Actualización de ciberseguridad

0
0
0

Hola, soy Bob Kalka de IBM Security y me gustaría hablarte hoy sobre un tema fascinante. Y eso es cómo los programas de ciberseguridad se están modernizando. Creo que es obvio señalar que la mayoría de las organizaciones y sus inversiones en TI se están migrando hacia la nube híbrida y aprovechando más la inteligencia artificial, lo que está creando algunas fuerzas esenciales en la industria que están obligando a los equipos de ciberseguridad a modernizarse también. Así que hoy vamos a hablar de lo que está sucediendo exactamente con la modernización cibernética, porque la modernización cibernética está ocurriendo realmente en dos áreas principales en este momento. La primera es cómo se gestiona la amenaza cibernética. Para la mayoría de las organizaciones, eso implica cómo se ejecuta su centro de operaciones de seguridad o SOC. Y la forma en que la mayoría de las organizaciones lo hacen actualmente es bastante sencilla, aunque no es fácil, por supuesto. Es bastante directo en donde todos comienzan … es asegurarse de que pueda detectar las amenazas y luego responder a ellas. Solía decir que tendrías que encontrar las agujas en el montón de paja de lo que parece sospechoso y luego arreglar lo que encuentres. Y un cliente me informó de manera educada que él dijo: «Bueno, en realidad no estás tratando de encontrar agujas en un montón de paja. Estás tratando de encontrar agujas en un montón de agujas porque todo se ve mal». Dije «Touche, absolutamente correcto». Entonces, ¿cómo hacen esto las organizaciones hoy en día? Y esto es solo lo básico, ¿verdad? No es la parte de la modernización. Entonces, la forma en que todos lo hacen hoy en día es comenzar recopilando, normalizando, correlacionando informes y monitoreo de registros. Y así reunimos todos esos datos. Hay muchas fuentes diferentes que se están recopilando aquí, y las cruzamos y normalizamos para ver qué está sucediendo. Ahora bien, los registros son solo el punto de partida, porque, por supuesto, eso solo está mirando lo que ya sucedió en algún lugar allá afuera. Entonces, donde casi todas las organizaciones luego migran también es mirando el análisis en tiempo real de flujo de red. Algunas personas incluso llaman a esto detección y respuesta de red o NDR. Entonces, por ejemplo, si tienes un contratista que normalmente descarga tres documentos confidenciales por semana y de repente tienes un contratista que descarga 300 documentos confidenciales, el análisis de flujo te permite darte cuenta de que está sucediendo en tiempo real. Y luego, la mayoría de las organizaciones también incorporan el análisis del comportamiento del usuario, porque ahí es donde obtienes eso. Luego agregas lo que hacen las personas reales y las identidades específicas. ¿El 95% de nuestros problemas provienen de las acciones de un solo usuario, por ejemplo? Y a medida que se está transformando, básicamente nos adentramos en la nube híbrida. Y esta es la fuente de algunos de los problemas que mencioné anteriormente, y llegaré a eso en un momento. Así que una vez que una organización trabaja en ser capaz de procesar todas estas cosas para encontrar las agujas en el montón de agujas, entonces, por supuesto, queremos saber cómo responder a esas amenazas. Y desafortunadamente, la mayoría de los estudios aún muestran que la gran mayoría de las organizaciones aún no han definido y probado planes de respuesta a incidentes para los eventos importantes de los que se preocupan. Así que voy a escribir el estado predeterminado como un conjunto nulo, ya que fui menor en matemáticas en la universidad y me gustan los símbolos matemáticos. Eso significa que la mayoría de las organizaciones están creando sus planes de respuesta a incidentes después de que suceden las cosas, y no se necesita un psicólogo social para señalar que el peor momento para crear un plan colaborativo es cuando todos están corriendo señalándose mutuamente. La forma de mejorar eso es mostrando más conciencia más allá del equipo cibernético de que la seguridad realmente es responsabilidad de todos, y ahí es donde entra en juego cosas como los rangos cibernéticos. Y luego, no solo definir, sino también automatizar los planes de respuesta a incidentes.

Entonces, eso es cómo funciona hoy la organización típica de gestión de amenazas y lo que buscan hacer es cómo podemos mejorar continuamente cómo hacemos esto. Ok, eso es solo la forma en que existe hoy en día. Sin embargo, cuando una organización se está migrando hacia la nube híbrida y aprovechando más la inteligencia artificial, como dije, hay algunos problemas que están causando que los equipos de ciberseguridad tengan que modernizarse. Y en la gestión de amenazas, el primero de los dos casos de uso que te voy a presentar, hay tres formas en que los equipos de ciberseguridad se están modernizando. El primero se basa en la cruda realidad y es sorprendente que nadie estuviera pensando en esto hasta hace año y medio o dos años. Pero todas nuestras actividades de detección de amenazas son generalmente reactivas, lo que quiero decir con eso es que todas estas diferentes fuentes que vienen a nuestro detector generalmente envían una tecnología de seguridad para realizar análisis de seguridad que responden a señales de cosas que nos están sucediendo en este momento. Entonces, en otras palabras, para ser directos, en realidad no estamos buscando superficies vulnerables hasta que sean atacadas y luego tratamos de descubrir lo que está sucediendo lo más rápido posible. Así que obviamente esto lleva a la pregunta obvia, que es ¿por qué no nos adelantamos y buscamos proactivamente superficies vulnerables y las protegemos antes de que alguien las ataque? Entonces, esa es la primera de las tres tendencias en la modernización cibernética para la gestión de amenazas, y es el hecho de que nos estamos dando cuenta de que necesitamos hacerlo de la forma en que lo hemos estado haciendo, sino que también necesitamos identificar proactivamente la superficie de ataque y luego proteger esas superficies. Por lo tanto, pasamos de ser solo reactivos a ser proactivos, y el término que todos usan hoy en día para esto es el manejo de la superficie de ataque por las razones correctas, ¿verdad? Y luego bloquear y proteger las superficies más atacadas, comenzando por los puntos finales. Y, por supuesto, la mayoría de las organizaciones tendrán algún tipo de herramienta EDR en su lugar hoy en día. Pero lo que estamos descubriendo es que la mayoría de esas herramientas tienen algunos puntos débiles, como el hecho de que el malware se está volviendo más inteligente. Y si ve que está siendo observado, entonces no actuará mientras está siendo observado por la herramienta EDR. Entonces, lo que vemos es la necesidad de un mayor sigilo. Por ejemplo, ejecutar EDR como un hipervisor en lugar del sistema operativo. Y este es uno de muchos, muchos aspectos en los que la inteligencia artificial es un gran plus porque, por ejemplo, muchas herramientas EDR operan esencialmente en base a firmas. Y, por supuesto, el malware está en constante evolución. Y si eres un motor de aprendizaje, entonces puedes detectar nuevas variantes en tiempo real y proteger en vivo, ¿verdad? Entonces, esta capacidad de ser proactivos para encontrar la superficie de ataque y proteger las superficies, no solo los puntos finales, sino también las transacciones, los dispositivos, etc., es la primera de las tres formas en que los equipos de ciberseguridad se están modernizando en la gestión de amenazas. Deben ser proactivos. El segundo modo en que los equipos de ciberseguridad se están modernizando sigue literalmente el camino de lo que los equipos y organizaciones de TI ágiles de desarrollo están haciendo, y eso es construir la ciberseguridad sobre una plataforma abierta. ¿Qué quiero decir con esto? Así que permíteme mostrarte porque esto es realmente impactante. Cuando ves las herramientas típicas de ciberseguridad hoy en día, cada herramienta tiene funcionalidades que, ya sabes, se usan para hacer estas increíbles cosas de protección cibernética, sea lo que sea que tengan que hacer. Y debajo de esa herramienta hay algún tipo de infraestructura incorporada que el proveedor tuvo que construir, ya sabes, como un almacén de datos, etc. Entonces, a medida que creces y te desarrollas y haces más con ella, crece y se desarrolla contigo. Y por lo tanto, los equipos de desarrollo no solo tienen que construir la funcionalidad que te interesa, sino que también tienen que construir y mantener ese código de infraestructura en cada una de las soluciones que utilizas. Entonces, cuando piensas en términos de deuda técnica, la típica organización tiene docenas de herramientas cibernéticas con esa funcionalidad que deseas y esa infraestructura que se debe mejorar y actualizar a medida que crece el uso, etc. Entonces, lo que nos dimos cuenta hace un par de años es que a medida que las organizaciones se mudan a la nube híbrida y se enfocan más, realmente deberíamos estar construyendo nueva funcionalidad cibernética sobre la plataforma abierta de, por supuesto, Docker y Kubernetes. En nuestro caso, comenzamos con Red Hat OpenShift, ya que es una plataforma de Kubernetes de nivel empresarial, y eso nos permite eliminar la necesidad de escribir ese código de infraestructura en cada aplicación y, lo que hace es liberar a los equipos de desarrollo para innovar mucho más rápido y lo que permite a nuestros clientes hacer es que en lugar de agregar más deuda técnica cuando hay una nueva funcionalidad, en lugar de eso simplemente se activa o desactiva. Microservicios, ¿verdad? Aprovechando la plataforma escalable y elástica en la que se basa. Por lo tanto, construir esto sobre una plataforma abierta se ha convertido en una parte absolutamente enorme, no solo de escribir ciberseguridad como microservicios que se ejecutan en Docker y Kubernetes, sino también aprovechar todos los demás estándares abiertos, como Click House para la base de datos elástica escalable debajo de las soluciones. ¿Verdad? Entonces esa es la segunda forma en que los equipos de ciberseguridad se están modernizando, pasar a los microservicios, que son mucho más fáciles de consumir y permiten innovar más rápido. Bueno, eso es el segundo. Así que se está volviendo proactivo y en segundo lugar, pasando a una plataforma abierta. Y luego, la tercera es como la guinda del pastel. Es la gran cosa. Y la gran cosa es que a medida que los equipos de ciberseguridad comienzan a modernizarse al volverse proactivos y construir en una plataforma abierta, entonces hay un beneficio neto medible para nuestros analistas de seguridad. En particular, vemos una aceleración del trabajo de los analistas, lo que significa que los analistas de seguridad pueden hacer las cosas mucho más rápido de lo que solían hacerlo. Y hay dos innovaciones particulares en la industria que hemos ayudado a guiar y que han tenido un impacto dramático. El primero se llama Federación y el segundo es un flujo de trabajo unificado. ¿Qué son estas cosas? Bueno, recuerda lo que dije al principio, hay algunos problemas físicos a medida que te mudas a la nube híbrida. Aquí hay uno de los fundamentales, a medida que tu organización comienza a implementar cargas de trabajo en uno o más proveedores de nube, obviamente comenzarás a generar información relevante para la ciberseguridad en una o más nubes. Y a medida que lo hagas, por supuesto, todos dicen: «Sé qué hacer con esos datos. Voy a ir a la burbuja tecnológica y constantemente extraeré esos datos hacia lo que sea, ya sabes, estoy utilizando para evaluar esas cosas». El problema allí, por supuesto, es doble. En primer lugar, el modelo de negocio de la nube es que te muevas más hacia ella, no que te vayas de ella. Por lo tanto, los proveedores de la nube te cobran una tarifa de salida para sacar esos datos de la nube y llevarlos a tu entorno local. Y luego, dependiendo de la herramienta local que estés utilizando, también tienes que pagar una tarifa de ingreso, ¿verdad?, para ingestar esos datos. Por lo tanto, básicamente, para hacer lo que hemos estado haciendo durante los últimos 20 años en la industria de la ciberseguridad, que es extraer todo a ese lugar único, te estás suscribiendo a un impuesto potencialmente doble que solo va a aumentar, ¿verdad? He oído a los directores financieros decir a los directores de ciberseguridad en el pasado: «No estás pensando claramente. No te voy a dar la aprobación para hacer eso». Y así es como se produce un problema grave en la industria en este momento. Lo que significa la federación es una búsqueda y una investigación federada. Cuando ves un indicador de compromiso, en lugar de tener que extraer esos datos de la nube, en su lugar puedes simplemente consultarlos. No tienes que moverlos y luego hacer una investigación en tiempo real. Por lo tanto, tus investigaciones son más rápidas y eliminas por completo esos impuestos que son básicamente permanentes, la tarifa de salida y de ingreso. Entonces eso es la federación. Eso es un radicalismo que es todo acerca de la modernización de la ciberseguridad. El segundo es el flujo de trabajo unificado. Una de las cosas que descubrimos es que cuando comienzas a hacer investigaciones federadas, en realidad puedes construir un flujo de trabajo desde la detección proactiva hasta la confirmación, la implementación de los planes, y todo eso se puede hacer como un flujo de trabajo unificado. Y como puedes consultar lo que otras herramientas están viendo en lugar de tener que correr y verificar cada herramienta para ver lo que están viendo, y puedes ver todo en una sola consola, entonces tienes un flujo de trabajo unificado y una forma unificada en la que puedes ver lo que todas las herramientas están diciendo. Bien. Entonces, eso es lo primero de las dos principales partes de lo que vamos a compartir sobre la modernización de la ciberseguridad y la gestión de amenazas. Es todo acerca de volverse proactivo acerca de la administración de la superficie de ataque y la protección. En segundo lugar, se trata de pasar a una plataforma abierta. Por lo tanto, obtienes todas las ventajas de innovación e integración, y finalmente, permitir a tus analistas de seguridad acelerar lo que hacen a través de la búsqueda e investigación federada, así como un flujo de trabajo unificado. Eso es lo primero de los dos. Ahora, hablemos de la segunda área principal que está viendo grandes cambios a partir de la modernización cibernética, y eso es la protección de datos. A menudo, nuestras conversaciones con organizaciones cibernéticas se centran en la seguridad de los datos, que siempre es importante, pero generalmente solo es un 20% de la discusión, tal vez 30%. Y hemos visto un gran cambio en parte debido a la creciente regulación y a muchas historias de guerra existentes sobre la violación de datos en la nube híbrida, etc. Así que la protección de datos también estamos viendo un cambio masivo porque a medida que las organizaciones se mudan a la nube híbrida, lo que está haciendo es acentuar los problemas que ya existían, pero que las organizaciones habían logrado abordar en el pasado mediante el establecimiento de controles compensatorios para abordar el problema. Sabes, un gran ejemplo de esto es que he visto algunos estudios sobre qué porcentaje de organizaciones están seguras de que saben dónde están todos sus datos sensibles en una implementación de nube híbrida. Y los números que he visto oscilan entre el 7 y el 30% sienten que saben dónde están todos sus datos sensibles. Y mi conversación típica con un CISO, por ejemplo, cuando comparto esa estadística, se ríe y dice: sí, y ese 7 al 30% están mintiendo. Sabemos que es un problema continuo. Entonces, una vez que pasas a la nube híbrida, donde antes pudiste implementar controles compensatorios para proteger los datos, todo eso estaba en las instalaciones. Una vez que pasas a la nube híbrida, pierdes ese control, especialmente si tienes equipos ágiles de desarrollo que implementan cargas de trabajo que a veces ni siquiera sabes que existen, ¿verdad? Entonces, ¿qué está sucediendo allí? Bueno, lo que estamos viendo es que los equipos de ciberseguridad se están modernizando en la protección de datos al enfocarse en un conjunto específico de controles que les permiten hacer lo siguiente: ¿Cómo te aseguras de que solo los usuarios correctos tengan el acceso correcto a los datos correctos por la razón correcta? Y en todos los proyectos que estamos realizando con los clientes, lo que estamos viendo es que hay un conjunto coordinado de controles para la protección de datos en la nube híbrida con algunas innovaciones geniales que compartiré contigo aquí para asegurarte de que tienes tanto la administración de identidad y acceso, así como la protección de datos trabajando juntas para hacer esto bien.

Artículos relacionados  Cómo proteger tus datos en la Nube con Seguridad

Entonces, déjame llevarte brevemente a través de los controles en los que la mayoría de las organizaciones se enfocan en este momento y cuáles son las innovaciones que básicamente modernizan la forma en que se protege la protección de datos. En primer lugar, ¿cómo te aseguras de que solo los usuarios correctos puedan ingresar? Lo primero con lo que todo el mundo comienza es la gobernanza de la identidad, la gobernanza de la identidad y acceso, ¿quién tiene acceso a qué? Porque mira, si no sabes quién tiene acceso a qué, no puedo hacer nada más, ¿verdad? La segunda cosa en la que vemos que todos se centran en este momento es la gestión de cuentas privilegiadas. De alguna manera, 20 años después de Sarbanes-Oxley, esto sigue siendo un gran problema, pero proviene del hecho de que la gestión de cuentas privilegiadas no es simple. Las tecnologías son realmente buenas en ese sentido, pero hacer que los procesos y toda una organización trabajen juntos para implementarlo por completo en todos los ámbitos ha sido siempre un desafío importante. Entonces, el equipo típico que encuentras tiene cierta gestión de cuentas privilegiadas, pero su implementación es irregular. Pero ahora que estamos viendo como los proveedores de seguros cibernéticos, muchos de ellos ahora no renovarán una póliza si no tienes gestión de cuentas privilegiadas en todos tus sistemas. Eso está creando mucha tensión en este aspecto. Y finalmente, queremos llegar a una análitica de identidad. ¿Qué implica esto? Bueno, es algo así como una postura de identidad. Dices quién tiene acceso a qué, pero ¿tiene sentido eso, ¿verdad? Por lo tanto, vemos mucha actividad centrándose en los controles para poder hacer esto. Luego, la siguiente cosa es permitir que solo los usuarios correctos obtengan el acceso correcto. Por supuesto, durante más de 20 años, la gestión de acceso es algo fundamental y continúa siéndolo en la industria. Pero ahora se está hablando mucho de «acceso adaptativo». ¿Qué es Adapative Access? Esencialmente, es la autenticación multifactor en esteroides, ¿verdad? ¿Qué quiero decir con eso? Así que una herramienta típica de autenticación multifactor está configurada en el mismo portátil que Bob ha utilizado las últimas 250 veces. Así que cuando entra por la vez 251, eso parece un riesgo bajo. Sin embargo, si implementas los algoritmos de detección de fraude que se han desarrollado a lo largo de los años, especialmente en la industria de servicios financieros, puedes detectar eso. Sabes, si ves la velocidad de escritura de Bob, su tasa de error y la forma en que escribe en el teclado, sabes, Bob, eso puede que no sea Bob, ¡tenemos que hacer una autenticación más exhaustiva! Por lo tanto, Adaptive Access se trata de utilizar métodos avanzados de MFA. Así que, de manera comportamental, comienzas a observar lo que está sucediendo en tiempo real. Y eso es realmente genial. Y una vez que tenemos a los usuarios correctos obteniendo el acceso correcto, llegamos a los datos correctos, y recuerda el porcentaje del 7 al 30% ¿Están mintiendo? El primer paso, que ha existido por un tiempo, es ¿cómo identificar datos sensibles en un entorno de nube híbrida? Así que es un descubrimiento y clasificación, pero se hace de manera consistente, incluso explorando no solo las instalaciones y el entorno de nube híbrida, sino también las aplicaciones nativas en la nube. Esta ha sido un área ciega para todos durante mucho tiempo. Así que descubrir ese dato, incluso dentro de las aplicaciones SaaS, se ha vuelto muy importante. Luego, la segunda parte, que también se ha vuelto muy importante, es la postura. ¿Qué significa la postura de seguridad de los datos? Hay un término nuevo que se está utilizando mucho y con razón, llamado DSP, siglas en inglés para Data Security Posture Management. Y lo que significa DSP es que no solo sé dónde está el dato sensible, sino quién puede acceder a él, incluso si aún no lo está accediendo, ¿quién puede ver de hecho esos datos? ¿Y tiene sentido eso? Y, finalmente, ¿quién está realmente revisándolo? Entonces, una vez más, encuentre el dato sensible en cualquier lugar, incluso en las aplicaciones, vea quién puede acceder a él, vea la postura, ¿es buena o mala o tenemos que hacer cambios y pero luego quién está realmente revisándolo? Entonces, esta idea de la gestión de la postura de seguridad de los datos se ha vuelto muy importante nuevamente por razones obvias. Y luego, una vez que encuentras el dato, tienes que protegerlo. Entonces, proteges ese dato a través del control de acceso a nivel de datos, encriptación de datos, etcétera. La capacidad de hacer esto es tan importante en este momento que es increíble. Entonces, eso es algo realmente importante. Y finalmente, asegúrate de que los usuarios correctos obtengan solo el acceso correcto a los datos correctos por la razón correcta. ¿Qué significa eso? Durante décadas, he estado trabajando en ciberseguridad durante casi tres décadas ahora. Y a medida que he trabajado con los clientes en esto, todos han querido ver y analizar el acceso a datos sensibles durante largos períodos de tiempo, pero algunos no lo hacen porque requiere mucho espacio de almacenamiento y no tienen los algoritmos para verificarlo realmente. Pero mirar el acceso a datos sensibles durante un largo período de tiempo siempre ha sido algo que la gente ha querido hacer y, sin embargo, pocos lo hacen. Así que voy a empezar con otro conjunto nulo aquí, porque pocas personas hacen esto. Lo que vemos que las personas quieren hacer es ver cosas como, ¿cómo puedo detectar las actividades de amenaza interna al mirar lo que está sucediendo con el acceso a datos sensibles? Y, en última instancia, porque estamos viendo este problema agudo en la mayoría de los lugares con regulaciones cada vez mayores, la cantidad de tiempo que los equipos tienen que invertir para demostrar el cumplimiento de las regulaciones está comenzando a salirse de control en algunos lugares. Y, por lo tanto, no solo se puede detectar cosas como la amenaza interna, sino también generar automáticamente informes de cumplimiento. Entonces, eso se ha vuelto muy importante. Entonces, esto es lo que está sucediendo en la modernización de la ciberseguridad. Se trata de mejorar nuestra gestión de identidad, obtener una vista integrada de la gestión de identidad y acceso, así como la seguridad de los datos, incluida la identificación proactiva y constante, el descubrimiento de datos sensibles, verificar su postura, quién puede obtener acceso, y luego, mirar el acceso a los datos sensibles durante largos períodos de tiempo para poder encontrar problemas como la amenaza interna, y, en última instancia, poder automatizar los informes de cumplimiento en la medida de lo posible, para que nuestros equipos no queden atrapados en eso todo el tiempo. Eso es lo que está sucediendo en la ciberseguridad hoy en día. Es algo en lo que estamos muy apasionados y en lo que hemos invertido mucho para abordar. Así que gracias por tu tiempo. Si te gustó este vídeo y quieres ver más como él, por favor dale me gusta y suscríbete. Si tienes preguntas, déjalas en los comentarios a continuación. Así que para concluir, te mostraré rápidamente una tabla que resume la información del artículo y luego añadiré una sección de preguntas frecuentes. Para terminar, me despediré de los lectores y los animaré a consultar los artículos relacionados. Así que vamos a empezar.

Artículos relacionados  Grandes modelos de lenguaje como razonadores sin entrenamiento

Gestión de amenazas cibernéticas

  • Modernización de la gestión de amenazas
  • Detección de amenazas
  • Análisis y monitoreo de registros
  • Análisis de flujo de red y detección de respuesta
  • Análisis del comportamiento del usuario
  • Federación y flujo de trabajo unificado

Protección de datos

  • Identificación y descubrimiento de datos sensibles
  • Análisis de la postura de seguridad de los datos
  • Control de acceso a nivel de datos
  • Encriptación de datos
  • Análisis de acceso a datos sensibles durante largos períodos de tiempo
  • Automatización de informes de cumplimiento

Preguntas frecuentes

  1. ¿Por qué es importante la modernización de la ciberseguridad?
  2. ¿Cuáles son los desafíos actuales en la gestión de amenazas cibernéticas?
  3. ¿Cuáles son las tendencias emergentes en la protección de datos?
  4. ¿Cómo se están modernizando los equipos de ciberseguridad en la actualidad?
  5. ¿Cómo está cambiando el uso de la nube híbrida y la inteligencia artificial?

Gracias por leer este artículo sobre la modernización de los programas de ciberseguridad. Si te interesó este contenido, asegúrate de consultar los artículos relacionados en nuestro blog Todoforti.net.

¡Hasta la próxima!

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *