Cinco pasos para apoyar mejor a un equipo de detección moderno
Ayudar a los equipos de seguridad a ser más inteligentes y rápidos que sus atacantes en un mundo donde prima la nube como fundador y director ejecutivo de Panther.
getty
Los equipos de seguridad tienen mucho que administrar en estos días: las afluencias agudas de datos, más aplicaciones y servicios en la nube para rastrear y una mayor complejidad están planteando grandes obstáculos para mantener su organización segura. Para empeorar las cosas, algunas de las herramientas y sistemas que usan los equipos de seguridad están dañando y no ayudando. No están escalando lo suficientemente rápido, generan alertas de baja calidad y requieren procesos manuales únicos. Los equipos de seguridad necesitan mejores enfoques que puedan ayudarlos a mantenerse al día con estos desafíos crecientes.
Uno de estos mejores enfoques es convertir su equipo de seguridad en un equipo de detección moderno.
Un equipo de detección moderno prioriza la escalabilidad y la eficiencia. Aplican principios de ingeniería de software para administrar sus operaciones de seguridad. Sobre todo, adoptan una mentalidad de detección como código. Los beneficios son enormes, como mejorar la confiabilidad de la detección y la capacidad de analizar una gran cantidad de datos. Los equipos también pueden crear flujos de trabajo de seguridad escalables y colaborativos y garantizar una mayor estabilidad operativa con menos gastos generales.
Si su equipo de seguridad está buscando formas más efectivas de escalar para el futuro, aquí hay un camino de cinco pasos a seguir.
1. Utilice la detección como código para automatizar la recopilación de datos.
Una de las cosas más importantes que pueden socavar a un equipo de seguridad es el tiempo que se dedica a los procesos manuales, junto con el desafío de tener que recopilar cantidades cada vez más masivas de datos a través de SIEM que no pueden seguir el ritmo. Es por eso que el primer paso es adoptar la detección como código en su recopilación de datos, especialmente a medida que escala sus entornos de nube. Automatizar su infraestructura significa tener más control y consistencia sobre lo que aprovisiona, y también más estabilidad, previsibilidad y escalabilidad.
Para comenzar, adopte una plataforma como GitHub de código abierto para administrar su infraestructura y busque una plataforma de configuración como código para configurar sus sistemas para el registro centralizado. A medida que adopte la detección como código, asegúrese de que las configuraciones elegidas y la administración de su infraestructura se apliquen a todas las plataformas en la nube y los sistemas operativos presentes en su entorno.
2. Entrene a su equipo en los principios básicos de ingeniería de software.
El siguiente paso es reforzar su equipo en los principios básicos de ingeniería de software, que incluyen tanto acciones como mentalidad. Enseñe a su equipo un lenguaje de codificación universal como Python o SQL si aún no lo conocen.
Es posible que su equipo de seguridad haya estado escribiendo secuencias de comandos de Python durante años, pero al utilizar la detección como código, podrá aprovechar ese código en alertas y flujos de trabajo altamente personalizados que pueden proporcionar una mejor detección en general. La detección como código le permite utilizar pruebas, automatización y revisiones por pares.
3. Elija la plataforma SIEM adecuada.
Por supuesto, tener la plataforma SIEM correcta sienta las bases para la eficiencia y escalabilidad del equipo. Elija una plataforma SIEM nativa de la nube que se centre en la detección como código, con detecciones preconstruidas, y la capacidad de enviar sus registros a un lago de datos de seguridad. Una plataforma con estas funciones configura las canalizaciones necesarias para la normalización de datos, el análisis en tiempo real, la investigación de datos estructurados y otros conocimientos sobre su entorno. Recuerda que cuanto más esperas, más deuda técnica se acumula.
4. Proporcione a su equipo un marco de detección.
El siguiente paso es elegir un marco de detección, o un conjunto de reglas estándar o detecciones preconstruidas que identificarán una variedad de actividades sospechosas en las fuentes de datos de su terminal. En otras palabras, no desea crear detecciones "solo porque sí" o crearlas sin un objetivo final en mente de lo que desea detectar. Ser más estratégico en su detección puede aumentar su eficacia.
Considere comenzar con un marco como MITRE ATT&CK, de modo que pueda crear detecciones para todas las tácticas y técnicas comunes que utilizan los actores malintencionados en la actualidad. Un marco puede aportar estructura al proceso y puede proporcionar un enfoque más sistemático para mantener sus sistemas seguros.
5. Automatice más.
Una vez que tenga su plataforma en funcionamiento, el siguiente paso es continuar aumentando su automatización.
Pero no automatice repentinamente todas sus tareas a la vez. Comience con tareas comunes y casos de uso específicos y codifíquelos. Luego, cree automatizaciones y flujos de trabajo más sofisticados, lo que liberará tiempo a los analistas para que se concentren más en las alertas verdaderamente maliciosas. Una mayor automatización también significa más eficiencia operativa y menos gastos generales.
Cree un equipo de detección moderno hoy para prepararse para el mañana.
Los equipos de seguridad están en un aprieto. Tienen la tarea de proteger su organización y quieren hacerlo de manera efectiva y a escala, especialmente porque el costo promedio de una violación de datos para una organización hoy en día es de $ 3,86 millones. Pero la protección proactiva es difícil de lograr con herramientas y enfoques que no han seguido el ritmo de las cargas de trabajo actuales. Convertirse en un equipo de detección moderno no solo lo empoderará con las herramientas y los sistemas adecuados para el éxito, sino que también lo posicionará para escalar hacia el futuro.
El Consejo de Tecnología de Forbes es una comunidad a la que solo se puede acceder por invitación para CIO, CTO y ejecutivos de tecnología de clase mundial. ¿Califico?
