Las conversaciones sobre seguridad cibernética se centran cada vez más en el uso de herramientas y actividades relacionadas con el Centro de Operaciones de Seguridad (SOC). Si bien es imposible negar la importancia del SOC para la estrategia de seguridad de una organización, el Centro de Operaciones de Seguridad es sólo una parte de un conjunto mucho más amplio que conforma la defensa cibernética. Cuando la defensa cibernética, que incluye al SOC, no se prioriza adecuadamente, la efectividad de las personas, los procesos y las capacidades utilizadas para defender los entornos de los ataques más recientes se ve afectada.

Una defensa cibernética sólida es necesaria para evitar el compromiso, reducir el impacto de los ataques y permitir que las organizaciones continúen operando frente a las amenazas. En el nuevo libro publicado por Mandiant, The Defender's Advantage, nuestros expertos en inteligencia y consultoría exponen seis funciones críticas de las defensas cibernéticas y cómo activarlas contra los actores de amenazas que lanzan ataques en nuestros propios entornos.

Cada una de estas funciones de defensa cibernética se centra en una pieza única del programa general de seguridad cibernética, alimentándose entre sí y beneficiándose de sus capacidades en conjunto.

1. Función de inteligencia

La inteligencia de amenazas cibernéticas debe guiar todas las acciones dentro de la defensa cibernética. Es como tal el alma de la defensa cibernética, pues nos entrega información sobre los atacantes, sus objetivos y motivaciones, ayudando a identificar vulnerabilidades y el impacto potencial de un ataque. Cuando la inteligencia de amenazas se activa completamente dentro del equipo de seguridad de una organización, este tiene una mayor comprensión de las amenazas que enfrentan, así pueden tomar decisiones más informadas y tener una mejor idea de la exposición al riesgo de su organización.

2. Función de cacería

La cacería es la práctica de buscar dentro de un entorno evidencia de compromisos actuales o pasados. La caza de amenazas activas es una parte necesaria e importante de la defensa cibernética, en nuestro entorno actual tan cambiante. Cuando la función de cacería se implementa correctamente, la detección de ataques presentes no es el único beneficio. La cacería también puede ayudar a las organizaciones a mejorar las defensas al descubrir vulnerabilidades o brechas en la infraestructura previamente desconocidas.

3. Función de detección

La detección e investigación de actividades maliciosas se entiende como el desarrollo de las actividades más tradicionales realizadas por el equipo del SOC. Desafortunadamente, la optimización de las actividades del SOC es una lucha continua para la mayoría de las organizaciones que se enfrentan a volúmenes de alertas abrumadores. Un equipo de SOC optimizado aprovecha la inteligencia de amenazas para administrar, evaluar y priorizar cada caso de uso de detección. Esto les permite priorizar e investigar comportamientos anómalos identificados por los controles técnicos de seguridad en sus entornos. Hoy en día los equipos SOC enfrentan varias presiones que pueden ser disminuidas, mediante la implementación de tecnologías para automatizar tareas, actualización de procedimientos, así como al aumentar el tamaño del equipo del SOC con analistas altamente calificados.

4. Función de respuesta

La función de respuesta se encarga de confirmar si actividades sospechosas son realmente una brecha de seguridad y, si lo confirma, de contener el incidente, restaurar las operaciones comerciales y erradicar todo rastro de un atacante en el entorno. Cuando se activa la inteligencia de amenazas en el proceso de respuesta a incidentes, se puede disminuir los tiempos de respuesta a incidentes y evitar que se repitan compromisos. Los resultados de la función de respuesta también se extienden a la identificación de lecciones aprendidas sobre un incidente para mejorar la inteligencia y las operaciones, así como los procesos relacionados, en el futuro.

5. Función de Validación

La validación de controles y realización de pruebas dirigidas de manera continua es otra función importante para la defensa cibernética. Estas actividades evalúan de manera objetiva los sistemas y herramientas, buscando reducir la exposición al riesgo de una organización. A través del despliegue de ataques de forma controlada sobre el ciclo de vida del ataque o cadena de exterminio de la defensa cibernética, las organizaciones pueden descubrir brechas, superposiciones en la infraestructura de seguridad y oportunidades de mejoras en la misma. Para la defensa cibernética es muy importante la validación de personas, procesos y herramientas, también sirve de forma importante para la creación de confianza en que la organización puede responder de manera efectiva a una brecha.

6. Función de comando y control

Otro aspecto central de la defensa cibernética es la función de comando y control que garantiza que las funciones de inteligencia, caza, detección, respuesta y validación estén alineadas con la misión de seguridad general de la organización. El enfoque se centra en las personas y los procesos dentro del dominio de la defensa cibernética, proporcionando dirección y priorizando los recursos en todas las funciones para proteger los activos críticos de ante una brecha. La función de comando y control generalmente está compuesta por miembros del equipo de las otras funciones y se activa durante una brecha para orquestar la defensa cibernética, incluyendo las comunicaciones durante una crisis y la alineación con otros requerimientos comerciales.

Obteniendo la ventaja del defensor

Al observar el panorama amplio que la defensa cibernética juega en la prevención y reducción sobre el impacto de los ataques y la mejora en la identificación y contención durante un compromiso, las organizaciones logran tener una visión más allá del Centro de Operaciones de Seguridad. El no contar con una defensa cibernética completamente operacionalizada, las organizaciones sufren al realizar actividades de seguridad aisladas o descoordinadas, lo que lleva a esfuerzos duplicados, falta de intercambio de información, operaciones ineficientes/ineficaces y fallas al identificar brechas de seguridad críticas antes de que ocurra un incidente de seguridad.

Dividiendo la defensa cibernética en estas seis funciones integradas, las organizaciones pueden determinar las brechas en capacidades y acelerar decisiones para lograr una mayor protección empresarial. Con esta visión, las organizaciones pueden distinguir qué capacidades son mejor atendidas por los recursos internos, identificar dónde se requiere asistencia externa e invertir en automatización para ayudar con las tareas manuales que consumen mucho tiempo.

El libro The Defender's Advantage de Mandiant señala cómo las organizaciones de todas las industrias pueden lograr una ventaja fundamental sobre sus adversarios al activar y madurar sus defensas cibernéticas. Acceda a su copia gratuita hoy mismo para obtener nuestra guía paso a paso para crear defensas cibernéticas sólidas dentro de su organización.