier capacidad de detección y respuesta ampliada (XDR): la detección y respuesta de red (NDR). Las funcionalidades de NDR son superiores en comparación con otros métodos de captura: mejora la detección de amenazas y la respuesta a incidentes, apoya la caza de amenazas y puede ampliar su modelo de visibilidad desde el tráfico de dentro hacia fuera («norte-sur») para incluir también el tráfico interno de centro de datos a centro de datos («este-oeste»).

Una vez construidos los cimientos de NDR, se avanzará hacia otros componentes clave de la infraestructura de XDR: la gestión de incidentes y eventos de seguridad (SIEM) centrada en los registros de log, y la detección y respuesta de puntos finales (EDR) suelen ser los siguientes niveles que se integran con una capacidad de inteligencia de amenazas. También, es posible ampliar la visibilidad de los comportamientos potencialmente peligrosos con el análisis del comportamiento de usuarios y entidades (UEBA). Y quizás lo más importante al pensar en cómo integrar la inteligencia sobre amenazas en los flujos de trabajo, es saber que las implementaciones exitosas de seguridad, orquestación y respuesta (SOAR) tienen en su núcleo una capacidad de plataforma de inteligencia sobre amenazas (TIP).

La caja de herramientas de tecnologías de visibilidad existentes puede y debe aprovechar la inteligencia sobre amenazas como un multiplicador de fuerza para el equipo de operaciones de seguridad: permite que la información recopilada sobre un entorno sea más inteligente y valiosa.

Volvamos a Dave Winer con una última reflexión: «Si está perfectamente dirigida, no es publicidad, es información. La información es bienvenida, la publicidad es ofensiva. ¿Quién quiere pagar por crear una información que se va a descartar?” En el caso de un consumidor de inteligencia sobre amenazas: ¿quién querría pagar por una información sobre amenazas si la mayor parte de ella va a ser ignorada?

Ben Smith

CTO en NetWitness

DESTACADO

Zona VMware

30 noviembre, 2022

Tecnología en libertad con VMware. Hablar de VMware es hablar de una de las multinacionales tecnológicas de mayor crecimiento y...

Leer más
Hub

ViewFinity, aportando un mayor valor al segmento corporate

14 septiembre, 2023

Productividad. Esa es la clave para cualquier empresa del siglo XXI que quiera posicionarse en el mercado. Sin embargo, según...

Leer más
Hub

Samsung: educación tecnológica inclusiva, segura y de calidad

14 septiembre, 2023

Mientras la transformación digital del sector de la educación sigue su curso son, todavía, muchas las necesidades que hay que...

Leer más
Cegid Ekon - Director TIC - TAI Editorial - España
Entorno TIC

Cegid Ekon, experiencia y equipo multidisciplinar para migrar a un ERP en cloud

6 septiembre, 2023

“El ERP es la herramienta en torno a la que las organizaciones toman las decisiones para mejorar y optimizar sus...

Leer más

Zona Huawei

30 noviembre, 2022

Huawei: simplificando la tecnología. Conoce, de manera sencilla, el valor que la tecnología de Huawei aporta a tu organización y...

Leer más
Huawei Cloud presenta su estrategia para impulsar la digitalización de las empresas españolas en la primera edición de su Huawei Cloud Summit Spain
Destacado

Huawei Cloud presenta su estrategia para impulsar la digitalización de las empresas españolas en la primera edición de su Huawei Cloud Summit Spain

14 septiembre, 2023

El primer Huawei Cloud Summit Spain, que se celebró en Madrid bajo el lema “New Changer, New Rocker”, reunió a...

Leer más
Liferay DXP o cómo fidelizar al sector turístico
Talleres del CIO

Liferay DXP o cómo fidelizar al sector turístico

5 septiembre, 2023

Hablar de turismo en España es hablar de un mercado que exige una mayor digitalización con el fin de adaptarse...

Leer más
AnyDesk: descubra la mayor simplicidad en las aplicaciones de acceso remoto
Entorno TIC

AnyDesk: descubra la mayor simplicidad en las aplicaciones de acceso remoto

5 septiembre, 2023

Las aplicaciones de acceso remoto se han vuelto imprescindibles en la transformación digital de las empresas. AnyDesk es un ejemplo...

Leer más
Talleres del CIO

Schneider Electric: jugador fundamental para la transformación digital del sector industrial

7 septiembre, 2023

El agua es un elemento imprescindible para la supervivencia del ser humano en pleno cambio climático. Gestionarla en un momento...

Leer más
Destacado

ThousandEyes o cómo las organizaciones pueden obtener visibilidad end-to-end

6 julio, 2023

Muchos han sido los cambios experimentados por las organizaciones en los últimos tiempos. En un mundo empresarial dominado por el...

Leer más
Fintonic -Director TIC - Ingram Micro - Entelgy - Caso de Exito - Tai Editorial - España
Videos

Los servicios de Entelgy Innotec Security, respaldados por Ingram Micro, permiten a Fintonic blindar su infraestructura en la nube de AWS

2 junio, 2023

Fintonic necesitaba contar con un equipo experto para un nivel 1 de monitorización y, a la vez, un partner que...

Leer más
El reinado del dato en los entornos híbridos
Sin categoría

El reinado del dato en los entornos híbridos

27 abril, 2023

El dato es el rey en la nueva era de la economía digital. Su gestión y protección se tornan críticas...

Leer más
Siguiente noticia
APC by Schneider Electric en el edge-directortic-taieditorial-España

El valor diferenciador de APC by Schneider Electric en el edge

SOBRE NOSOTROS

DirectorTic es una publicación de T.a.i. Editorial con información de valor para la toma de decisiones del C-Level de mediana y gran empresa

Contáctanos: correo@taieditorial.es

SÍGUENOS EN:

T.a.i. Editorial S.A. ®, marca registrada 2023 | Aviso Legal | Política de Privacidad | Política de Cookies | Anúnciese aquí

No Result
View All Result
  • INICIO
  • ENTREVISTAS
  • DEBATES
    • Gestión del dato 2023
    • Centro de datos 2023
    • Educacion 2023
    • Seguridad en la nube 2023
    • Puesto de trabajo 2023
    • Horeca 2023
    • Retail 2022
    • Endpoint 2022
    • Aplicaciones 2022
    • Hiperconvergencia 2022
  • GUÍAS
    • Guía de ciberseguridad 2023
    • Guía de ciberseguridad 2022
    • Guía de ciberseguridad 2021
    • Guía de la transformación digital 2021
  • ENTORNO TIC
  • NOTICIAS
  • REPORTAJES
  • CIO
    • Talleres del CIO
    • Consejos para el CIO
    • Videos
  • FORO TAI
  • SUSCRIPCIONES
  • VMWARE

T.a.i. Editorial S.A. ®, marca registrada 2023 | Aviso Legal | Política de Privacidad | Política de Cookies | Anúnciese aquí