Los centros de operaciones de seguridad (SOC) de hoy están desbordados. Los analistas gestionan miles de alertas todos los días y dedican mucho tiempo a buscar falsos positivos y a ajustar las reglas de detección de forma reactiva. Los SOC suelen carecer del contexto ambiental y de la información pertinente sobre amenazas necesaria para verificar rápidamente qué alertas son realmente maliciosas. Como resultado, los analistas dedican demasiado tiempo a clasificar manualmente las alertas, la mayoría de las cuales se clasifican como benignas.
Abordar la causa principal de estos puntos ciegos y la fatiga de alerta no es tan sencillo como implementar herramientas más precisas. Muchas de estas herramientas tradicionales son muy precisas, pero su defecto fatal es la falta de contexto y un enfoque limitado: no se centran en el bosque en lugar de los árboles. Mientras tanto, los atacantes sofisticados se aprovechan de las exposiciones invisibles para las herramientas reactivas tradicionales y, a menudo, eluden la detección kits de bypass ampliamente disponibles .
Si bien todas estas herramientas son eficaces por derecho propio, a menudo fallan debido a la realidad de que los atacantes no emplean una sola técnica de ataque, no explotan solo un tipo de exposición ni utilizan un solo CVE como arma cuando penetran en un entorno. En lugar de ello, los atacantes se encadenan exposiciones múltiples, utilizando CVE conocidos cuando sea útil y empleando técnicas de evasión para moverse lateralmente por un entorno y lograr los objetivos deseados. De forma individual, las herramientas de seguridad tradicionales pueden detectar una o más de estas exposiciones o IOC, pero sin el contexto derivado de un programa de gestión continua de la exposición profundamente integrado, puede resultar casi imposible para los equipos de seguridad correlacionar eficazmente las señales que de otro modo parecerían desconectadas.
Beneficios de SecOps en cada etapa del ciclo de vida de la ciberseguridad
Las plataformas de gestión de la exposición pueden ayudar a transformar las operaciones del SOC al integrar la inteligencia de exposición directamente en los flujos de trabajo de los analistas existentes. Por supuesto, disponer de visibilidad de la superficie de ataque y de información sobre las exposiciones interconectadas aporta un enorme valor, pero eso es solo un rasguño superficial. Esto no debería sorprendernos, dada la importante superposición entre los modelos de alto nivel que cada equipo utiliza, aunque a menudo en paralelo, en lugar de trabajar en conjunto.
Para profundizar en el tema, incluyo a continuación una comparación entre un flujo de trabajo SOC típico y el ciclo de vida de CTEM:
| Ciclo de vida típico de SOC | Cómo ayuda la gestión integrada de la exposición | Ciclo de vida CTEM |
|---|---|---|
|
Supervisar
Mantenga una visibilidad continua de toda la superficie de ataque y priorice los activos críticos que son más importantes para la empresa y que es más probable que los atacantes los persigan. |
Visibilidad compartida de la superficie de ataque
La integración con las herramientas de CMDB y SOC crea una vista unificada de la superficie de ataque y los activos críticos, alineando a los equipos de seguridad y TI en lo que más importa. |
Alcance
Describa el alcance del programa de gestión de la exposición, identifique los activos críticos que más importan a la empresa y mantenga una visibilidad continua en toda la superficie de ataque. |
|
Detectar
Identifique las actividades sospechosas y maliciosas en toda la superficie de ataque, idealmente antes de obtener acceso o de que los sistemas y datos críticos se vean comprometidos. |
Contextualice las alertas de amenazas
Cuando se producen las detecciones, los analistas ven al instante la postura de riesgo del activo y si las actividades sospechosas se alinean con las rutas de ataque conocidas, lo que convierte las alertas genéricas en investigaciones específicas. |
Descubre
Descubra las exposiciones en toda la superficie de ataque, incluidas las rutas de ataque, las vulnerabilidades, los errores de configuración, los problemas de identidad y permisos, etc. |
|
Triaje
Valide las alertas de seguridad y correlacione los registros de eventos para identificar los verdaderos incidentes de seguridad y las actividades malintencionadas frente a las actividades anómalas benignas. |
Mejore la precisión de la disposición
Tome decisiones mejor informadas con el contexto empresarial y de activos para filtrar el ruido de las alertas de seguridad y, al mismo tiempo, reducir el riesgo de falsos negativos. |
Priorizar
Priorice las exposiciones descubiertas en función de la inteligencia de amenazas, el entorno y el contexto empresarial para centrar las operaciones de remediación en el riesgo más impactante e inminente. |
|
Investiga
Profundice en la inteligencia de amenazas, los registros de eventos y otros hallazgos para determinar el radio de la explosión, la causa raíz y el impacto de un incidente de seguridad. |
Visualice cadenas de ataque complejas
Transforme los hallazgos abstractos de riesgo en escenarios de posibles ataques validados. Los analistas pueden visualizar cómo los actores de amenazas encadenarían exposiciones específicas, identificando los puntos críticos de estrangulamiento. |
Validar
Confirme que las exposiciones descubiertas están realmente presentes, que los actores de amenazas pueden acceder a ellas y que, de hecho, pueden aprovecharse en función de la disponibilidad de los parches y los controles compensatorios. |
|
Responder
Tome medidas para minimizar el impacto de las brechas y eliminar la amenaza en el entorno. |
Respuesta a incidentes específicos
La comprensión de las rutas explotables permite una contención y una remediación precisas, abordando rápidamente las exposiciones específicas sin un aislamiento excesivo disruptivo ni un impacto empresarial. |
Movilizar
Impulse la corrección eficiente y eficaz de las exposiciones impulsando la alineación interfuncional, automatizando los flujos de trabajo de notificación y emisión de tickets y, cuando sea posible, implementando mitigaciones de seguridad y automatizando los flujos de trabajo de aplicación de parches. |
Esta alineación natural entre los flujos de trabajo de alto nivel de los equipos proactivos y reactivos permite ver fácilmente dónde la inteligencia sobre amenazas específicas y superficies de ataque derivada de las plataformas de gestión de la exposición puede ser útil para los equipos de SOC antes y durante la investigación de una amenaza.
La magia realmente comienza cuando los equipos integran sus plataformas de gestión de la exposición con herramientas EDR, SIEM y SOAR para ofrecer inteligencia contextual sobre amenazas con precisión cuando y donde los analistas de SOC más la necesitan. Esto permite a los equipos correlacionar automáticamente las exposiciones descubiertas con técnicas específicas de MITRE ATT&CK, lo que crea información sobre amenazas procesable que es inmediatamente relevante para la superficie de ataque única de cada organización.
En el caso de las exposiciones que no se pueden corregir de inmediato, los equipos pueden aprovechar esta información para informar sobre las actividades de ingeniería de detección y búsqueda de amenazas. Esto crea un circuito de retroalimentación continuo en el que la inteligencia de exposición informa sobre las actualizaciones de detección, mejora la clasificación y la investigación de las alertas y respalda la respuesta automatizada y la corrección priorizada.
Una inmersión más profunda en los flujos de trabajo de SOC enriquecidos con inteligencia de exposición
Las herramientas de detección tradicionales generan alertas basadas en firmas y patrones de comportamiento, pero carecen de contexto ambiental. La gestión continua de la exposición transforma esta situación al proporcionar un contexto en tiempo real sobre los sistemas, las configuraciones y las vulnerabilidades implicadas en cada alerta.
- Cuando se activa una detección, los analistas del SOC comprenden de inmediato qué exposiciones existen en el sistema afectado, qué técnicas de ataque son viables dada la configuración actual, cuál es el radio potencial de la explosión y cómo encaja esta alerta en las rutas de ataque conocidas.
- La clasificación de alertas se vuelve mucho más eficiente cuando los analistas pueden evaluar al instante el verdadero potencial de riesgo de cada alerta. En lugar de realizar una clasificación basada en puntuaciones de gravedad genéricas, la gestión de la exposición proporciona un contexto de riesgo específico para el entorno.
- Durante la investigación, la gestión continua de la exposición proporciona a los analistas un análisis detallado de la trayectoria de ataque que muestra exactamente cómo un adversario podría aprovechar la alerta actual como parte de una campaña más amplia. Esto incluye comprender todas las rutas de ataque viables en función de la topología real de la red, las relaciones de acceso y las configuraciones del sistema.
- También incluye investigar la causa principal de una brecha, lo que ayuda a los analistas a determinar los puntos y rutas de violación más probables que tomaría un atacante.
- Las actividades de respuesta se vuelven más precisas cuando se guían por la inteligencia de exposición. En lugar de adoptar medidas de contención amplias que podrían perturbar las operaciones empresariales, los equipos del SOC pueden implementar respuestas quirúrgicas que aborden las exposiciones específicas de las que se están aprovechando.
- La fase de remediación va más allá de la respuesta inmediata a un incidente y pasa a la reducción sistemática de la exposición, generando automáticamente tickets que abordan no solo el incidente inmediato, sino también las condiciones subyacentes que lo hicieron posible. A medida que se completan las actividades de corrección, los mismos procesos de prueba que se utilizan para descubrir las brechas de seguridad se pueden utilizar para validar que los cambios implementados realmente funcionaron y que el riesgo se redujo.
Con la gestión continua de la exposición integrada en el flujo de trabajo de SecOps, cada incidente se convierte en una oportunidad de aprendizaje que fortalece las capacidades futuras de detección y respuesta. Entender las exposiciones que dieron lugar a ataques exitosos durante las pruebas de validación y formación de equipos en red ayuda a perfeccionar e implementar los controles compensatorios o a ajustar las reglas de detección para detectar actividades similares en una fase más temprana de la cadena de ataque.
El futuro de las operaciones de SOC
El futuro de las operaciones de SOC no radica en procesar más alertas con mayor rapidez, sino en prevenir las condiciones que generan alertas innecesarias y, al mismo tiempo, desarrollar capacidades centradas en el láser contra las amenazas más importantes. La gestión continua de la exposición proporciona la conciencia medioambiental que transforma las herramientas de seguridad genéricas en instrumentos de precisión.
En una era en la que los actores de amenazas son cada vez más sofisticados y persistentes, los SOC necesitan todas las ventajas posibles. La capacidad de configurar el campo de batalla de forma proactiva, eliminar la exposición, ajustar las detecciones y desarrollar capacidades personalizadas basadas en la realidad ambiental puede marcar la diferencia entre anticiparse a las amenazas y ponerse al día constantemente.
Nota: Este artículo fue escrito y contribuido por Ryan Blanchard, actualmente director de marketing de productos en XM Cyber. Comenzó su carrera analizando los mercados de TI y servicios profesionales y las estrategias de GTM, y ahora ayuda a traducir los complejos beneficios de la tecnología en historias que conectan la innovación, los negocios y las personas.