Los ciclos de remediación en las operaciones de seguridad (SecOps) son un asunto que concierne a todos los miembros de una organización. Muchos administradores de TI y especialistas en Ciberseguridad implementan de forma cada vez más constante mejores mecanismos para mejorar los tiempos de detección ante alguna anomalía y si bien, los tiempos para mejorar pueden progresar, no necesariamente implica el hecho que los tiempos de remediación sea más eficientes, es decir, existe una discrepancia al interior de los equipos de Ciberseguridad en lo relativo a qué tan rápido pueden dar cuenta de una brecha y qué tan eficientemente pueden resolverla.
Mayor eficiencia, mejores visiones accionables y un mayor enfoque en seguridad proactiva pueden mejorar las operaciones de seguridad de forma efectiva.
Reto 1
Alertas: información vs eficiencia
Una de las metas de los equipos de seguridad de TI al interior de una organización —así como a nivel global al interior de toda la empresa— es hacer más con menos y las preguntas que conciernen a todos al interior de la organización son ¿Estamos protegidos? ¿Qué tan rápido podemos detener amenazas? pues los activos globales son aquellos que están en juego: desde la información manejada al interior sobre la operación del negocio, como aquella de los clientes y usuarios.
Sin embargo, ¿qué tanto se invierte a nivel interno en brindar a los equipos de seguridad las mejores herramientas para hacer de su labor algo más eficiente? En este sentido, es bien sabido que los equipos de TI no quieren una herramienta más que aumente el volumen de alertas, pues se encuentran ya sobrecargados: un 41% de organizaciones reciben más de 10,000 alertas al día en sus herramientas de monitoreo, y sortear entre toda esa información genera, sin duda, ceguera por exceso de datos.
En su búsqueda por implementar más y mejores niveles de protección, las empresas han implementado un sinfín de herramientas, y cada una otorga diferentes alertas que implican distintas cosas. Y si bien, el número total de datos que fluyen ahí es intempestivo, el poder interpretarlos dado su contexto, para entender qué significa cada alarma es un proceso mucho más complejo. Esto se vuelve complejo cuando una misma empresa implementa soluciones de distintas empresas, pues no siempre se correlacionan y orquestan, generando información duplicada o inconsistente entre una y otra solución. Parte de este desafío surge al no poder obtener de forma eficiente las respuestas que necesitas como, por ejemplo, priorizar la respuesta a incidentes a través de la identificación de aquellos activos más expuestos.
Reto 2
La lucha por la visibilidad
La visibilidad es uno de los problemas más comunes y, de entre todo, la visibilidad de la información en los puntos finales es la más compleja de obtener, sobre todo en esquemas laborales donde prepondera el trabajo remoto y las operaciones en la nube. Así, al tratarse de, por ejemplo, infecciones de malware, un analista puede determinar de manera somera cuál es la dimensión de una brecha pero, sin la visibilidad total de los dispositivos que conforman la red, no existe una forma de asegurar realmente que la amenaza está controlada: al atacar, los actores suelen penetrar varios vectores a la vez, depositando payloads que se comportan de forma distinta y que no pueden ser rastreados al mismo lugar. Esto dificulta su detección y, si llegas a detectar alguna de estas brechas, es posible que estén ignorando muchas más.
Cisco AMP for Endpoints: puntos finales seguros, remedios eficientes
Los dos problemas que observamos arriba corresponden a conflictos de eficiencia:
¿cómo poder remediar más rápido, con visibilidad total y atendiendo las alertas que deben ser atendidas? Cisco Secure Endpoint (AMP for Endpoints) tiene la capacidad de realizar análisis profundos a partir de la información recabada y generada por otras herramientas, con el fin de determinar de forma más directa a qué corresponde cada alerta. Cisco Secure Endpoint es un aliado para las operaciones de seguridad, pues la implementación de sus herramientas, con amplios procesos automatizados, búsquedas profundas y granulares en cada punto final, seguridad administrada centralizada, aprendizaje de máquina e inteligencia basada en nube, hace de las SecOps mucho más eficientes y permite hacer más con menos, es decir: es una misma solución robusta diseñada para adaptarse y atender los retos actuales de seguridad.
Defiéndete de amenazas complejas y protege cada punto de acceso a tu red: implementa un servicio de seguridad que esté a la altura de tus necesidades y del valor que mantiene a tu negocio operando.
Comments