Los proveedores de seguridad gestionada son el Dorado de los fabricantes de ciberseguridad que caminan hacia la ciberseguridad gestionada. Una figura que aporta no solo una propuesta de protección empresarial sino además una oferta de servicios añadidos que permiten prevenir, mitigar y resolver posibles ataques. Y esto último es vital para las organizaciones y para el ciclo de venta y fidelización de las soluciones.
Sin embargo, la ciberseguridad gestionada requiere de un conjunto de habilidades, experiencia y recursos que no están al alcance de todos. Los proveedores más avanzados suele reunir todas estas capacidades en un Centro de Operaciones de Seguridad o SOC desde donde centralizan todas las acciones para sus clientes que cada vez demandan más servicios. En este sentido, ThreatQuotient ha querido resaltar algunos de los pasos obligados para conseguir que la ciberseguridad gestionada sea óptima.
Una plataforma de Inteligencia ante Amenazas (Cyber Threat Intelligence, CTI) permite adoptar un enfoque proactivo, e incluso anticipatorio, de las operaciones de seguridad al perfilar no solo el ataque, sino a los atacantes que cambian rápidamente sus herramientas, técnicas y procedimientos (TTP) para evadir los sistemas de defensa. Gracias a los flujos de trabajo basados en la inteligencia, los operadores de seguridad pueden utilizar estos conocimientos sobre los adversarios y su evolución para enriquecer la vigilancia interna, centrándose en las amenazas relevantes y de alta prioridad y minimizando las alertas que son solo ruido o son falsos positivos. Los equipos de seguridad pueden reforzar las defensas enviando automáticamente información relevante sobre las amenazas directamente a la red de sensores, a los registros y a los sistemas de tickets, para proteger proactivamente a la organización de futuras amenazas. En esta configuración, los equipos de SecOps del cliente pueden crear políticas de detección en tiempo real y colaborar activamente con el MSSP/MDR para realizar una gestión de crisis cuando aparezca una nueva amenaza masiva.
Las operaciones de seguridad suelen constar de cuatro funciones principales: el equipo de defensa, la gestión de riesgos, el Centro de Operaciones de Seguridad para la detección y el equipo de respuesta a incidentes.
Con una plataforma CTI, se puede aprovechar la inteligencia sobre amenazas en todas estas funciones para comprender mejor a los adversarios y sus tácticas, técnicas y procedimientos, de modo que pueda reforzar las defensas, mitigar el riesgo y acelerar la detección y la respuesta de forma homogénea y eficiente.
A medida que las herramientas y los equipos de cada una de estas cuatro áreas recopilan datos, aprendizajes y observaciones adicionales sobre las amenazas, pueden introducir esa información en su plataforma de inteligencia ante amenazas para crear una memoria organizativa. La inteligencia se reevalúa automáticamente y se vuelve a priorizar en función de esta nueva información, de modo que la práctica de la CTI sigue mejorando al aprovechar información fiable y oportuna que ayuda a acelerar las acciones correctas y permite la orquestación basada en datos sobre amenazas reales en todas las herramientas de SecOps.
Cuando se introduce una práctica CTI en el núcleo de las operaciones de seguridad, cada función debe adaptarse para trabajar con una plataforma de inteligencia ante amenazas con el fin de beneficiarse de la colaboración y la comunicación. Algunos proveedores de servicios pueden acelerar el proceso porque ofrecen una capacidad CTI como parte de su práctica. Para otros, hay que trabajar un poco más en sus procesos y acuerdos de nivel de servicio para garantizar el éxito de la incorporación de una plataforma de inteligencia ante amenazas. En cualquier caso, las modificaciones son más sencillas y rápidas cuando se inician en el momento del contrato. De lo contrario, se corre el riesgo de perder todo el valor que estas prácticas pueden aportar a su negocio.
Si se trabaja con una oferta de práctica CTI, se puede proporcionar una plataforma de inteligencia ante amenazas para el entorno y, con el tiempo, transferir las habilidades para ejecutar la práctica. Si se decide que el proveedor de servicios sea el gestor, la memoria de amenazas será nuestra y permanece en su sitio para reutilizarla y seguir mejorando la prevención, el bloqueo y el análisis global. Este es el modelo de implementación que más se ha visto implementado en el último año, pero los proveedores de servicios siguen trabajando junto con los equipos de SecOps de sus clientes para optimizar el camino a seguir.
En cambio, si el MSSP/MDR no tiene una oferta de práctica de CTI (poco probable hoy en día), se hace necesario buscar una plataforma de inteligencia ante amenazas que aproveche un modelo de datos flexible y admita estándares abiertos de intercambio de inteligencia para garantizar una conectividad y comunicación eficientes y eficaces. El objetivo es estar preparado para la práctica de CTI, aunque no se esté listo para activar el programa de inmediato.