Photographee.eu - Fotolia

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Evaluación de amenazas de comportamiento significa la detección de amenazas en tiempo real

El análisis de amenazas de comportamiento en tiempo real es la próxima frontera en seguridad. Aprenda cómo una herramienta de evaluación de amenazas de comportamiento puede proteger sus sistemas y datos empresariales.

Si la suya es como la mayoría de las organizaciones, su entorno está equipado con instrumentos que detectan el comportamiento anómalo de los usuarios y sistemas. Usted está registrando la información y cavando a través de ella para averiguar lo que ha sucedido.

Y probablemente ha descubierto un par de defectos con su enfoque.

En primer lugar, es caro e insostenible. Muy pocas organizaciones empresariales pueden permitirse el lujo de contratar docenas de analistas de seguridad cada año, si pueden encontrarlos (y las estimaciones son que el mercado global está generando un millón de empleos vacantes de analista de seguridad por año).

Segundo, y más importante, es lento. Incluso si tuviera el personal adecuado, la acumulación de análisis significa que la brecha promedio pasa desapercibida durante meses, de acuerdo con muchos informes de incumplimiento. Y a medida que el tiempo para explotar un ataque continúa aumentando, eso podría significar problemas.

Evaluación de la amenaza conductual al rescate

¿La solución? Considere implementar análisis de amenazas de comportamiento en tiempo real (BTA). Las herramientas BTA en tiempo real provienen de proveedores como Bay Dynamics, Exabeam, Fortscale, Gurucul, LightCyber, Securonix y Splunk (a través de su adquisición Caspida). Aunque los algoritmos son diferentes de un proveedor a otro, los productos BTA en tiempo real proporcionan una capa de análisis sobre los productos existentes de monitoreo y registro.

Es decir, las herramientas de BTA crean una evaluación de las amenazas de comportamiento al conectarse a las herramientas de información de seguridad y de administración de eventos, sistemas de detección de intrusiones y sistemas de prevención de intrusiones y otros –como firewalls–, e importando su información de registro. A continuación, realizan análisis de correlación de esa información para determinar qué comportamiento es normal para usuarios, dispositivos y sistemas. El siguiente paso para desarrollar una evaluación de la amenaza conductual es un análisis adicional para determinar si el comportamiento anómalo es solo eso –anómalo, pero inofensivo– o representa una verdadera amenaza. Los productos BTA hacen todo esto aplicando el aprendizaje automático a los flujos de datos para que los analistas de seguridad no necesiten programar reglas sobre lo que comprende el comportamiento normal.

Eso significa que uno de los grandes beneficios que las herramientas de BTA pueden proporcionar es minimizar el número de alertas y falsos positivos, cosas que parecen amenazas, pero no lo son. Las organizaciones que han desplegado estos sistemas dicen que reducen el número de falsos positivos de 500 o más al día –claramente una cantidad inmanejable– a dos o tres amenazas reales.

Lanzamiento de BTA

Para comenzar a implementar un BTA, configure criterios de selección, empezando por la arquitectura de seguridad existente y planificada. ¿Qué herramientas de monitoreo y registro son fundamentales para su entorno, y cuáles son las herramientas de seguridad de datos con las que contará durante los próximos años? La integración en esos sistemas será un criterio de selección crítico para sus productos BTA. También debe pensar en qué factor de forma prefiere: local o basado en la nube. La mayoría de los profesionales de seguridad se sienten incómodos al cargar los registros de seguridad a la nube, por lo que una instalación local puede ser la mejor manera.

Luego, usted querrá establecer una prueba de concepto (POC). Idealmente, esto será en una red autónoma con un conjunto definido de usuarios, como un departamento independiente o una división geográfica. ¿Por qué? Porque usted será capaz de obtener una idea de las capacidades de la herramienta BTA, y si funciona, el dueño del negocio de esa división o departamento será su principal evangelista en la defensa del sistema ante el resto de la empresa.

Evaluación de una herramienta BTA

Cuando ejecute su POC, busque varios factores. Primero, ¿cuánto tiempo le toma a la herramienta BTA "aprender" su entorno? La mayoría de los proveedores dicen que las herramientas empiezan a ofrecer valor en pocos días. Cuanto antes, mejor.

Segundo, ¿cuál es la tasa de falsos positivos? ¿Está viendo una caída dramática o solo una reducción menor? En otras palabras, ¿la herramienta de seguridad de datos está creando una evaluación de la amenaza de comportamiento que es de valor para usted?

Por último, ¿cómo muestra la información la herramienta de seguridad de datos? ¿Hay paneles que puedan ser utilizados por personas menos técnicas, como los interesados ​​de la industria? ¿Se priorizan las amenazas con claridad? ¿Recomienda el sistema acciones y próximos pasos?

Una vez que haya ejecutado su POC, debe tener una idea de los beneficios de negocios que puede proporcionar una herramienta como esta. Además de refrenar el crecimiento insostenible de los equipos de seguridad, un BTA en tiempo real puede ayudarle a responder a las amenazas de una manera mucho más oportuna –aumentando así su postura de seguridad– e impresionar a la junta con su nueva agilidad. Dependiendo del sistema, también puede tener un enfoque más efectivo para documentar amenazas y problemas de cumplimiento.

¿En resumen? Si desea comprender las amenazas que se producen en su entorno, dónde están ocurriendo, quién se ve afectado y qué debe hacer con respecto a ellas, es probable que necesite una evaluación de las amenazas de comportamiento. Es hora de considerar un producto BTA en tiempo real.

Este artículo se actualizó por última vez en noviembre 2016

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close