Cómo puede tu organización prevenir las violaciones de datos

0
408

This post is also available in: Inglés Francés Alemán Italiano Portugués, Brasil Ruso

Comencemos con una verdad que no siempre es obvia: la filtración de datos no es un problema de detección. Los sistemas de seguridad modernos detectan mucho. En realidad, detectan demasiado; según la firma de seguridad de TI Bricata: el centro de operaciones de seguridad (SOC) promedio recibe más de 10.000 alertas cada día de una variedad de productos de monitoreo y detección. Por lo que, claramente, la detección insuficiente no es el problema.

El problema está en otra parte: no en la detección, sino en la correlación.

La detección es fácil; pero ¿qué viene después?

La detección, en su forma más simple, es una alerta. Un usuario realiza una actividad y se genera un registro. Los sistemas de seguridad en la nube modernos están diseñados para detectar este registro. Un SOC promedio puede generar entre 5000 y 40.000 alertas al día (incluso más en las redes grandes).

El problema con la detección, sin embargo, es que mirar cada alerta no te dice casi nada. Casi todos los registros pueden ser legítimos o ilegítimos, según el contexto en el que se creen.

Considera las siguientes actividades; ¿podrías decir cuál es una actividad legítima?

  • Un administrador del sistema inicia sesión desde una ubicación inusual. ¿Es porque está trabajando en algo urgente de sus vacaciones o porque piratas informáticos en Europa del Este le han robado sus credenciales?
  • Un usuario accede a la red fuera del horario comercial. ¿Es porque tiene una emergencia en el trabajo o es un pirata informático que intenta pasar desapercibido?
  • Un ingeniero de DevOps invoca una llamada a una API que nunca antes había utilizado por primera vez. ¿Está lanzando una nueva versión del producto o es un pirata informático que intenta una expansión lateral dentro de su red?
  • Un administrador de base de datos está accediendo a un depósito de almacenamiento basado en la nube y exportando todos los datos de este. ¿Es parte de su trabajo o alguien acaba de robar toda su base de datos de usuarios?

El hecho es que mirar una sola alerta, por sí sola, no puede revelar la intención detrás de ella.

[También puede interesarte: Defensa contra Vulnerabilidades en la Nube: ¿Es Demasiado Tarde?]

Los atacantes vuelan por debajo del alcance del radar

En nuestra propia experiencia analizando violaciones de datos, aprendimos que, en la mayoría de los casos, las actividades maliciosas se identificaron a tiempo, pero pasaron desapercibidas.

Por qué sucede esto:

  • Sobrecarga de registros: los gerentes de seguridad están tan inundados de alertas que no tienen tiempo para analizar a todas. Como resultado, los eventos importantes se pierden en el ruido.
  • Alertas de bajo riesgo: muchas actividades que componen una violación de datos no son de alto riesgo, alto impacto, sino acciones mundanas con un bajo riesgo asignado. Como resultado, se suelen pasar por alto.
  • Falta de contexto: mirar cada actividad independientemente de otras actividades no revela su intención.
  • Extensión a lo largo del tiempo: los incidentes de violación de datos pueden tardar semanas y, a veces meses, en desarrollarse. Todos los días, llega un gran volumen de registros, lo que hace que sea imposible recordar otra alerta de varias semanas atrás y asociarla con otras actividades individuales.

Como resultado de estas realidades en la gestión de seguridad diaria, cualquier medio de analizar de manera manual las alertas y ponerlas en contexto para identificar una actividad maliciosa está condenado al fracaso.

Une image contenant texte, rideau, corbeille

Description générée automatiquement

La detección es importante, pero la correlación es crucial

La clave, por lo tanto, ya no está en la detección, sino en la correlación.

La correlación es el proceso de tomar eventos independientes, aparentemente no relacionados entre sí, y correlacionarlos en las superficies de amenazas, los recursos y los marcos de tiempo.

Piensa en la lista de ejemplos de actividades que mencionamos anteriormente  Por sí solo, cada evento carecía de sentido; no pudimos discernir la intención detrás de cada uno.

Pero considera la siguiente cadena de eventos:

  1. Un usuario se conecta desde una ubicación remota en un momento inusual fuera del horario comercial.
  2. Unos días después, el mismo usuario invoca por primera vez una llamada a la API para enumerar todos los privilegios de usuario.
  3. Durante algunas semanas, el usuario realiza una serie de conexiones a varios depósitos de almacenamiento que contienen información confidencial.
  4. El usuario descarga datos de un depósito de almacenamiento a una ubicación fuera de la red.

Mirar todo esto en una cadena vinculada de eventos se ve diferente a solo analizar cada uno de manera individual. Por eso, la correlación es tan importante: te permite identificar una violación de datos en su totalidad, no solo los eventos individuales que forman parte de ella.

La correlación es un componente de importancia crítica en la ciberseguridad y puede marcar la diferencia entre detener una violación a tiempo o leer sobre ella en las noticias.

[¿Te gusta esta publicación? Subscríbete ahora para recibir el contenido más reciente de Radware en tu bandeja de entrada todas las semanas, además de acceso exclusivo al contenido Premium de Radware].

Dejar respuesta

Please enter your comment!
Please enter your name here