Comencemos asegurando que no estamos aquí para generar ansiedad por el miedo de nadie a perderse algo. Dicho esto, queremos asegurarnos de que conozca todas las ventajas disponibles en Elastic Security, especialmente si tiene una versión anterior. Puede ser difícil encontrar tiempo para profundizar en cada nueva versión, ver qué nuevas funciones podrían estar disponibles o buscar formas de estirar su presupuesto para recopilar todos los registros que podría estar perdiendo.

Elastic® lanza nuevas versiones con bastante rapidez, impulsadas por nuevas funciones, solicitudes de mejora enviadas por los usuarios y, por supuesto, correcciones de errores ocasionales. Puede ser un desafío programar actualizaciones para cada nueva versión, particularmente cuando hablamos de una plataforma SIEM que debe funcionar las 24 horas del día, los 7 días de la semana, los 365 días del año, y mucho menos agregar implementaciones de Elastic Agent, Defend endpoint security y todos los registros y alertar a las tuberías que a menudo están involucradas.

En este blog, veremos mis cinco razones principales para actualizar Elastic Security y el valor que puede esperar del esfuerzo. Al final, hablaremos sobre algunas consideraciones de planificación de actualizaciones para minimizar el riesgo y maximizar el valor que puede obtener de una actualización.

No siempre se trata de detección. Si está utilizando Elastic Security para detección y respuesta extendidas (XDR), la adición de múltiples acciones de respuesta constituye otra razón de peso para actualizar. Aislar hosts comprometidos, suspender procesos sospechosos, descargar archivos, cargar archivos y ejecutar comandos de forma remota son acciones disponibles en nuestra última consola de respuesta (8.11) para que la reparación de amenazas sea lo más rápida, efectiva y controlada posible. Descargue Elastic Defender para comenzar .

Amo la nube y algunos días también amo Kubernetes. Otros días (normalmente cuando algo no funciona como creo que debería) los detesto. Esto sucede con mayor frecuencia cuando algo que me tomaría 2,5 segundos resolver en el mundo físico me toma dos días solucionarlo debido a alguna característica nueva de la consola en la nube o una actualización de Kubernetes a la que realmente no estaba prestando atención.

Desde una perspectiva de seguridad, es peor. Mantenerse al día con todas las configuraciones, opciones, identidades y roles en un entorno dinámico es un desafío. Elastic Security agregó Kubernetes (7.x) y Cloud Security Posture Management (CSPM) (AWS en 8.7 y GCP en 8.10, con Azure Beta en 8.11) para evaluar de forma rutinaria sus entornos con respecto a los puntos de referencia del Centro de Seguridad de Internet (CIS). La gestión elástica de la postura de seguridad es una excelente manera de monitorear una configuración de seguridad básica en estos entornos.

A menudo veo que uno de los impulsores más importantes para reducir métricas como MTTD/R es el conocimiento organizacional que los analistas acumulan con el tiempo. Dados los desafíos actuales para encontrar y retener analistas de seguridad experimentados, cualquier cosa que podamos hacer para ayudar a codificar ese conocimiento organizacional es algo bueno. 

Las investigaciones dinámicas permiten a sus analistas experimentados configurar fácilmente reglas con cronogramas de investigación integrados y específicos de la organización para ayudar a los nuevos empleados y novatos a lograr la eficiencia de la manera más rápida y sencilla posible. 

En el siguiente ejemplo, configuré una regla de almacenamiento CSPM que alerta sobre un depósito S3 abierto (1). Al hacer clic en el enlace Investigación dinámica (2) en la alerta, aparece una línea de tiempo con todos los registros y alertas relacionados con el depósito en cuestión. Esto revela todo lo que necesito para determinar el impacto de la configuración incorrecta, además de identificar al usuario que necesita capacitación correctiva sobre la configuración del depósito S3. Todo esto sucede con un solo clic, independientemente de la experiencia o conocimiento del entorno del analista.

Quizás hayas oído hablar de esto llamado inteligencia artificial generativa . ¿Necesitas buscarlo? Te daré un minuto mientras hago mi capacitación de recuperación en seguridad S3 (volveré). 

Dejando a un lado todas las bromas de Skynet, ¡la IA generativa está en todas partes! Pero no es una solución milagrosa para acabar con los hombres lobo de seguridad con los que nos enfrentamos todos los días. He descubierto que es excepcionalmente útil para hacer todo tipo de cosas menores y repetitivas rápidamente, así como para recopilar contexto sobre alertas y amenazas. 

El Asistente de IA de Elastic brinda asistencia de muchas maneras y cada vez encontramos más. Comenzó brindando sugerencias para usar Elastic Security, escribiendo reglas de detección a partir de consultas en lenguaje natural y obteniendo sugerencias para ajustes y configuraciones. Los analistas experimentados pueden usarlo para reforzar la información contextual en los casos, mientras que los analistas novatos lo usan para ayudar a evaluar el impacto o correlacionar alertas entre comportamientos complejos.

¡Esta característica se introdujo en 8.10 y es posiblemente la razón más poderosa para actualizar su solución Elastic Security! Para obtener más información, consulte el blog del Asistente de Elastic AI .

Nadie quiere aprender un nuevo lenguaje de consulta si puede evitarlo, y Elasticsearch Query Language (ES|QL 8.11) facilita a cualquier persona con experiencia en SQL o SPL la transición rápida a Elastic Security. ES|QL aporta un lenguaje de consulta canalizado familiar a Elastic Security, combinando todos los beneficios de velocidad del esquema en escritura con las capacidades de un motor de consulta dinámico de esquema en lectura. 

ES|QL hace que sea más fácil que nunca escribir reglas de detección complejas al mismo tiempo que mejora y condensa los flujos de trabajo de investigación con la capacidad de crear visualizaciones, cálculos y agregaciones directamente desde una pantalla. Vea todas las capacidades de ES|QL .

Si bien los beneficios que hemos cubierto son solo la punta del iceberg, todos sabemos que lanzarse a la última y mejor versión puede ser un poco arriesgado. Por mucho que intentemos minimizar los errores con pruebas exhaustivas de control de calidad, es imposible probar cada una de las infinitas permutaciones de combinaciones de nube, contenedor, sistema operativo y software que se utilizan hoy en día.

Para ser franco, habrá errores. Si bien siempre me ha impresionado la rapidez con la que Elastic se mueve para abordar los problemas con las nuevas versiones, es posible que eso no le ayude tan pronto como nos gustaría. Aquí hay cuatro formas de reducir el riesgo de cualquier actualización:

• Lea detenidamente las notas de la versión de Elastic Security en cada versión y preste mucha atención a los problemas conocidos y a los cambios importantes. En este punto, comparo qué nuevas funciones y mejoras serían beneficiosas con los problemas conocidos, los cambios importantes y el esfuerzo necesario para actualizar.
• Si tiene un clúster de desarrollo, puede probar y examinar nuevas versiones con la frecuencia que tenga sentido para su organización. Comience verificando los resultados del asistente de actualización en Stack Management y asegúrese de que no haya problemas críticos. Planifique sus actualizaciones teniendo en cuenta el negocio y apuntando a cada lanzamiento de 2 a 5 puntos. La excepción a este ciclo sería una característica específica que reduciría significativamente el riesgo de la organización, optimizaría mejor los costos o abordaría un problema conocido.
• Si no tiene un clúster de prueba, probablemente querrá ser más conservador en su planificación de actualización. Recomiendo omitir cualquier actualización importante (por ejemplo, 8.0) hasta al menos la versión x.1 o x.2. Esto debería ofrecerle las nuevas funciones de interés poco después de su lanzamiento, con un riesgo significativamente menor de afectar negativamente sus operaciones de seguridad. Para las versiones provisionales, equilibraría los beneficios de cualquier versión determinada con el impacto que esas nuevas capacidades tendrán en sus operaciones de seguridad, pero no está de más omitir versiones menores. 

¡No lo olvides! Las actualizaciones se pueden realizar en vivo, con poco o ningún impacto en los componentes configurados para alta disponibilidad (normalmente todo menos los niveles fríos y congelados).