Protección integral como servicio

La seguridad como servicio es el futuro de la seguridad de la información.

Tras haber trabajado con los modelos de software como servicio (SaaS, por sus siglas en inglés) por un tiempo, nos hemos involucrado en esquemas similares para ofrecer en su totalidad infraestructuras como servicio (IaaS, por sus siglas en inglés) y plataformas como servicio (PaaS, por sus siglas en inglés). Y pensamos que es un buen rumbo para las organizaciones alrededor del mundo, pues el uso de una solución integral ayuda a los negocios a concentrarse en sus tareas principales. ¿Pero es posible proporcionar a las organizaciones de talla empresarial una protección completamente integrada dentro de un modelo de seguridad como servicio?

 

Cómo entendemos la protección integral

Para responder a la pregunta, primero debemos definir qué queremos decir con protección totalmente integrada. Si estamos hablando de las empresas, entonces significa una protección de la infraestructura en todas las etapas de respuestas a amenazas:

  • En la etapa de prevención de incidentes, el uso de soluciones endpoint en endpoints;
  • En la etapa de detección de amenazas, la supervisión y el análisis de los datos que transitan del lado de la solución de seguridad del cliente hacia el centro de operaciones de seguridad (SOC, por sus siglas en inglés);
  • En la etapa de cacería de la amenaza, implica probar las hipótesis sobre las nuevas amenazas y realizar exploraciones retrospectivas de los datos históricos en busca de nuevos indicadores de compromiso e indicadores de ataques (IoCs e IoAs, respectivamente);
  • En la etapa de validación de amenazas, durante la cual el equipo de SOC determina si un evento sospechoso particular es una amenaza real o una acción legítima (falsa alarma);
  • En la etapa de respuesta a incidentes, cuando reconstruimos la cadena de ataque y proporcionamos recomendaciones para su corrección.

Las soluciones de este tipo Plataformas de Protección de Endpoints y Detección y Respuesta de Endpoints (EDR por sus siglas en inglés) se encargan de la primera etapa de modo automático. En todas las etapas posteriores, la participación de los expertos de SOC es crucial. Sin embargo, no todos los negocios pueden permitirse un SOC interno.

¿Qué hay de las empresas sin un SOC?

Tener un SOC interno no es una condición necesaria para contar con una protección integral. De hecho, la gran mayoría de las grandes empresas no tiene; solamente un 20%, en comparación con el número total de reseñas para las plataformas de tipo protección de Endpoints con el número de reseñas para las soluciones de tipo EDR (lo cual presume la disponibilidad de un SOC) en la plataforma Gartner Peer Insights.

¿Cómo lo pasa el 80% restante? Una opción sensata para la mayoría es delegar las funciones de seguridad. El trabajo experto de identificación, evaluación y confirmación de amenazas, y la respuesta a incidentes lo puede realizar un proveedor de servicios de seguridad gestionados (MSSP, por sus siglas en inglés) o un proveedor de soluciones de seguridad que esencialmente toma las funciones del MSSP (como es nuestro caso).

MDR de Kaspersky: seguridad como servicio basada en una Paas pública.

 

Bajo esta estrategia, los clientes reciben un sistema de soluciones con una funcionalidad mucho más amplia que una EDR ordinaria. Incluye la detección de amenazas mediante el análisis de anomalías del tráfico de red (detección y respuesta de red, NDR por sus siglas en inglés) y la opción para hacer que la información del incidente sea interpretada por expertos (detección y respuesta administradas, MDR por sus siglas en inglés). Nuestro SOC se distingue debido a que sus expertos tienen acceso rápido a la información sobre los incidentes y las nuevas amenazas por todo el mundo, sobre cuya base pueden tomar medidas en beneficio del cliente. Y aunque los procesos de detección y respuesta a riesgos (EDR + NDR = XDR) ya se encuentran bastante bien automatizados, estamos mejorando constantemente esta área y planeamos fortalecerla en el futuro.

La metodología de evaluación de ATT&CK ya ha verificado la efectividad de nuestra estrategia. Debido a la naturaleza específica de la estrategia, la evaluación de MITRE ATT&CK Round 2 se centró exclusivamente en las habilidades de detección de nuestras soluciones. Por lo tanto, la respuesta a incidentes, la prevención y la cacería de amenazas (donde nuestros expertos de SOC cuentan con un dominio único) se omitieron intencionalmente de la evaluación.

Nuestras soluciones de EDR también han resultado confiables y adecuadas para los SOC internos y subcontratados. De acuerdo con el antedicho portal Gartner Peer Insights, nuestra solución Kaspersky Anti Targeted Attack ha ingresado a las 3 mejores y se le ha otorgado el reconocimiento Customers’ Choice for Endpoint Detection and Response. Agradecemos enormemente a todos nuestros clientes que dedicaron un tiempo para dejar una reseña.

 

Puntuación general de las soluciones EDR según Gartner Peer Insights. Fuente: Gartner.

 

En resumen, creo que el futuro de la seguridad de la información le pertenece indudablemente a la seguridad como servicio, pero donde el cliente pueda seleccionar el grado de automatización de sus herramientas elegidas y hacer upgrades de la solución integral con funciones adicionales.

 

Consejos