En un mundo de amenazas más sofisticadas, una fuerza laboral dispersa y mayores demandas de su tiempo, los líderes de seguridad cibernética deben identificar qué viene después de la confianza cero , la orquestación de seguridad y otras prácticas que ayudan a las organizaciones a mantenerse resistentes frente a los crecientes ataques.

Si bien no existen panaceas, los expertos dicen que las tecnologías emergentes y las prácticas operativas pueden inclinar el campo de juego en su dirección. Le pedimos a varios expertos en seguridad que opinaran sobre las tecnologías de ciberseguridad que creen que serán más importantes en los próximos años y los desafíos críticos que se espera que resuelvan.

El tema común en estas conversaciones es un conjunto de herramientas y estrategias que abordan la ciberseguridad como un desafío de datos. 

“La seguridad siempre ha sido un juego asimétrico que favorecía al atacante, porque todo lo que tenía que hacer era hacer un pequeño cambio en los patrones conocidos”, dice Santosh Krishnan, gerente general de seguridad de Elastic. “Pero al utilizar y analizar datos de más fuentes, podemos detectar ataques que nunca antes habíamos visto y devolverles la ventaja a los buenos”.

El SIEM basado en el análisis de datos

Durante más de una década, las grandes empresas han utilizado sistemas de gestión de eventos e información de seguridad (SIEM) para realizar un seguimiento de los datos y alertas relacionados con la seguridad, en parte para satisfacer los requisitos de cumplimiento. Siguen siendo una inversión clave para los equipos de seguridad cibernética, dice Krishnan, porque mantienen una "fuente única de verdad" de la actividad relacionada con la cibernética. Pero los CISO también deberían usar SIEMS de manera más proactiva, agrega Krishnan. Mediante el uso de SIEM modernos que aprovechan poderosas herramientas de datos, los analistas de seguridad pueden usarlas para detectar anomalías sospechosas en el momento en que ocurren, en lugar de después del hecho.  

“El nombre del juego ahora es el análisis de datos”, dice Krishnan. “Los SIEM del futuro deben ser personalizables, escalables y rápidos”, dice Krishnan. Deben poder observar y proteger todos los sistemas, todas las cargas de trabajo, ya sea en las instalaciones o en la nube”.

Una vista más amplia de la superficie de ataque: XDR 

Durante la última década, el estado del arte en ciberseguridad consistía en contar con sistemas dispares para cerrar los puntos de entrada obvios para los atacantes. Las empresas utilizaron plataformas de detección y respuesta de punto final (EDR) para proteger los dispositivos de los empleados, sistemas de seguridad de red para proteger la propia red corporativa y otros sistemas para monitorear aplicaciones en la nube, sistemas de almacenamiento y similares.

Si bien este enfoque fragmentado funcionó en el pasado, no funciona de manera suficientemente eficiente para los ataques cada vez más sofisticados de la actualidad, como intentar colar una carga útil de código malicioso a través de muchos canales a la vez. Incluso si EDR detecta un archivo que sabe que está comprometido en una computadora portátil, la carga bien podría filtrarse a través de otro sistema fuera del alcance de EDR. Por el contrario, un EDR a menudo funciona sin el beneficio de la telemetría recopilada por otros sistemas.

Ahí es donde entran las plataformas de detección y respuesta extendida ( XDR ). Expanden las capacidades de SIEM y EDR al recopilar datos de un conjunto más amplio de sistemas de TI, incluidos puntos finales, aplicaciones en la nube y dispositivos móviles. Luego, con la ayuda de modelos de aprendizaje automático para analizar todos esos datos, las herramientas XDR crean políticas "extendidas" para sincronizar los esfuerzos de estos sistemas. 

“Muchos de los ataques de hoy en día están diseñados específicamente para evadir las capacidades de detección y respuesta en silos que la mayoría de las empresas tienen hoy en día”, dice Krishnan. “Al reunir todas esas fuentes de datos dispares y usar análisis de big data respaldados por aprendizaje automático, un XDR puede encontrar correlaciones que solían pasar desapercibidas. No está limitado a buscar ataques conocidos o ataques a través de la lente de un solo sistema de TI, sino que tiene una mejor oportunidad de encontrar cualquier comportamiento anómalo utilizando datos de toda la organización”.

"XDR hace un buen trabajo al romper los silos", dice Javvad Malik, principal defensor de la conciencia de seguridad en KnowBe4, una plataforma para la capacitación en conciencia de seguridad. “Aporta inteligencia de seguridad que en realidad no ha llegado a muchas organizaciones”. 

Uso de IA para contrarrestar amenazas internas

Las personas dentro de las organizaciones continúan representando los mayores riesgos de seguridad, ya sea sucumbiendo a los ataques de phishing o comprometiendo maliciosamente la información confidencial. Y a veces el informante no es una persona, sino un servidor secuestrado. 

Esa es una vulnerabilidad que el software de análisis de comportamiento de usuarios y entidades (UEBA) fue diseñado para resolver. Utiliza el aprendizaje automático para comparar las acciones normales de una persona o una máquina con el comportamiento que podría predecir un ataque y alertar a los equipos de seguridad.  

"Puede reducir las actividades repetitivas que los usuarios realizan todos los días y usar el aprendizaje automático para predecir sus rutinas", dice Don Cox, CISO de Educación Pública Estadounidense, un proveedor de programas y servicios de educación superior.

“Con esa información diaria, las soluciones de UEBA pueden alertarlo de que una persona de recursos humanos está accediendo a una carpeta marcada como 'Finanzas' y preguntarle si debe hacerlo”.

Para obtener más contenido relacionado con CISO:

Por qué es hora de que los CISO adopten DevSecOps
C-suite subestima a los CISO y los riesgos de ciberataque
5 prioridades para que los CISO recuperen el equilibrio que tanto necesitan en 2022