Maximice la eficiencia de su Centro de operaciones de seguridad con la Orquestación Inteligente ante Respuesta de Incidentes de Seguridad.
Son las 5:48 a.m. – solo 48 minutos después de su turno de 12 horas en el centro de operaciones de seguridad (SOC), y ya ha investigado tres amenazas. Estabas preparado para un turno largo, pero como un analista del equipo nocturno acaba de renunciar, ahora también estás cubriendo su turno. ¿Cómo se supone que alguien se mantenga alerta en medio de un monótono trabajo de 24 horas en el SOC? Cuando comenzó, trató de hablar con su jefe sobre cómo el software de orquestación de respuesta a incidentes y otras herramientas podrían funcionar de manera más eficiente. Hoy, solo estás tratando de sobrevivir. Es difícil no sentirse completamente adormecido cuando está enterrado en cientos de alertas que posiblemente no pueda revisar.
Procesos manuales reactivos en el SOC con poco personal
El analista de seguridad promedio investiga 20-25 incidentes cada día. Al analista promedio le toma de 13 a 18 minutos comparar los indicadores de compromiso (IoC) con los registros, las fuentes de inteligencia de amenazas y la inteligencia externa, y la investigación manual puede producir tasas de falsos positivos del 70 por ciento o más. Para empeorar las cosas, los analistas de seguridad luchan contra un mayor volumen de alertas complejas, el SOC se enfrenta a una crisis de talento: el sesenta y seis por ciento de los profesionales de la ciberseguridad creen que hay muy pocos analistas calificados para manejar el volumen de alertas en el SOC. De acuerdo con el «Costo de un estudio de violación de datos de 2018 del Instituto Ponemon», el costo promedio de una infracción es de $ 3.86 millones, un aumento del 6.4 por ciento con respecto a 2017. El veintisiete por ciento de los SOC reciben más de 1 millón de alertas por día, y la respuesta más común al cansancio de las alertas es modificar las políticas para obtener menos alertas. La orquestación y la automatización pueden liberar a los analistas abrumados en el SOC y mejorar significativamente la resistencia cibernética en toda la empresa. En efecto, la investigación ha demostrado que la orquestación de SOC puede triplicar el volumen de respuesta a incidentes y reducir significativamente el tiempo de respuesta. «Si bien los costos de la violación de datos han aumentado constantemente, vemos signos positivos de ahorro de costos mediante el uso de tecnologías más nuevas, así como una planificación adecuada para la respuesta a incidentes, que puede reducir significativamente estos costos», dijo el Dr. Larry Ponemon. La automatización reduce el costo promedio de una violación de datos en $ 1.55 millones. Para construir una empresa ciber-resiliente, los líderes de seguridad necesitan soluciones inteligentes para la orquestación, la automatización, el aprendizaje automático y la inteligencia artificial (AI).
¿Cuáles son los atributos de la respuesta inteligente a incidentes?
Según el estudio de Ponemon, las empresas pueden ahorrar un promedio de $ 1 millón al contener una brecha de datos en menos de 30 días. Sin embargo, el tiempo promedio de contención es de 69 días. Los líderes de seguridad deben considerar los riesgos de no adoptar soluciones para una respuesta inteligente y proactiva, incluidas las violaciones de datos más costosas causadas por una respuesta reactiva y tiempos de contención más prolongados. El SOC se enfrenta a un mayor volumen de amenazas más sofisticadas, y hay una gran escasez de talento en materia de ciberseguridad. El enfoque correcto para la respuesta inteligente, por lo tanto, abarca soluciones para lo siguiente:
1.Organización y automatización: un ecosistema integrado y optimizado puede permitir a las organizaciones crear planes dinámicos de respuesta a incidentes (IR) y automatizar la remediación.
2.Inteligencia humana y artificial: operacionalice la inteligencia humana, aproveche la inteligencia avanzada de amenazas y colabore con expertos.
3.Administración de casos: establezca sistemas para la mejora continua del plan de IR mientras desarrolla una comprensión clara de las cargas de trabajo y las habilidades internas. Veamos más de cerca cómo funciona la inteligencia en la organización de respuesta a incidentes en la práctica y cómo puede ayudar a los líderes de seguridad a liberar a sus analistas con exceso de trabajo para tareas más urgentes.
Tres casos de uso para la orquestación inteligente de respuesta a incidentes
Un ecosistema completo de soluciones de seguridad puede permitir a la empresa prepararse para amenazas cibernéticas sofisticadas, responder proactivamente a los riesgos y aplicar las lecciones aprendidas para crear salvaguardas futuras. La orquestación inteligente crea eficiencia y precisión antes de un ataque, durante un incidente y después de la remediación.
1. Antes de un ataque
La mitad de los encuestados en una encuesta reciente creen que es algo o muy probable que su organización tenga que responder a un incidente importante el próximo año, mientras que el 9 por ciento respondieron «sin duda». El momento adecuado para abordar los desafíos del SOC, como el aumento del volumen de amenazas altamente específicas y demasiadas soluciones de un solo propósito, es antes de que ocurra un ataque. El primer paso para crear una empresa ciber-resiliente implica adoptar una plataforma avanzada de respuesta a incidentes para crear flujos de trabajo automatizados e inteligentes que abarquen personas, procesos y tecnología. Esta solución se puede mejorar con una solución de gestión de eventos e información de seguridad (SIEM) para ofrecer análisis de incidentes completos y visibilidad de amenazas emergentes. La contratación de consultores de operaciones de seguridad puede ayudar a las organizaciones a complementar su talento interno. Mientras tanto, colaborar con expertos externos en IR puede ayudar a las empresas a implementar capacitación efectiva y preparación estratégica.
2. Durante un ataque
Los minutos cuentan cuando la empresa se enfrenta a una amenaza sofisticada y dirigida. La plataforma de respuesta a incidentes (IRP) puede actuar como una solución centralizada para la solución integral de la respuesta. Cuando se combinan con la inteligencia cognitiva, las organizaciones pueden investigar amenazas rápidamente sin abrumar a su personal de SOC. Cuando se detecta un incidente crítico, el SOC puede llamar a expertos en IR a pedido para recibir asistencia para administrar y remediar el incidente. El IRP genera un playboook de respuesta, que se actualiza dinámicamente a medida que las soluciones de inteligencia de amenazas brindan un análisis de los incidentes y las soluciones de análisis de puntos finales brindan detalles de la infección en el sitio y reportes automatizados al equipo legal. Usando soluciones para inteligencia de amenazas, análisis forense y otras soluciones, los analistas de IR pueden investigar las tácticas utilizadas por los atacantes para identificar la fuente del incidente. Al seguir las instrucciones del playbook, los analistas de SOC pueden coordinarse con TI en las acciones de remediación, como el restablecimiento de contraseñas globales y la segregación de cuentas privilegiadas.
3. Despues de un ataque
Hay pocos ataques de ciberseguridad realmente aleatorios. En los últimos 18 meses, el 56 por ciento de las organizaciones que fueron víctimas de un ataque significativo fueron atacados nuevamente en el mismo período. Cuando un ataque está totalmente remediado, los analistas de seguridad pueden preparar informes eficientes sobre el incidente utilizando datos de las soluciones de inteligencia de seguridad, herramientas de investigación forense e información de los investigadores de respuesta. Esta investigación se puede presentar directamente al equipo de liderazgo ejecutivo para comunicar el estado del incidente, las acciones tomadas y las lecciones aprendidas. Al colaborar con expertos de respuesta de terceros y consultores de servicios de seguridad, el equipo de SOC puede trabajar para refinar las políticas formales de respuesta a incidentes y mejorar los controles de seguridad. A medida que se reanudan las operaciones de SOC, los analistas pueden mejorar la preparación con un entrenamiento de respuesta personalizado.
¿Por qué importa la organización de respuesta a incidentes?
Al proteger a la empresa con soluciones para automatizar y orquestar la respuesta a incidentes, los líderes de seguridad pueden presentar el beneficio de la resiliencia cibernética a la organización. Según Forrester, “Los productos tecnológicos que proporcionan una acción automatizada, coordinada y basada en políticas de procesos de seguridad a través de múltiples tecnologías, hacen que las operaciones de seguridad sean más rápidas, menos propensas a errores y más eficientes”. Agregando las soluciones correctas para orquestación, cognitiva la inteligencia y la administración de casos pueden aliviar la carga del SOC al tiempo que reducen los riesgos de ciberseguridad.
Fuente: https://securityintelligence.com/maximize-your-security-operations-center-efficiency-with-incident-response-orchestration/