Cyrebro Archivos - Consultora en Ciberseguridad y TI

28 junio, 202428 junio, 2024

Dominando la tormenta de alertas – El proceso de gestión de alertas de ciberseguridad

Conseguir una vivienda, o un nuevo vehículo puede ser una experiencia abrumadora debido a la gran cantidad de papeleo que hace falta. Entre la enorme cantidad de páginas que requieren una firma o nuestras iniciales, es fácil perder de vista los detalles que estamos aceptando. Aquí es donde interviene un experto para guiarnos y aclarar las dudas. En el actual mundo digital, a menudo firmamos apresuradamente numerosos acuerdos, desde alquileres y cuotas de gimnasios, por ejemplo, hasta formularios de consentimiento médico. Y lo hacemos sin examinar las letras pequeñas, lo cual puede tener consecuencias desastrosas, algo así pasa con las alertas de ciberseguridad.

Pensemos en las alertas de seguridad como en esas letras pequeñas al final de un acuerdo contractual que queremos pasar por alto. Ante una avalancha de registros de seguridad, resulta difícil discernir el significado de cada alerta. Aunque muchas pueden indicar actividades rutinarias o incluso generar falsos positivos, la verdadera narrativa sólo surge cuando se correlacionan múltiples eventos. Al igual que cuando se unen los puntos de una imagen más amplia, la comprensión de los eventos de seguridad en su contexto más amplio puede revelar patrones y amenazas ocultas. Casi siempre, sólo cuando se correlacionan adecuadamente los sucesos se descubre con claridad la existencia de una amenaza.

La fatiga debida a las alertas de ciberseguridad

Durante años, el enfoque predominante de la ciberseguridad ha sido reactivo, de manera que sólo la aparición de una nueva amenaza provocaba la adquisición de una nueva herramienta de seguridad. Pero todas estas herramientas generan alertas, y el resultado final es que los equipos de seguridad de TI se ven abrumados por un flujo constante de avisos y eventos de seguridad, lo que provoca la aparición de fatiga. Según un informe realizado por International Data Corporation (IDC), la fatiga debida a las alertas está pasando factura.

Por término medio, los profesionales de la seguridad dedican 30 minutos a tratar cada alerta legítima, mientras que se pierden otros 32 minutos en las falsas alarmas.

En las empresas de 500 a 1.499 trabajadores, el 27% de las alertas se ignoran o no se investigan.

Para las empresas con entre 1.500 y 4.999 empleados, esta cifra aumenta al 30% y desciende ligeramente al 23% para las empresas con 5.000 o más miembros en plantilla.

Fragmentación de las herramientas

Una de las razones por las que las organizaciones reciben tantas alertas es porque éstas son generadas por múltiples herramientas. También conocida como desbordamiento de herramientas. Es un fenómeno que describe una situación en la que una organización despliega múltiples herramientas y soluciones de seguridad, a menudo de distintos proveedores, sin una estrategia global o integrada. Un mayor número de herramientas se traduce en un mayor número de paneles de control que el personal debe consultar y más políticas que gestionar. Además del gran número de alertas generadas, la fragmentación de herramientas también da lugar a un solapamiento de funcionalidades, una mayor complejidad y deficiencias en la estrategia de seguridad de la organización.

Los costos no contabilizados de las alertas de seguridad

La seguridad tiene un precio. Invertir en herramientas, controles de seguridad, y contratar a expertos en ciberseguridad, puede ser una gran carga para los presupuestos. Sin embargo, no proteger adecuadamente su empresa puede acarrear costos derivados por los tiempos de inactividad (debido a los ataques), las multas por incumplimiento y los posibles litigios. Además, bajo la superficie se esconden costos adicionales que a menudo pasan desapercibidos. El costo de responder a las alertas día tras día pasa factura a la empresa en forma de ineficacia, tiempos muertos y rotación de empleados. Sin una automatización avanzada, la supervisión de la seguridad es una tarea ardua con implicaciones a largo plazo que erosionan la cuenta de resultados.

El proceso de las alertas de ciberseguridad

Entonces, ¿cuál es el origen de estas alertas incesantes? No es algo sencillo. Las alertas de seguridad eficaces son el resultado de un proceso meticuloso y estructurado. Una alerta puede generarse por múltiples eventos. Entre ellos, una métrica prescrita, una coincidencia detectada con la inteligencia sobre amenazas o una anomalía fuera de lo normal. Las alertas generadas deben contextualizarse para comprender la naturaleza de las amenazas detectadas. Las alertas son entonces agregadas y correlacionadas por algún tipo de sistema de inteligencia para relacionar diferentes eventos entre sí. Una vez que se identifica correctamente una amenaza priorizada, se envía una notificación a un equipo de seguridad para una posible verificación humana. En ese momento, el equipo de ciberseguridad puede tomar las medidas adecuadas para mitigar la amenaza.

Consolidación de proveedores

Un enfoque estratégico para frenar el desbordamiento de herramientas empieza por racionalizar su cartera de proveedores. Según una encuesta de Gartner de 2022, el 75% de las organizaciones están intentando consolidar sus proveedores de seguridad. La motivación principal no es económica, ya que el 65% de las organizaciones mencionaron la mejora de su postura de seguridad como motivación, mientras que sólo el 29% lo hicieron para reducir el gasto en licencias. La simplificación de su entorno de seguridad reduce los múltiples puntos vulnerables que suele introducir la complejidad, lo que dificulta su aprovechamiento por parte de los ciberdelincuentes.

Inteligencia de amenazas

La inteligencia de amenazas es considerada la piedra angular de la ciberseguridad. Dota a los equipos de seguridad de la previsión necesaria para identificar y atajar las amenazas prioritarias antes de que perturben las operaciones. Este conocimiento es fundamental para filtrar las alertas insignificantes, reducir significativamente los falsos positivos y ahorrar tiempo y recursos. Al clasificar los comportamientos de los usuarios y alinear las tácticas de los adversarios con marcos como MITRE ATT&CK, los equipos obtienen una perspectiva más clara sobre cuáles son las amenazas que requieren atención inmediata y cuáles se pueden despriorizar.

¿Cómo puede ayudar un SOC con alertas de ciberseguridad?

Muchas empresas no disponen de los recursos necesarios para formular una iniciativa eficaz en materia de inteligencia sobre amenazas, mientras que otras no saben a ciencia cierta qué significan todas esas alertas. Una solución viable a este problema es un centro de operaciones de seguridad (SOC).

Como la que ofrecemos en el CyberSOC Nova con el objetivo de brindar ciberseguridad de primer nivel a empresas de todos los tamaños para garantizar una respuesta rápida y eficaz a las ciberamenazas y su mitigación. Su combinación de automatización inteligente y profesionales de seguridad altamente experimentados, proporciona una solución que alivia la carga de la fatiga generada por las alertas tanto en los sistemas de seguridad como en los que no lo son, como por ejemplo los registros de eventos de Windows y Microsoft 365. Las capacidades avanzadas del CyberSOC Nova incluyen inteligencia y búsqueda de amenazas, investigación forense y respuesta a incidentes, ofreciendo una solución integral de detección y respuesta.

Para mantenerte informado y protegido, sigue las redes sociales de Nova : Instagram, Facebook y LinkedIn, donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecemos.

#NovaRecomienda

8 mayo, 20248 mayo, 2024

Optimizando SIEM con MITRE ATT&CK: el papel crucial del CyberSOC de Nova

El marco MITRE ATT&CK es fundamental en ciberseguridad permitiendo a las organizaciones mejorar su postura de seguridad optimizando su SIEM. Es una base sobre tácticas, técnicas y procedimientos (TTP) de los ciberdelincuentes y un lenguaje común para discutir ciberamenazas. Equipos de seguridad lo usan para identificar puntos débiles, priorizar y mitigar riesgos.

El valor del marco radica en su mantenimiento y actualización con nuevas TTP, garantizando que las organizaciones estén al día de las amenazas. Sin actualizaciones, el marco no reflejaría el panorama cambiante de amenazas.

Para aprovecharlo, las empresas deben incorporarlo a su proceso de optimización SIEM. Las configuraciones incorrectas y la falta de optimización no solo reducen la potencia del marco y del SIEM, sino que también generan una falsa sensación de seguridad.

¿Por qué usar el marco MITRE ATT&CK en SIEM?

El marco ayuda a conocer al enemigo, proporcionando una visión detallada de las acciones de los ciberdelincuentes y cómo prevenirlas. Implementarlo en un SIEM permite cerrar la brecha entre comprensión y mejora de seguridad. Además, ofrece:

Terminología estandarizada: El marco introduce un lenguaje común para describir comportamientos, fomentando la colaboración y una respuesta más eficaz.

Mitigación prioritaria de amenazas: Categoriza tácticas según comportamientos reales, permitiendo priorizar esfuerzos de seguridad.

Intercambio de información sobre amenazas: Integrado en un SIEM, permite compartir y recibir información, reforzando las defensas colectivas.

Beneficios de mejorar un SIEM con MITRE ATT&CK

Integrar el marco en un SIEM permite más que sólo tener una guía sobre el comportamiento de los adversarios, abre oportunidades para optimizar la infraestructura de ciberseguridad y la respuesta, enfrentando de manera proactiva las amenazas. Algunos beneficios son:

Detección mejorada de amenazas: Permite identificar actividades sospechosas no detectadas por firmas convencionales, incluso ataques sofisticados en sus primeras fases.

Mejora de respuesta a incidentes: Facilita la identificación rápida de tácticas y técnicas específicas, priorizando esfuerzos de respuesta y minimizando impactos.

Inteligencia sobre amenazas contextualizada: Estructura datos de inteligencia contextualizando en TTP del marco, permitiendo decisiones más informadas.

Desafíos de la optimización SIEM

Aprovechar el potencial del marco MITRE ATT&CK es una tarea exigente. El informe de CardinalOps muestra que, aunque los SIEM ingieren suficientes datos, sólo cubren una fracción de las técnicas. Esto se debe a problemas como infraestructuras complejas y procesos manuales propensos a errores.

La solución es subcontratar la ciberseguridad a un proveedor de SOC confiable. El CyberSOC de Nova brilla con luz propia, constantemente añadiendo, actualizando y creando reglas personalizadas. Nos encargamos de todo el proceso de optimización para garantizar la máxima protección y tranquilidad.

En el dinámico panorama de amenazas, los SIEM por sí solos no son suficientes. Las organizaciones deben comprometerse a optimizar continuamente el SIEM, pero también necesitan otras soluciones integrales de seguridad. Una estrategia que incluya búsqueda de amenazas, inteligencia, investigación forense, respuesta a incidentes y supervisión estratégica es la única forma de combatir ciberamenazas en constante evolución y proteger los activos críticos.

Para mantenerte informado y protegido, sigue las redes sociales de Nova Instagram, Facebook y LinkedIn, donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecemos.

8 febrero, 20248 febrero, 2024

Navegando por la tormenta: los desafíos de los falsos positivos en ciberseguridad

En el panorama en constante evolución de la ciberseguridad, los centros de operaciones de seguridad (SOC) desempeñan un papel vital en la detección y respuesta a los ataques en desarrollo, la búsqueda proactiva de amenazas, además del control de falsos positivos y el refuerzo de la postura general de seguridad de la empresa.

Las soluciones de ciberseguridad pueden generar falsos positivos, que son bien conocidos por los equipos SOC y son en parte responsables de la “fatiga de alertas”. Este fenómeno, surgido en los últimos años, se refiere a la acumulación de eventos de seguridad y “ruido” que un administrador tiene que gestionar a diario.

La fatiga de alerta se ha convertido en un problema generalizado dentro de los SOC. La incesante afluencia que varían de baja a alta gravedad, pero a menudo mal categorizadas, abruma a los analistas de seguridad y obstaculiza su capacidad para distinguir amenazas genuinas de falsas alarmas.

Causas de las alertas de falsos positivos:

La complejidad de los sistemas dificulta la definición de reglas con precisión, lo que lleva a buscar un equilibrio constante entre reglas más estrictas que detectan más amenazas y reglas más laxas que corren el riesgo de falsos negativos. La complejidad del sistema, los datos incompletos o inexactos y la evolución de las tácticas de los atacantes contribuyen a la dificultad de eliminar los falsos positivos.

¿Es mejor bloquear demasiado que demasiado poco?

Detrás de esta sugerencia se esconde el eterno debate en torno a los proyectos de seguridad e incluso a la integración de productos de seguridad en el día a día de los equipos. Después de todo, si un producto de seguridad bloquea “demasiado”, incluidos usos y programas legítimos, el riesgo es que la base de usuarios lo rechace. Los usuarios intentarán entonces evitar el uso de este producto de seguridad, o incluso desinstalarlo.

Las consecuencias de lidiar con falsos positivos incluyen fatiga de alertas, mayor carga de trabajo para los equipos de seguridad y el riesgo de pasar por alto amenazas reales. Se destaca el potencial de violaciones de datos, interrupciones comerciales, pérdidas financieras y daños a la reputación. La fatiga de alerta también contribuye al agotamiento y a la disminución de la moral entre los equipos de seguridad.

Las alertas mal filtradas y priorizadas pueden crear una falsa sensación de seguridad, y los equipos pueden creer que sus defensas son efectivas debido a un flujo constante de alertas activadas. Un filtrado y una priorización deficientes provocan el desperdicio de recursos y la pérdida de oportunidades de detección de amenazas, lo que dificulta la capacidad de responder rápidamente a amenazas reales.

CyberSOC Nova powered by CYREBRO crea sus propias reglas personalizadas y patentadas, en lugar de utilizar reglas genéricas listas para usar. Los algoritmos de detección y respuesta se crean en función de atributos específicos, no de sistemas específicos, por lo que CyberSOC Nova puede detectar una amplia gama de amenazas, cubriendo el panorama de ataques. Los atributos de detección se basan en el marco MITRE, los casos de respuesta a incidentes de CYREBRO y una investigación de amenazas.

Detección

Lógica de reglas

Se crean reglas para ingerir dos flujos de datos diferentes. Los primeros son eventos sin procesar que provienen de herramientas no relacionadas con la seguridad y activos críticos, y los segundos son alertas enviadas por herramientas de seguridad.

Monitoreo

El CyberSOC Nova tiene tres categorías de alertas:

Búsqueda de amenazas potenciales: alertas creadas para que el equipo de búsqueda de amenazas detecte amenazas de forma proactiva.

Alertas de alta fidelidad: alertas de alto riesgo y gravedad que desencadenan la investigación

Historial de ataques: una cadena de comportamiento generada mediante pistas de búsqueda y alertas de alta fidelidad.

Nuestro CyberSOC monitorea y responde a todos los tipos de alertas e historial de ataques. En lugar de intensificar cada alerta benigna, determina qué debe abordarse y cómo investigarlo, para no abrumar al equipo con el flujo interminable de alertas inofensivas.

CyberSOC Nova y matriz de ataque MITRE

Para cada evento, se identifica cuántas técnicas MITRE se pueden implementar y cuántas reglas se pueden crear para este tipo de fuente de datos. Se realizan este análisis para cada cliente, en cada una de sus fuentes de datos.

Nuestro CyberSOC ofrece una solución a través de su servicio de Managed Detection and Response (MDR), impulsado por tecnología patentada. El servicio MDR tiene como objetivo reducir los falsos positivos, aumentar la precisión de la detección de amenazas y dotar a los equipos de seguridad de inteligencia sobre amenazas, análisis avanzados y análisis de expertos relevantes.

La inevitabilidad de los falsos positivos en el cambiante panorama cibernético se vuelve poco alentador y genera muchas inquietudes a los usuarios. El servicio MDR, combinado con SIEM (Security Information and Event Management), se presenta como una solución para ayudar a los equipos de ciberseguridad a superar los desafíos que plantean los falsos positivos, garantizando una detección y respuesta eficiente a las amenazas.

Síguenos en nuestras redes Instagram, Facebook y LinkedIn, donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecemos.

15 marzo, 202315 marzo, 2023

Los 3 ciberataques más impactantes de la historia

¿Cómo proteger a tu empresa si alguno se repite?

La ciberseguridad es un tema cada vez más importante en el mundo digital en el que vivimos. Los ciberataques son una amenaza constante para empresas de todos los tamaños y sectores. En este artículo, exploraremos los 3 ciberataques más impactantes de la historia y cómo evitar que tu empresa sea víctima de un ataque similar. Aprenderemos de los errores de otros para proteger mejor tu negocio.

Stuxnet:

Stuxnet es un gusano informático que se hizo famoso en 2010 cuando se descubrió que fue utilizado para atacar el programa nuclear de Irán. El gusano fue diseñado para dañar específicamente las centrifugadoras que se utilizan para enriquecer uranio en las instalaciones nucleares de Natanz. Se propaga a través de dispositivos USB infectados y aprovecha varias vulnerabilidades de Windows para infectar el sistema. Se cree que el gusano fue creado por Estados Unidos y/o Israel.

WannaCry:

WannaCry es un ransomware que se propagó en todo el mundo en mayo de 2017. El malware aprovechó una vulnerabilidad en el protocolo de comunicación SMB de Microsoft Windows para propagarse por las redes. Una vez que infectó un sistema, cifraba los archivos del usuario y exigía un rescate en Bitcoin para descifrarlos. El ataque afectó a más de 200,000 computadoras en 150 países. Se cree que los responsables fueron hackers norcoreanos.

Equifax:

En septiembre de 2017, Equifax, una de las tres principales agencias de informes crediticios de Estados Unidos, anunció que había sido víctima de un ciberataque. Los atacantes explotaron una vulnerabilidad en el software Apache Struts utilizado por la compañía para robar información personal de más de 147 millones de personas, incluyendo nombres, direcciones, fechas de nacimiento y números de seguridad social. El ataque tuvo un impacto significativo en la reputación de Equifax y se espera que tenga ramificaciones a largo plazo para la compañía y las personas cuyos datos fueron robados.

Recomendación para evitar ser víctima de ciberataques como estos:

La mejor manera de evitar ser víctima de un ciberataque es tener una estrategia de ciberseguridad sólida. Esto significa implementar medidas de seguridad física, lógica, incluyendo la actualización regular de los sistemas y software, el uso de contraseñas seguras, la implementación de políticas de seguridad de la información y la capacitación del personal en prácticas de seguridad. También es importante tener una estrategia de recuperación de desastres en caso de que ocurra un ataque. Esto incluye realizar copias de seguridad de datos, sistemas críticos y tener un plan para restaurarlos en caso de una interrupción del servicio. En general, prevenir y estar preparado son factores fundamentales para protegerse de los ciberataques.

Una forma de complementar esta estrategia es contando con un CyberSOC, en Nova ofrecemos servicios de monitorización continua, identificación temprana de amenazas, gestión de incidentes y asesoría de seguridad gracias a nuestro CyberSOC powered by Cyrebro.

Se trata de un Centro de Operaciones de Ciberseguridad altamente especializado (Cybersoc) que ayuda a las empresas a protegerse contra ciberataques. Ofrecemos una solución integrada de monitorización de seguridad, detección de amenazas, gestión de incidentes y análisis de riesgos. Con nuestro CyberSOC, las empresas pueden detectar y responder rápidamente a las amenazas de seguridad cibernética, lo que les permite proteger mejor sus activos digitales y mantener la continuidad del negocio.

Vale la pena echarle un ojo a esta valiosa herramienta.

Te invitamos a seguir las redes sociales de Nova Instagram, Facebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Etiqueta: Cyrebro