La defensa de las redes empresariales se ha convertido en un desafío complicado, uno que cada día se vuelve más bizantino.
He escrito sobre cómo SIEM ingerir datos de registro y eventos de todas las redes híbridas, y sobre cómo UEBA y SOAR Las tecnologías han surgido en los últimos años para ayudar a las empresas a tratar de darle sentido a todo, incluso si persisten las infracciones catastróficas.
Relacionado: "Análisis basado en el riesgo utilizado en SOAR
At RSA 2020, Aprendí sobre otro enfoque emergente, con tecnología de soporte, llamado Plataforma de operaciones de seguridad (SOP.) En un alto nivel, el papel de un SOP es ayudar a exprimir más eficiencia - y efectividad - de la densa pila de sistemas de seguridad ya implementados en el Centros de operaciones de seguridad (SOC) de empresas medianas y grandes.
Pionero de firewall de próxima generación Palo Alto Networks ha vigilado el césped en el emergente espacio SOP. Tuve la oportunidad de visitar a un flamante nuevo jugador de SOP, Tecnologías QuoLab, que tuvo su lanzamiento en EE. UU. en RSA 2020. QuoLab en realidad ha estado refinando su tecnología central durante dos años y medio como parte de Quocientífico, el proveedor de ciberseguridad con sede en Frankfurt, Alemania, del que se separó. Para obtener un desglose completo de mi conversación con Dan Young, cofundador y director de operaciones de QuoLab, dé el podcast acompañante una escucha Aquí están mis conclusiones clave:
Infraestructura de equipo
A menudo se dice que la seguridad es un deporte de equipo. O al menos debería serlo. SIEM (información de seguridad y gestión de eventos) es un enfoque para ingerir datos de eventos y registros de los sistemas de TI centrales, así como de la amplia gama de sistemas de seguridad que la mayoría de las empresas tienen implementadas. Los SIEM tamizan cualquier paquete de datos que se vea fuera de lo común.
UEBA (análisis de comportamiento de usuarios y eventos) gira en torno a modelar el comportamiento de usuarios y dispositivos para determinar si la actividad anómala es realmente maliciosa. Y SOAR - sorquestación, automatización y respuesta de seguridad: tiene como objetivo mejorar la gestión de las amenazas y vulnerabilidades conocidas; acelerar la respuesta al incidente; y acelerar la automatización de las operaciones de seguridad.
Lo que más falta, y lo que los proveedores de SOP buscan ofrecer, es una manera mucho mejor de combinar todas estas disciplinas, me dijo Young.
En muchas organizaciones, dice, los analistas de malware, los investigadores de amenazas y los especialistas en respuesta a incidentes están configurados, en esencia, para competir entre sí por partes de un presupuesto de TI finito. El resultado es que cualquier inteligencia útil extraída de la pila de seguridad, por cualquiera de estos equipos, tiende a acumularse en ese equipo.
Young Ring
“Muchas empresas están luchando con la capacidad de derribar silos y muros”, dice Young. “Algo de eso se debe a que hay competencia por los mismos recursos. . . pero si puede eliminar esas barreras y hacer que todos trabajen en un marco común y unificado, y hacer que todos formen parte de un gran equipo, dentro de una infraestructura de equipo, eso es lo que QuoLab está trayendo a la mesa ".
Espacio de trabajo unificado
Young describe el producto estrella de QuoLab como una "plataforma de fusión, investigación y análisis de datos con un giro colaborativo".
En un nivel, QuoLab superpone una interfaz de usuario común en la salida de cualquier herramienta SIEM, UEBA y SOAR que una empresa ya haya implementado. La inteligencia de amenazas rica y oportuna se infunde en este nivel, extraída de los principales servicios de alimentación de amenazas patentados, como anamoli, intel 471, VirusTotal y Intercambio de inteligencia de amenazas de McAfee, con más agregados todo el tiempo, así como de docenas de fuentes de amenazas de código abierto, como el Intercambio abierto de amenazas (OTX) y el Plataforma de intercambio de información sobre malware (PSIM.)
En otro nivel, QuoLab aprovecha la potencia analítica de los mejores socios como VMware, para análisis dinámico de malware; la NSA, para el análisis estático de malware a través de su nuevo código abierto 'Ghidra'herramienta; Binary Ninja, para ingeniería inversa; y Maltego, por analizando el rastro de enlaces utilizado en un ataque.
“Lo que estamos diciendo es eliminar el vaivén que tiene que ir entre estos equipos, darles un espacio de trabajo unificado donde puedan colaborar y compartir”, dice. "Obviamente, esto está respaldado por un conjunto muy sólido de conectores de datos e integraciones con otros socios y proveedores".
Correlaciones rápidas
Le pregunté a Young por un ejemplo de la diferencia que SOP puede hacer y me dio esta descripción de cómo un cliente pudo reducir de manera rápida y completa un ataque de ransomware utilizando la plataforma de QuoLab:
Se generó una alerta desde el punto final, la detección y la respuesta de la empresa (EDR), que identifica dos computadoras portátiles como infectadas por el malware ransomware. La compañía se posicionó para hacer correlaciones rápidas y profundas gracias al hecho de que su pila de seguridad, incluida EDR, estaban unidas entre sí, así como a una lista completa de herramientas de análisis a través de QuoLab.
"No sabían cómo sucedía el punto de entrada, pero al poner los datos en nuestra plataforma, pudieron, en cuestión de segundos, atribuir el ataque a un actor de amenaza APT específico, debido a los informes procedentes de ciertas fuentes de inteligencia de amenazas". "
Al analizar la red asociada y las fuentes de host, los analistas de seguridad pudieron rastrear cómo se propagó el malware e incluso determinar cómo se detonó: dos usuarios que hicieron clic en un archivo adjunto de correo electrónico contaminado.
"Nuestra herramienta proporcionó esa columna vertebral de datos, al reunir todas esas diferentes fuentes de datos y componentes, en un solo espacio de trabajo", dice Young. Agrega que el escenario más común hoy en día habría sido que el analista de respuesta a incidentes tomara horas o días para obtener todas las partes necesarias en la misma página para hacer un nivel comparable de correlaciones.
Salí de mi discusión con Young con una nueva apreciación sobre la intensa complejidad involucrada en la defensa de las redes de la compañía. Será interesante ver qué tan rápido se dan cuenta las soluciones SOP. La tecnología SIEM tiene aproximadamente 15 años, mientras que los UEBA y SOAR comenzaron a ganar fuerza hace cinco o seis años. Con suerte, las plataformas SOP contribuirán a hacer que Internet sea tan seguro como debería ser. Yo vigilaré
Acohido
Ganador del Premio Pulitzer El periodista de negocios Byron V. Acohido se dedica a fomentar la conciencia pública sobre cómo hacer que Internet sea tan privada y segura como debería ser.
(LW proporciona servicios de consultoría a los proveedores que cubrimos).
*** Este es un blog sindicado de Security Bloggers Network de El último perro guardián escrito por bacohido. Lea la publicación original en: https://www.lastwatchdog.com/new-tech-quolab-advances-security-operations-platform-sop-technology/
