Cómo reducir el tiempo de detección y reacción ante amenazas

La mayoría de los equipos de seguridad tienen dificultades para acometer contrataciones y muchas veces no disponen de las capacidades necesarias a corto plazo, aunque saben que deben aumentar el rendimiento de los recursos existentes y automatizar tareas. Desde ThreatQuotient estiman cinco paso para reducir el tiempo de detección y reacción ante amenazas.

Reducción de los silos de datos

Los equipos de seguridad llevan mucho tiempo sufriendo el problema del big data. Muchas herramientas que generan muchos datos, pero la mayoría de las veces no los recogen en un solo lugar. Al analizar un incidente, los equipos suelen tener dificultades para acceder rápidamente a los datos adecuados. Una base de datos central de amenazas o "Biblioteca de Amenazas", en la que se recoge y almacena automáticamente toda la información sobre amenazas procedente de fuentes internas y externas (Threat Data Feeds), permite acceder rápidamente a todos los datos necesarios.

Enriquecimiento de los datos con el contexto

El contexto es especialmente importante para el "triaje de alertas", es decir, el examen de la criticidad de una alerta. Una dirección IP clasificada como maliciosa es un gran reto para un analista sin más información. Las TIP ayudan a enriquecer automáticamente los datos con el contexto. La nocividad de la dirección IP se confirma o se niega, los falsos positivos se detectan mucho más rápido.

Priorización de los datos ante amenazas

Los datos enriquecidos con contexto pueden ser priorizados. Un sistema de puntuación destaca los datos críticos para su negocio, reduce el ruido y ayuda a los analistas y a los encargados de responder a los incidentes a centrarse en las amenazas relevantes.

Sugerencias de soluciones

Además del análisis de un incidente, la decisión de qué medidas tomar es una de las tareas más difíciles. Esto suele requerir conocimientos profundos y experiencia, de los que a menudo no se dispone. Las TIPs ayudan a los responsables de incidentes a tomar la acción correcta sugiriendo soluciones, que se importan, por ejemplo, utilizando datos del Marco MITRE ATT&CK.

Colaboración

Una de las medidas más importantes para aumentar la eficacia y la eficiencia de los equipos de seguridad es mejorar la cooperación. Las personas tienen tareas diferentes y necesitan datos distintos. Además, a menudo ocurre que se necesitan varias personas al mismo tiempo para analizar un incidente. Es esencial que todas las personas implicadas puedan obtener rápidamente una visión general y acceder a datos comunes. Las modernas TIP y las plataformas de operaciones de seguridad pueden servir de base para la colaboración, visualizando los datos y mostrando las dependencias de forma gráfica. Una sala de operaciones virtual sirve aquí como lugar central para tomar decisiones conjuntas.