De acuerdo con el informe de Enterprise Strategy Group, Detección de Entradas de Ataques y Respuesta a Incidentes, encargado por Intel Security, se muestra que los profesionales de seguridad se enfrentan a múltiples incidentes de seguridad, con un promedio de 78 casos por organización en el último año, con el 28% de los incidentes relacionados a ataques dirigidos -una de las formas más peligrosas y potencialmente perjudiciales de los ataques cibernéticos-. De acuerdo con los profesionales de TI y de seguridad que fueron encuestados, las mejores herramientas de detección y análisis, sumadas a entrenamientos para hacer frente a los problemas de respuesta a incidentes, son las mejores prácticas para la eficiencia y la eficacia del personal de seguridad de la información.
Casi el 80% de los encuestados creen que la falta de integración y comunicación entre herramientas de seguridad crea saturación e interfiere con su capacidad para detectar y responder a las amenazas de seguridad. En tiempo real, la visibilidad integral es especialmente importante para la respuesta rápida a los ataques dirigidos, y el 37% de los encuestados considera importante dirigirse hacia una integración más estrecha entre la inteligencia y la seguridad de herramientas de negocios de TI. Algunas de las principales tareas que consumen mucho tiempo, tienen que ver con el alcance y la adopción de medidas para minimizar el impacto de un ataque, las cuales pueden acelerar mediante la integración de herramientas. Estas respuestas sugieren que las arquitecturas depatchwork comunes en productos de seguridad individuales, crean numerosos silos de herramientas, consolas, procesos e informes que ocasionan pérdida de tiempo al usarlas. Estas arquitecturas están creando volúmenes de datos cada vez más importantes que perjudican indicadores pertinentes de ataque.
Los profesionales encuestados afirman que la visibilidad de la seguridad en tiempo real sufre de una comprensión limitada del comportamiento del usuario y de la red, las aplicaciones y el comportamiento de los host. Mientras que los cuatro primeros tipos de datos obtenidos son relacionados con la red, el 30% obtienen datos de la actividad del usuario, está claro que la captura de datos no es suficiente. Los usuarios necesitan más ayuda para contextualizar los datos para entender qué comportamiento es preocupante. Esta brecha puede explicar por qué casi la mitad (el 47 %) de las organizaciones dijo que fue particularmente lento determinar el impacto o el alcance de un incidente de seguridad.
Los usuarios entienden que necesitan ayuda para evolucionar desde la simple recopilación de volúmenes de eventos de seguridad y datos de inteligencia de amenazas, para hacer más sentido efectivo a los datos y su uso para detectar y evaluar los incidentes. El 58% dijo que necesitan mejores herramientas de detección, (tales como herramientas de análisis estático y dinámico con inteligencia basada en la nube para analizar archivos de intención). El 53% dice que necesitan mejores herramientas de análisis para convertir los datos de seguridad en inteligencia práctica. Un tercio (el 33 %) pidió mejores herramientas para los valores estándares de comportamiento del sistema para detectar más ágilmente las variaciones.
Las personas que participaron de la encuesta admitieron la falta de conocimiento del panorama de las amenazas y de las habilidades de investigación de la seguridad, lo que sugiere que incluso una mejor visibilidad a través de las capacidades de integración o análisis técnicos, será insuficiente si los equipos de respuesta a incidentes no pueden dar sentido a la información que ven. Por ejemplo, sólo el 45% de los encuestados se consideran muy bien informados acerca de las técnicas de camuflaje de malware, y el 40% pidieron más capacitación para mejorar los conocimientos y habilidades de la seguridad cibernética.
El volumen de las investigaciones, los recursos y habilidades limitados, contribuyen a un fuerte deseo entre los encuestados para ayudar a detectar incidentes y dar respuesta. El 42% informó que llevar a cabo medidas para minimizar el impacto de un ataque fue una de sus más elementales tareas, sin embargo, consumen mucho tiempo. Al 27% le gustaría un mejor análisis automatizado de herramientas de inteligencia de seguridad para acelerar la comprensión en tiempo real; mientras que el 15% necesita la automatización de los procesos para liberar personal y asignarlo a tareas más importantes.
La ESG cree que hay una historia oculta dentro de la investigación de Intel Security que alude a las mejores prácticas y lecciones aprendidas. Estos datos sugieren fuertemente que los CISOs:
· Creen una arquitectura de tecnología de seguridad de la empresa estrechamente integrada: Los CISOs deben reemplazar las herramientas de seguridad individuales por una arquitectura de seguridad integrada. Esta estrategia trabaja para mejorar el intercambio de información de ataques y visibilidad de toda la empresa en el usuario, en endpoint y en el comportamiento de la red, para lograr respuestas coordinadas más efectivas.
· Anclen su estrategia de seguridad cibernética con análisis sólidos, pasando de volumen a precio: Las estrategias de seguridad cibernéticas deben basarse en sólidos análisis de seguridad. Esto significa recoger, procesar y analizar cantidades masivas internas de datos (registros, flujos, paquetes, forensia en endpoint, análisis de malware estático/dinámico, inteligencia organizacional (el comportamiento del usuario, el comportamiento empresarial, etc.)) y datos externos (la información sobre amenazas, las notificaciones de vulnerabilidad, etc.).
· Automaticen la detección y respuesta a incidentes siempre que sea posible: Porque las organizaciones siempre tendrán que luchar para mantenerse al día con las técnicas de ataque más recientes, los CISOs deben comprometerse a una mayor automatización, tales como análisis avanzados de malware, algoritmos inteligentes, aprendizaje automático, y la adquisición de información sobre amenazas para comparar el comportamiento interno con los incidentes de compromiso (IoCs) y las tácticas, técnicas y procedimientos (TTPs) utilizados por los ciber-adversarios
· Comprometan una educación continua de ciber seguridad: Los CISOs deben exigir la educación continua para sus equipos de seguridad, incluyendo una serie anual de cursos que provean a los profesionales mayor profundidad en la comprensión de las amenazas y las mejores prácticas para una respuesta a incidentes eficiente y eficaz.
Para ver el informe completo de Intel Security, visite: http://www.mcafee.com/us/resources/reports/rp-esg-tackling-attack-detection-incident-response.pdf
Metodología de la Encuesta
Intel Security encuestó a 700 TI y profesionales de la seguridad (500 a 999 empleados) y de la empresa (más de 1.000 empleados) organizaciones ubicadas en Asia, Norteamérica, EMEA y América del Sur. Los encuestados procedían de numerosas industrias con las mayores poblaciones encuestadas procedentes de tecnología de la información (el 19 por ciento), la fabricación y materiales (el 13 por ciento), y los servicios financieros (el 9 por ciento).
0 comentarios :
Publicar un comentario
Ayúdanos a conocerte mejor. Exprésate, no importa si eres fan, trol o quimera