Grafvision - Fotolia
El análisis de seguridad avanzada resguarda su empresa
El análisis de seguridad avanzado utiliza la información recopilada de SIEM y otras herramientas de seguridad para proteger la empresa. Aprenda cómo funciona el análisis avanzado y lo que viene a continuación.
Al igual que con tantas ideas, la ciberseguridad inteligente apareció por primera vez en la ciencia ficción.
Si estuvo en los años 80 y 90, recuerda el subgénero cyberpunk, que exploró las implicaciones de la inteligencia de las máquinas y la realidad virtual, particularmente en el contexto de la ciberseguridad y la guerra de la información.
Y como hemos visto, las ideas que se originan en la ciencia ficción tienden a convertirse en realidad en unas pocas décadas. Los "comunicadores" del programa de televisión Star Trek de los años 60 existen hoy en día en forma de teléfonos inteligentes (Martin Cooper, el ingeniero de Motorola que desarrolló el primer teléfono móvil, fue realmente inspirado por lo que vio en el programa de televisión). De manera similar, las visiones de los cyberpunk de los años ochenta están empezando a hacerse reales en forma de análisis avanzados de seguridad, que promete proteger las organizaciones empresariales contra los ataques más sofisticados, incluidas las amenazas persistentes avanzadas.
Jerarquía de seguridad
La mejor manera de entender lo que está pasando con la analítica avanzada de seguridad es pensar en las tecnologías de seguridad en la forma triangular de la jerarquía de necesidades de Maslow. En la base están los sistemas de protección: firewalls, gateways web seguros, antimalware, gestión de identidad y acceso, y prevención de pérdida de datos. Las herramientas de este nivel exploran buscando código malicioso, y monitorean el acceso no autorizado a diversos recursos. Una característica clave de los sistemas de protección es que enfatizan la protección de un tipo específico de recurso, sistema o vector de ataque. Estas herramientas son esenciales, pero no suficientes; tiene que haber alguna forma de coordinar y extraer la información que recopilan.
El siguiente nivel consiste en sistemas de detección y monitoreo, tales como información de seguridad y productos de gestión de eventos (SIEM), así como sistemas de detección de intrusiones y sistemas de prevención de intrusiones (IDSes/IPSes). La característica clave de estas herramientas de análisis avanzado es que toman una visión holística de la empresa. Las herramientas SIEM e IDS/IPS monitorean y administran lo que está pasando en múltiples recursos y sistemas, incluyendo las herramientas de seguridad. Como tales, se basan y se integran en los sistemas de protección.
Pero hay un problema: Las herramientas SIEM y de IDS/IPS recogen enormes cantidades de datos. A pesar de que filtran los datos, analizarlos puede ser una tarea que literalmente no es humanamente posible. Las grandes empresas informan que sus productos SIEM e IDS/IPS generan hasta 500 falsos positivos por día, un número que simplemente no es posible validar y verificar manualmente. Ahí es donde entra en juego el análisis avanzado de seguridad.
Qué ofrece la analítica de seguridad avanzada
El análisis avanzado de seguridad es una capa superior de sistemas que se integran en productos existentes y automatizan el análisis a través de aprendizaje automático y técnicas de big data. Este enfoque permite a los profesionales de la seguridad de la información tomar medidas sobre las cuestiones que realmente representan una brecha o amenaza.
Hay varios tipos diferentes de productos que entran dentro de la categoría de análisis avanzado de seguridad. Las herramientas de inteligencia operacional de seguridad, como Splunk, permiten a los usuarios descubrir conexiones entre eventos. Las herramientas de análisis de amenazas de comportamiento analizan el comportamiento de los usuarios, dispositivos y sistemas en el entorno para descubrir comportamientos anómalos que pueden representar una amenaza.
Las herramientas de análisis de seguridad suelen obtener sus entradas de los datos y fuentes de otras herramientas y sistemas, incluyendo SIEM, IDS/IPS y una serie de otros, como firewalls, gateways web seguros y similares. Donde tienden a diferir es en su enfoque: el análisis contextual de las amenazas internas, por ejemplo, o tal vez en la traducción de la amenaza al riesgo empresarial.
Independientemente del enfoque, estas herramientas de análisis de seguridad avanzado intentan descubrir qué incidentes, o patrones de incidentes, representan una amenaza real. A través del aprendizaje automático, la inteligencia artificial y la integración con otras soluciones de seguridad, pueden reducir los falsos positivos en varios órdenes de magnitud, convirtiendo el problema en algo que los profesionales de la seguridad pueden abordar manualmente.
Pero no se detendrán aquí. La siguiente frontera de los análisis avanzados de seguridad es la analítica predictiva; no solo detectar amenazas a medida que ocurren, sino predecir con precisión las amenazas que llegarán mañana y el riesgo de negocios que plantearán. Esto, a su vez, permitirá a los profesionales de seguridad pasar del modo reactivo al proactivo. O, como algunos lo dirían: ir audazmente a donde nadie ha ido antes.