Las organizaciones enfrentan constantes amenazas de vulnerabilidades (las famosas CVE) que requieren se adopte una gestión continua de amenazas impulsada por tecnologías de modelos de IA para mitigar eficazmente estas amenazas. Veamos cómo. La gestión continua de amenazas, integrada con modelos de IA, combina las siguientes tecnologías para brindar mayor protección a las organizaciones de los CVE:
Inteligencia de amenazas: Analizar grandes cantidades de datos de diversas fuentes, incluidas bases de datos de vulnerabilidades y plataformas de inteligencia de amenazas. Esto permite que las organizaciones obtengan información en tiempo real y completa sobre las últimas CVE, manteniéndose un paso adelante de las posibles amenazas. Pruebas de penetración automatizadas: Simular escenarios de ataque sofisticados y realizar pruebas de penetración automatizadas. Al imitar las tácticas de los verdaderos atacantes cibernéticos, estas tecnologías ayudan a identificar vulnerabilidades y evaluar su impacto potencial, permitiendo que las organizaciones prioricen los esfuerzos de remedio de manera efectiva. Parcheo automático de software: Identificar e implementar parches de seguridad para las CVE conocidas. Al analizar configuraciones del sistema, dependencias y niveles de riesgo, las tecnologías de modelos de IA pueden determinar la secuencia y el momento óptimos para implementar los parches, reduciendo el riesgo de explotación. Aprendizaje automático supervisado y no supervisado: Supervisado es en base a reglas de detección, por ejemplo, firmas de malware o procesos maliciosos. No supervisado es en base a detección de comportamientos anómalos de parte de endpoints y personas. Analizar el tráfico de red, endpoints y otras tecnologías de TI/Operativas, además el comportamientos de usuarios para detectar signos de explotación de las CVE. Al aplicar un análisis de comportamiento avanzado, estos sistemas pueden identificar actividades y patrones anómalos, permitiendo una respuesta rápida a posibles amenazas. ¡Gracias por leernos! IT JETS & Co.
0 Comentarios
Gartner ha lanzado su Guía de Mercado oficial sobre XDR (Detección y Respuesta Extendida), arrojando luz sobre esta tecnología que ha sido tema de debate. La guía enfatiza las características clave que debe tener una solución XDR. Destaca la necesidad de integrar inteligencia de amenazas y datos de telemetría de diversas fuentes, junto con análisis de seguridad, para contextualizar y correlacionar las alertas de seguridad. También se identifican los sensores nativos como imprescindibles para los XDR. Además, un XDR efectivo debe ofrecer un valor que supere las capacidades de las herramientas de seguridad existentes. La guía aborda el debate en curso sobre las soluciones XDR "abiertas" versus "cerradas". Gartner recomienda un enfoque abierto que permita a las organizaciones integrar su conjunto de seguridad actual e incorporar fácilmente nuevas tecnologías en el futuro, sin quedar atrapadas en el ecosistema de un solo proveedor. Estamos increíblemente orgullosos de que Gartner haya incluido el producto de nuestro business partner Stellar Cyber, Open XDR, en su lista de productos representativos. En la guía, Gartner hace referencia a la importancia de las integraciones, la automatización y la consolidación. Primero, los XDR deben integrarse con lo que estás utilizando actualmente y lo que podrías usar en el futuro. Asegúrate de que los productos XDR que estés considerando incluyan numerosas integraciones y la capacidad de agregar nuevas.
Segundo, los XDR deben hacer que la automatización sea sencilla y requiera una intervención humana mínima o nula. Stellar Cyber Open XDR ofrece múltiples formas de automatización, desde la normalización automática de datos de todas las fuentes en un repositorio de datos hasta cómo se utiliza la inteligencia artificial para correlacionar alertas de seguridad y comportamiento del usuario para identificar amenazas críticas, además de respuestas automatizadas que los usuarios pueden crear para gestionar completamente el ciclo de vida de las amenazas. Finalmente, Gartner afirma que uno de los motivos para adoptar un XDR es consolidar un conjunto de seguridad, especialmente para equipos de seguridad más pequeños que pueden verse abrumados por el cuidado y el mantenimiento de una arquitectura de seguridad voluminosa. Por ejemplo, según el 2022 Gartner CISO Security Vendor Consolidation XDR and SASE Trends Survey, la integración de productos de seguridad de red enfocados en la detección y respuesta de intrusiones, como la detección y respuesta de red (NDR), fue el componente de seguridad más solicitado para integrar en una solución XDR, por encima de cargas de trabajo en la nube, seguridad de datos y seguridad de endpoints. Abordando la Fatiga de Alertas en Ciberseguridad: Estrategias para una Gestión Efectiva de Amenazas3/3/2024 La fatiga de alertas, también conocida como fatiga de notificaciones o de alarmas, plantea un desafío significativo para los líderes de TI y ciberseguridad. A menudo, los profesionales de ciberseguridad se sienten abrumados por el alto volumen de alertas de seguridad generadas por diversas herramientas y sistemas, lo que conduce al agotamiento, una reducción en la efectividad y el riesgo de pasar por alto amenazas críticas. En este artículo, exploraremos las causas de la fatiga de alertas en ciberseguridad y discutiremos estrategias comprobadas para mitigar su impacto. La fatiga de alertas en ciberseguridad puede atribuirse a diversos factores, como el alto volumen de alertas, falsos positivos, herramientas y procesos obsoletos, alertas complejas y falta de priorización. Estos factores contribuyen a la naturaleza abrumadora de las alertas y dificultan que los analistas de seguridad identifiquen y respondan a las amenazas genuinas de manera oportuna. Para combatir la fatiga de alertas, los equipos de ciberseguridad pueden implementar varias estrategias. Estas incluyen:
1. Implementar automatización: Las herramientas de automatización pueden realizar pruebas de penetración automatizadas y proporcionar alertas relevantes a los equipos de seguridad, reduciendo el ruido asociado con los falsos positivos. 2. Priorizar las alertas según el riesgo: Categorizar las alertas según su impacto potencial permite que los equipos de seguridad se enfoquen en las alertas de alto riesgo y aborden las alertas de menor prioridad posteriormente. 3. Medir y monitorear el progreso: Evaluar de manera continua las estrategias de reducción de fatiga y analizar los datos garantiza su efectividad y ayuda a tomar decisiones informadas. 4. Ajustar los sistemas de alerta: Modificar los umbrales y parámetros de las alertas minimiza los falsos positivos y garantiza la recepción de alertas relevantes. 5. Establecer protocolos de respuesta a incidentes: Definir procedimientos de respuesta a incidentes permite respuestas más rápidas y efectivas ante situaciones de seguridad. 6. Invertir en capacitación y desarrollo de habilidades: La formación continua mantiene a los equipos de ciberseguridad actualizados sobre las últimas amenazas y técnicas de mitigación. 7. Fomentar la colaboración entre equipos: Promover la colaboración entre los equipos de TI, seguridad y gestión empresarial mejora la efectividad de las medidas de seguridad y reduce el número de alertas generadas. 8. Aprovechar la inteligencia de amenazas: Mantenerse informado sobre las últimas inteligencias de amenazas ayuda a centrarse en amenazas relevantes y reduce el tiempo dedicado a alertas que no representan una amenaza. Si bien la lucha contra la fatiga de alertas continúa, la implementación de estas estrategias puede ayudar a los equipos de ciberseguridad a gestionar de manera efectiva el abrumador volumen de alertas. Al priorizar amenazas críticas, aprovechar la automatización y fomentar la colaboración, las organizaciones pueden protegerse mejor contra violaciones de seguridad y la pérdida de datos sensibles. Además, invertir en capacitación y desarrollo de habilidades garantiza que los profesionales de ciberseguridad se mantengan al día con las amenazas en constante evolución. Al encontrar un equilibrio entre la gestión de alertas y el bienestar de los profesionales de ciberseguridad, las organizaciones pueden fortalecer su postura de seguridad y salvaguardar sus activos valiosos. Hay muchas tecnologías que ayudan con la implementación de un programa de validación continua contra amenazas (CTEM, por sus siglas en inglés) que tienen el poder comprobado de aliviar la carga de su equipo de seguridad. Una de estas tecnologías pertenece a nuestro business partner Ridge Security Technologies, quienes ofrecen a RidgeBot. Con RidgeBot, el equipo dedicará pocas horas a la semana a la gestión de la herramienta que cubrirá un aproximado 80% de las tareas repetivas de la minería de vulnerabilidades y pruebas de penetración. Es importante se tengan personas con un nivel alto-avanzado en el equipo de ciberseguridad principalmente para la interpretación de los resultados y pasos de remediación de los hallazgos encontrados. Sin embargo, no es necesario tener una alta especialidad en la instalación y entrenamiento del uso de RidgeBot. RidgeBot no te brindará una larga lista de resultados porque validará con su base de datos las vulnerabilidades basadas en riesgo y el mismo RidgeBot hará ataques iterativos (pruebas de penetración) sobre vulnerabilidades a ver si son explotables.
RidgeBot no interrumpirá las operaciones porque al ser operado por el equipo de ciberseguridad, ellos saben en qué horas y con cuales controles de riesgo correr a los IPs y sitios web específicos. CTEM con RidgeBot es una validación continua y no es diferente a otras tareas de TI rutinarias. Por último, el equipo podrá correr ilimitadas tareas a las mismas IPs y sitios web durante el año para confirmar que las acciones de remediación fueron correctamente aplicadas. Igualmente, si la organización ya cuenta con un escáner de vulnerabilidades, alimente a RidgeBot con ellas para que él valide si son explotables o no. El tiempo es dinero en un SOC moderno, desafortunadamente, ambos suelen ser escasos. RidgeBot está diseñado para maximizar tus recursos limitados, no para quitarte más. Esta pequeña inversión de tiempo dará grandes dividendos cuando tu equipo sepa qué vulnerabilidades parchear primero, cuáles tienen el mayor impacto y cuáles dejar atrás. En un escenario donde los equipos ya están agotados, es importante que cada esfuerzo cuente. |
Categorías
Todo
¡Recibe las invitaciones para nuestros eventos y últimas noticias! |