Maximizando sus inversiones a través de la automatización de la seguridad

Seamos realistas, hemos hablado de la automatización de la seguridad durante años. Hemos luchado con qué, cuándo y cómo automatizar. Hemos debatido el tema del ser humano frente a la máquina. Y en ciertos puntos, cuando nos han "quemado" (apagando automáticamente los sistemas por error), nos preguntamos si hay algún lugar para la automatización. Pero en el fondo de nuestro corazón, sabemos desde hace años que la automatización es el futuro. Ahora el futuro está aquí.

Si bien la mayoría de las organizaciones tenían al menos una automatización mínima de los procesos clave de seguridad y respuesta a incidentes (IR), los eventos de 2020 sirvieron como un punto de inflexión, dice Noor Boulos de ThreatQuotient . El nuevo SANS El informe analiza cómo la pandemia mundial obligó a muchas organizaciones a acelerar sus planes de automatización, donde están priorizando sus inversiones y los planes que tienen para el futuro. La encuesta abarcó empresas de todos los tamaños, que representan una mezcla diversa de industrias y con operaciones en América del Norte, Europa, Asia Pacífico y África.

Algunos de los hallazgos clave incluyen:

• Casi un tercio de las organizaciones indicaron que sus planes de automatización se aceleraron debido a la pandemia de COVID-19.

• Más del 80% de las organizaciones tienen al menos una automatización parcial de la seguridad clave y los procesos de IR, frente al 47% en 2020.

• Profundizando, los procesos de infrarrojos experimentaron el crecimiento más significativo en la automatización con una automatización extensa que aumentó casi un 18%, del 10,5% en 2020 al 28,3% en 2021.

• Las operaciones de seguridad y el procesamiento de eventos o alertas siguen siendo el área principal para la automatización, con un 35,5% que informa una automatización extensa.

• El futuro parece prometedor para la automatización de la seguridad, con un 85% de planes para automatizar la seguridad clave y los procesos de infrarrojos solo en los próximos 12 meses.

Al mirar hacia el futuro y utilizar los resultados de la encuesta para comprender mejor cómo expandir el uso de la automatización dentro de sus operaciones de seguridad, es importante considerar cuándo aplicar la automatización dentro del ciclo de vida de la seguridad para maximizar el valor comercial.

En ThreatQuotient, hemos creído durante mucho tiempo que los datos son el elemento vital de la automatización de la detección y la respuesta, por lo que la clave para una automatización eficaz comienza con los datos. Tomemos los dos casos de uso principales del informe, la clasificación de alertas y la respuesta a incidentes, como ejemplos.

Clasificación de alertas:

Los analistas están inundados por la cantidad de alertas que requieren atención humana, generadas por reglas SIEM ruidosas y la infraestructura de defensa predeterminada. En un intento por reducir el volumen y la velocidad de las alertas de seguridad que deben abordar a diario, los analistas aplican datos de amenazas externas y feeds de inteligencia de amenazas directamente al SIEM, pero los desafíos continúan por dos razones principales.

Primero, la cantidad de datos de amenazas externas es asombrosa. El envío de todos estos datos directamente al SIEM para su correlación da como resultado toneladas de alertas no contextuales, cada una de las cuales requiere un trabajo significativo por parte de un analista para investigar. En segundo lugar, hay una falta de capacidades de apoyo a la toma de decisiones en las herramientas actuales para proporcionar contexto y comprensión adicionales para determinar la relevancia, antes de aplicar los datos de inteligencia de amenazas directamente al SIEM. La priorización es imperativa para enfocarse y determinar las próximas acciones apropiadas a tomar durante el proceso de clasificación de alertas.

Con la plataforma ThreatQ, puede abordar el desafío de clasificación de alertas y detener las alertas inútiles antes de que sucedan SÓLO proporcionando inteligencia sobre amenazas que sea relevante para la organización. Al aplicar automáticamente contexto, relevancia y priorización a los datos de amenazas antes de aplicarlos al SIEM, el SIEM se vuelve más eficiente y efectivo.

Las puntuaciones de inteligencia de amenazas personalizadas basadas en los parámetros que establezca, junto con el contexto, permiten la priorización en función de lo que es relevante para su entorno específico. Ahora, utilizando un subconjunto de datos de amenazas que se ha seleccionado en inteligencia de amenazas, la superposición adicional permite que SIEM genere menos falsos positivos y encuentre menos problemas de escalabilidad.

Respuesta a incidentes:

El enfoque actual de la orquestación, automatización y respuesta de seguridad (SOAR) se ha centrado en la automatización de procesos. El desafío es que cuando se aplican a la detección y respuesta, los libros de jugadas centrados en procesos son inherentemente ineficientes y complejos porque los criterios y la lógica de toma de decisiones están integrados en los libros de jugadas y es necesario realizar actualizaciones en cada libro de jugadas. Esta complejidad crece exponencialmente a medida que aumenta la cantidad de libros de jugadas. Automatizar y orquestar datos ruidosos simplemente amplifica el ruido.

Con ThreatQ TDR Orchestrator, puede adoptar un enfoque simplificado basado en datos para SOAR, donde los datos o la información impulsan el inicio del libro de jugadas y los datos aprendidos por las acciones tomadas se utilizan para análisis y para mejorar la respuesta futura. Poner la "inteligencia en la plataforma" y no los libros de jugadas individuales proporciona una configuración y un mantenimiento más simples, y unos resultados de automatización más eficientes y efectivos. Los usuarios pueden seleccionar y priorizar los datos por adelantado, automatizar lo que es relevante y simplificar las acciones tomadas.

El autor es Noor Boulos de ThreatQuotient