A pesar del aumento de las violaciones de la seguridad y de los incidentes que aparecen en los titulares de hoy en día, muchos equipos de respuesta a incidentes carecen de personal suficiente o tienen dificultades para encontrar el conjunto de competencias adecuado para realizar el trabajo.
Por ello, muchos equipos corporativos de respuesta a incidentes buscan activamente oportunidades para automatizar procesos que llevan demasiado tiempo a los analistas altamente cualificados.
Estos procesos suelen requerir mucha repetición y aportan poco valor en las investigaciones. Entre las actividades habituales que muchos equipos se plantean automatizar se incluyen:
- Identificar y correlacionar las alertas:
Muchos analistas dedican una cantidad excesiva de tiempo a revisar alertas y alarmas repetitivas de muchas fuentes de registro y eventos, y luego dedican tiempo a elaborar estrategias de correlación para eventos similares.
Aunque esto es valioso para las fases posteriores de las investigaciones, también puede ser muy repetitivo y automatizable hasta cierto punto. - Identificar y suprimir los falsos positivos:
Puede ser un trabajo tedioso en un buen día y abrumador en un mal día. La identificación de falsos positivos puede simplificarse o automatizarse mediante modernas herramientas de gestión de eventos y automatización de la respuesta a incidentes. - Investigación inicial y búsqueda de amenazas:
Los analistas necesitan encontrar rápidamente pruebas de un sistema comprometido o de una actividad inusual, y normalmente tienen que hacerlo a escala. - Apertura y actualización de tickets / casos de incidencias:
Gracias a una mejor integración con los sistemas de llamadas, las herramientas de gestión y supervisión de incidentes utilizadas por los equipos de respuesta pueden generar tickets para los miembros adecuados y actualizarlos a medida que llegan las pruebas. - Elaborar informes y métricas.
Una vez recopiladas las pruebas y los casos en curso o resueltos, generar informes y métricas puede llevar mucho tiempo a los analistas.
Casos prácticos de automatización de la respuesta a incidentes
La automatización de la respuesta a incidentes puede permitir a las empresas responder con rapidez y mitigar las amenazas a la seguridad. Considere implementar uno o más de los siguientes casos de uso para mejorar la respuesta ante incidentes:
- Búsquedas DNS automatizadas de nombres de dominio nunca antes vistos a través de proxy y registros DNS.
- Búsquedas automatizadas de indicadores de compromiso detectados.
- Imágenes forenses automatizadas del disco y la memoria de un sistema sospechoso, activadas por alertas de plataformas y herramientas antimalware basadas en la red y el host.
- Controles de acceso a la red que bloquean automáticamente los canales salientes de mando y control de un sistema sospechoso.
La automatización de la respuesta a incidentes también puede ayudar con la recopilación de pruebas forenses, la caza de amenazas e incluso las actividades automatizadas de cuarentena o corrección en sistemas sospechosos.
Decidir qué activadores aplicar y qué acciones emprender es el aspecto que más tiempo consume a la hora de crear una estructura de respuesta automatizada o semiautomatizada.
¿Se centra en las acciones del usuario?
¿Eventos específicos generados por instancias u objetos de almacenamiento?
¿Eventos fallidos?
Dedicar tiempo a conocer los comportamientos del entorno y trabajar para comprender mejor las pautas normales de uso puede tener un gran valor operativo.
Ninguna de estas herramientas o métodos sustituirá a los analistas de seguridad cualificados y con conocimientos que entienden el entorno y cómo reaccionar adecuadamente durante un escenario de incidente. Sin embargo, a menos que los profesionales de la seguridad empiecen a detectar y responder con mayor rapidez, será imposible adelantarse a los atacantes de hoy y de mañana.
Conversys puede ayudar a su empresa a reducir los riesgos e impactos de esta crisis global. Póngase en contacto con nuestros expertos ahora e infórmese sobre las soluciones de seguridad, gestión de redes y conectividad de Aruba Networks. Estamos a su disposición para ayudarle a superar este reto.
Acerca de Conversys
Conversys IT Solutions es un proveedor de servicios y soluciones de Tecnologías de la Información y la Comunicación que opera en todo Brasil.
Con un equipo técnico y comercial altamente cualificado y una red de socios que incluye a los principales fabricantes mundiales de tecnología, Conversys IT Solutions es capaz de ofrecer a sus clientes soluciones de infraestructura informática y de telecomunicaciones personalizadas.
Invertimos en nuestros empleados y socios y nos esforzamos por mantener una relación duradera con nuestros clientes, porque creemos que así es como adquirimos las habilidades y conocimientos que necesitamos para innovar y generar valor para las empresas en las que operamos.
Acerca de Aruba
ARUBA, una empresa de Hewlett Parkard Enterprise, está redefiniendo la red inteligente con soluciones de movilidad e IoT para organizaciones de todos los tamaños a nivel mundial.
Ofrecemos soluciones informáticas que permiten a las organizaciones atender a la generación móvil -usuarios expertos en movilidad que confían en las aplicaciones basadas en la nube para todos los aspectos de su trabajo y su vida personal- y aprovechar el poder de la información para transformar los procesos empresariales.
Con servicios de infraestructura ofrecidos como software de nube privada o pública, Aruba ofrece conectividad segura para movilidad e IoT, lo que permite a los profesionales de TI crear redes que siguen el ritmo del cambio.
