Caza de amenazas: dar el primer paso para restaurar la higiene cibernética después de una pandemia

Para muchos directores de seguridad de la información (CISO), la pandemia global ha tenido su propio efecto indeseado de «Quarantine 15» (similar al «Freshman 15» que encontramos en nuestro primer año en la universidad) sobre la salud cibernética de las empresas que son. prometido proteger. Las ganancias por las que se ha luchado durante mucho tiempo que los CISO han obtenido de la alta dirección y las juntas que permiten programas cibernéticos con todas las funciones para detectar, prevenir y erradicar amenazas según sea necesario , ahora están bajo el ataque de halcones presupuestarios que, comprensiblemente, buscan ahorros en cualquier lugar que puedan. ser encontrado. Estas directivas de reducción de costos no deberían sorprendernos, ya que históricamente, los departamentos centrados en la tecnología, en los que se encuentra la ciberseguridad, a menudo se consideran para asumir su parte justa de los recortes presupuestarios en tiempos de dificultades económicas.

Si bien ha habido un mayor reconocimiento del valor y la importancia de una buena higiene cibernética y cómo estas prácticas pueden llevar a una mayor confianza en el valor de una empresa para sus partes interesadas, estas necesidades de recorte presupuestario impulsarán a los CISO a ver qué pueden hacer para Mantenga sus negocios seguros mientras cancela o retrasa los próximos compromisos.

El proceso iterativo de averiguar qué y dónde cortar comienza a agitarse en el cerebro del CISO. ¿Se puede retrasar la actualización del firewall? ¿Qué pasa con ese compromiso de prueba de penetración? ¿Es realmente necesario como parte de ese nuevo proyecto de CRM que el marketing ha estado pidiendo a gritos? Ese proyecto de educación y pruebas de phishing realmente ayudaría a crear conciencia sobre las buenas prácticas de seguridad del correo electrónico, pero ¿tal vez se posponga para el próximo trimestre fiscal?

Eventualmente, en algún momento, la higiene cibernética se desliza. La aptitud cibernética, al igual que la aptitud física, dañará al host con el tiempo cuando no se utilice correctamente. Los seres humanos pueden ver el daño de las ganancias de peso en una báscula o en el espejo, pero ¿qué puede hacer un CISO para ver el daño que muestra la reducción del ciber fitness?

Las grietas temporales que quedaron abiertas cuando se redujeron los presupuestos de ciberseguridad pueden haber permitido que algunos ciberatacantes encontraran un lugar de aterrizaje. La naturaleza avanzada de muchos ataques patrocinados por estados-nación a menudo permitirá que estos ataques encuentren un lugar agradable y acogedor para quedarse y practicar su malvado arte sin ser encontrados fácilmente.

Definición de Threat Hunting

Una de las herramientas del proverbial cinturón de herramientas de ciberseguridad que despliegan los CISO es la de un servicio de búsqueda de amenazas dirigido por humanos. La caza de amenazas puede significar muchas cosas para muchas personas, dependiendo de a quién se le pida la definición. IDC reconoce 3 tipos de búsqueda de amenazas:

1. La búsqueda de amenazas de respuesta ocurre cuando se identifica un indicador de compromiso (IOC). Los analistas de seguridad buscarán erradicar el malware identificado y luego buscarán otras posibles incursiones del atacante y el malware asociado.
2. La búsqueda de amenazas dirigida es cuando se producen búsquedas en torno a los activos de alto valor de una organización.
3. La búsqueda de amenazas proactiva se basa en un análisis hipotético de las tácticas, técnicas y procedimientos (TTP) de un posible adversario, y la búsqueda alrededor de un área probable de compromiso.

Las búsquedas de amenazas receptivas son los tipos que no se retrasan o cancelan fácilmente, porque este tipo de búsqueda de amenazas se produce debido a un IOC conocido. Normalmente no se ignora ni se pospone, incluso en tiempos de dificultades económicas.

Los otros dos tipos de búsqueda de amenazas son más proactivos y se volverán aún más importantes a medida que las empresas necesiten buscar y erradicar activamente los ataques anteriores que pueden haber aterrizado durante los últimos tiempos de mala higiene cibernética. Así como los seres humanos pueden tener que pagar el precio de los malos hábitos alimenticios, los CISO deberán recordar al C-Suite y a la junta directiva que a medida que sus empresas aumenten la actividad comercial al salir de la recesión, la búsqueda de amenazas de ciberseguridad, aunque costosa, será un elemento de gasto necesario.

Incluso durante las condiciones prepandémicas, uno de los indicadores clave de rendimiento (KPI) comunes que los investigadores de seguridad discutieron fue el temido número de tiempo medio de detección (MTTD). Este KPI mide cuánto tiempo permanecen los ataques dentro del panorama de una organización antes de que se detecten o, en el caso de un ataque de ransomware, se muestre. Un estudio de 2019 de IBM Security y el Ponemon Institute mostró que el tiempo promedio para detectar una infracción es de 206 días o 6,8 meses. Sería bueno pensar que con el mayor reconocimiento de mejores herramientas y servicios para detectar amenazas, este número estaría disminuyendo, pero la mayoría de las medidas de este KPI clave ven que empeora, en lugar de mejorar.

En una encuesta reciente de IDC MDR , casi el 40% de los participantes señaló la necesidad de involucrar a los proveedores de servicios de seguridad para reducir el MTTD, así como los KPI de tiempo medio de respuesta (MTTR) igualmente importantes. Los retrasos o cancelaciones de estos ejercicios de ciberseguridad percibidos como «opcionales» con los proveedores de servicios de seguridad permitirán que los números de MTTD y MTTR sigan creciendo en la dirección incorrecta.

Cursos de acción sugeridos

Los proveedores de servicios de ciberseguridad a menudo son vistos como ese asesor confiable al que los CISO buscan para obtener orientación y capacidades adicionales para proteger sus organizaciones. Ahora que la fase de choque inicial de COVID-19 ha terminado, es hora de que estos proveedores den un paso al frente y ofrezcan a sus clientes que podrían haber sufrido algunos fallos recientes de seguridad cibernética la flexibilidad financiera que permitirá a sus clientes participar en caza de amenazas proactiva.

Para los CISO que están preocupados por lo que puede estar al acecho dentro de sus entornos, este es el momento de impulsar a la C-Suite por la agilidad monetaria que permitirá que sus preciados activos digitales se limpien. Comuníquese con su proveedor de servicios de seguridad para elaborar rápidamente un plan mutuo sobre cómo puede realizar de manera rentable algunas búsquedas de amenazas específicas para proteger sus activos más valiosos. Si su proveedor de servicios no ofrece búsqueda de amenazas, busque contratar a uno que esté familiarizado con su industria y pueda considerarse una extensión de su equipo de operaciones de seguridad actual.

Todo buen viaje para perder peso comienza con el reconocimiento del problema y un plan de acción sobre cómo lograr el éxito deseado. El restablecimiento de la higiene cibernética adecuada requiere una verificación de la realidad similar de que un barrido del horizonte por parte de cazadores de amenazas talentosos es la mejor manera de establecer una línea base cibernética limpia.

La tecnología ha demostrado ser fundamental para permitir las respuestas de las empresas a la pandemia de COVID-19. Explore cómo las organizaciones aprovecharán la tecnología a largo plazo a medida que pasan de la crisis a la recuperación y viajan a la siguiente normalidad con la amplia investigación y asesoramiento sobre COVID-19 de IDC.

Traducción del artículo original de IDC
https://blogs.idc.com/2020/07/10/threat-hunting-taking-the-first-step-to-restoring-cyber-hygiene-after-a-pandemic/
Julio 10, 2020 / Craig Robinson