Una amplia automatización de las operaciones de seguridad cibernética podría cambiar las reglas del juego, y el concepto de automatización de la seguridad basada en manuales de estrategias está avanzando rápidamente. Los ataques cibernéticos son cada vez más sofisticados y sus efectos perturbadores en las empresas y la sociedad están aumentando espectacularmente. Por lo tanto, muchas organizaciones buscan mejorar sus capacidades de monitoreo de seguridad y respuesta a incidentes. Estos suelen establecerse en centros de operaciones de seguridad (SOC) dedicados y equipos de respuesta a incidentes de seguridad informática (CSIRT). Si bien estos SOC y CSIRT han madurado enormemente durante la última década, todavía existe una enorme brecha entre atacantes y defensores. En particular, cuando un ciberataque automatizado puede lanzarse en cuestión de segundos, la detección y la respuesta a menudo pueden tardar días, semanas o incluso meses. Richard Kerkdijk, consultor senior de tecnologías de seguridad cibernética de la firma de investigación independiente holandesa TNO, dijo: “Cuando un equipo SOC recibe una notificación de un incidente sospechoso, necesita compilar un análisis y determinar la respuesta más adecuada. “Para amenazas y eventos comunes (conocidos), el procedimiento de respuesta suele estar estandarizado, pero las tareas subyacentes, como la búsqueda de eventos relacionados o las referencias cruzadas con fuentes de inteligencia disponibles, aún pueden llevar mucho tiempo. Y si el evento es más excepcional, los analistas deben profundizar aún más”. Las operaciones de SOC y CSIRT a menudo dependen en gran medida del esfuerzo y la experiencia humanos. Esto es precisamente lo que causa el actual desajuste entre la velocidad de ataque y la velocidad de respuesta. A menos que se realicen cambios fundamentales, Kerkdijk dijo que el desequilibrio aumentará aún más, ya que el trabajo de los equipos SOC y CSIRT se está volviendo cada vez más complejo. «Las infraestructuras que protegen los equipos SOC y CSIRT son cada vez más complejas y diversas», afirmó. “Las redes locales tradicionales ahora están entrelazadas con una variedad de infraestructuras y servicios basados ​​en la nube, y son accesibles desde una gran cantidad de dispositivos (móviles). Esto hace que sea intrínsecamente difícil comprender los eventos de seguridad en toda su extensión y preparar una respuesta efectiva en todas las tecnologías involucradas”. Automatizar la defensa Para revertir esta tendencia, necesitaremos algo que cambie las reglas del juego, y una amplia automatización de las operaciones de seguridad cibernética podría convertirse en precisamente eso. «Existe un gran potencial de automatización en los procesos de seguridad operativa», afirmó Kerkdijk. «Un impulsor obvio para dicha automatización es acelerar la velocidad del análisis y la respuesta, pero también puede aliviar a los analistas de seguridad de tareas rutinarias (repetitivas) y liberar recursos para actividades más complejas, como la búsqueda de amenazas o el procesamiento de inteligencia sobre amenazas cibernéticas». Un avance clave en la automatización de SOC y CSIRT es la aparición de la automatización de la seguridad basada en manuales. La esencia de este concepto es que eventos específicos y predefinidos desencadenan un flujo de trabajo de respuesta estandarizado que se ejecuta con intervención humana limitada o nula. Dichos flujos de trabajo se capturan en manuales de seguridad legibles por máquina que dictan una secuencia predefinida de tareas de investigación o reparación. «Tradicionalmente, los manuales y manuales de respuesta a incidentes eran instrucciones documentadas para analistas y operadores humanos», dijo Kerkdijk. “Sin embargo, cuando se compilan en un formato legible por máquina, su ejecución se puede automatizar. La tecnología para ejecutar automáticamente un manual de seguridad ya existe y comúnmente se la conoce como orquestación, automatización y respuesta de seguridad, o SOAR”. Kerdijk agregó: “Los SOC a menudo operan un sistema de gestión de eventos e información de seguridad (SIEM) que recopila datos de la infraestructura protegida y produce eventos y alertas para que los analistas realicen un seguimiento. Un SOAR es una solución de próxima generación en la que gran parte de la respuesta está automatizada”. Las implementaciones actuales de SOAR generalmente se centran en automatizar el análisis de un evento (por ejemplo, una búsqueda de eventos relacionados que tradicionalmente implicaba copiar, pegar y usar la tecla Alt-tab entre varias pantallas). Sin embargo, en última instancia, SOAR también podría orquestar la mitigación real del incidente reconfigurando automáticamente los controles de seguridad y las funciones de red. Esto podría suponer un enorme ahorro de tiempo. Kerdijk dijo que dar el último paso hacia la mitigación de incidentes totalmente automatizada a menudo no es un desafío tecnológico sino organizacional. «Los SOC actuales tienen un mandato limitado o nulo para ejecutar cambios en la infraestructura por sí mismos», dijo. “Los procesos dictan que soliciten dichos cambios a los equipos de tecnología responsables, generalmente presentando un ticket de soporte. Si bien la ejecución automatizada de acciones de respuesta es técnicamente factible, también requerirá una reconsideración de los procedimientos de mantenimiento de TI y el mandato de los equipos SOC y CSIRT”. Con el tiempo, estos sistemas deberían funcionar de forma altamente automatizada y con una autonomía cada vez mayor. «Sí, eso requiere confianza en un sistema así», afirmó Kerkdijk. «Aún no estamos allí. La tecnología debe desarrollarse a un nivel en el que podamos confiar, y eso lleva tiempo”. Otra desventaja de los servicios actuales para la automatización de la seguridad cibernética es que la tecnología suele ser patentada. Por lo tanto, la mayoría de las soluciones SOAR son específicas del proveedor, lo que significa que solo se pueden ejecutar manuales con el formato especificado por ese proveedor específico. Estandarización de los manuales de estrategias Un avance importante que se está produciendo actualmente es que OASIS está estandarizando los formatos de los manuales de seguridad. TNO participó estrechamente en el actual estándar CACAOv2 para manuales de seguridad legibles por máquina. «A través de la estandarización, los manuales se vuelven agnósticos e independientes del proveedor de SOAR con el que se trabaja», afirmó Kerkdijk. “También se pueden compartir entre organizaciones, incluso si no emplean exactamente la misma solución SOAR. Si bien los manuales de estrategias no se pueden adoptar de otras organizaciones individualmente porque cada infraestructura es diferente, compartir plantillas de manuales de estrategias generalizadas brinda a las organizaciones una base útil que pueden configurar aún más con sus propios parámetros”. En el futuro, Kerkdijk espera que la comunidad comparta manuales de seguridad en el formato estandarizado de CACAO como complemento al intercambio ya existente de inteligencia sobre amenazas cibernéticas. De esa manera, no todas las organizaciones tienen que reinventar la rueda para cada incidente o evento. TNO cree que existe la necesidad de servicios SOAR abiertos para impulsar tanto el desarrollo como la adopción de esta tecnología. Por lo tanto, el instituto de investigación creó su propia oferta SOAR y la lanzó como tecnología de código abierto a mediados de marzo. «Somos firmes defensores de las soluciones abiertas y estandarizadas», dijo Kerkdijk a Computer Weekly. “Por lo tanto, nuestra herramienta SOARCA no depende de proveedores y viene con soporte nativo para el estándar CACAOv2. Lo lanzamos como código abierto para que la comunidad de profesionales de SOC y CERT pueda experimentar libremente con el concepto de automatización de seguridad basada en manuales y, con suerte, contribuir a su avance”. La automatización de la seguridad basada en manuales puede ahorrar un tiempo considerable y liberar tiempo a los analistas para realizar análisis más complejos sobre incidentes nuevos o menos conocidos. En última instancia, esto brindará a la organización un medio para seguir siendo atractiva para los especialistas en seguridad más solicitados. «Los especialistas en SOC y CSIRT tienen una gran demanda», afirmó. “Si se les libera de tareas aburridas y repetitivas y se les sustituye por trabajos más desafiantes, me imagino que su trabajo se vuelve más interesante y que resulta más fácil retenerlos”. Desarrollos futuros TNO está buscando una variedad de tecnologías innovadoras para la automatización de la seguridad cibernética. «Por ejemplo, estamos profundizando en un concepto que llamamos razonamiento de seguridad automatizado», dijo Kerkdijk. “Cuando los sistemas de monitoreo de seguridad generan una alerta, el proceso de razonamiento para llegar a un diagnóstico y determinar el camino correcto a seguir sigue siendo en gran medida tarea de expertos humanos. Creemos que este proceso puede respaldarse de manera más directa mediante el uso de tecnologías para modelar tanto la infraestructura como el comportamiento de los ciberatacantes”. TNO también lleva a cabo una extensa investigación con respecto a sistemas de autorreparación que anticipan, resisten y se recuperan de amenazas y ataques de forma autónoma. Este concepto se inspira en los patrones de defensa del sistema inmunológico humano y aplica principios como la regeneración celular a las infraestructuras de ciberseguridad. “Los SOC y CSIRT adoptarán una apariencia diferente en los próximos años, en parte porque hay muchos cambios en el panorama de amenazas, pero también porque las infraestructuras que protegen los equipos SOC y CSIRT están evolucionando enormemente y porque nuevas regulaciones como NIS2, la Ley de Seguridad Cibernética y el Escudo Cibernético traerán nuevas exigencias”, afirmó Kerkdijk. «La automatización de los procesos SOC y CSIRT probablemente desempeñará un papel fundamental en este desarrollo continuo».

Source link