David J. Bianco Colaborador
David J. Bianco es el estratega de seguridad del personal del equipo SURGe by Splunk.
Prácticamente todos los profesionales de la seguridad se han topado con el “dilema del defensor” en algún momento de su carrera. Dice así: “Los defensores tienen que tener razón todo el tiempo. Los atacantes solo necesitan acertar una vez”.
La idea de que los atacantes tienen todas las ventajas y que los defensores deben ser pasivos y esperar a que algo responda es prácticamente un axioma de la ciberseguridad.
También es una mentira.
Basar una estrategia de seguridad en el dilema del defensor daña su programa de seguridad. Comenzar con una premisa incorrecta conduce a malas decisiones. Puede desperdiciar dinero en productos, servicios o capacidades que realmente no necesita o invertir poco en los que necesita. Su personal de seguridad se siente abrumado, desmoralizado y tiene problemas para obtener buenos resultados.
Los defensores esperan con razón que los atacantes mientan y hagan trampa para lograr sus objetivos, pero a veces olvidamos que mentir y hacer trampa pueden funcionar en ambos sentidos.
Si crees la mentira del dilema del defensor, hay otras mentiras que también debes creer porque el dilema del defensor se basa en ellas. Veamos cada una de estas mentiras en detalle y analicemos las estrategias que puede usar para negar sus efectos nocivos y convertirlos en ventajas para su equipo.
Mentira No. 1: La defensa y la ofensa están separadas
El dilema del defensor implica que su equipo de seguridad es puramente pasivo, sentado esperando que ocurran los ataques. Pero pensar en términos de “defensa” y “ofensiva” es una falsa dicotomía.
El Pirámide del dolor muestra que al detectar y responder consistentemente a la actividad de los actores de amenazas lo suficientemente rápido como para detener los ataques, puede imponer un costo a ese actor, convirtiendo la defensa en ofensiva. Al concentrar sus esfuerzos de desarrollo de detección en la mitad superior de la pirámide, es posible que no pueda prevenir los ataques por completo, pero hará que los actores trabajen más para tener éxito. Eso cambia la economía de sus ataques y también le da un tiempo valioso para responder.
Mentira No. 2: Los defensores deben estar en servicio 24/7
Sus defensas deben operar las 24 horas del día, mientras que los atacantes pueden elegir cuidadosamente el momento de sus ataques para que ocurran en las noches, los fines de semana o los días festivos. Sin embargo, eso no significa que los humanos siempre tengan que estar comprometidos para todo.
La automatización y la tecnología SOAR pueden convertir los libros de jugadas de IR en una respuesta automatizada. Llevar un incidente a la contención segundos o minutos después de la detección y recopilar datos básicos de IR en el camino mejora el tiempo de contención y reduce significativamente la dependencia del personal fuera de horario.
Considere también lo que cada lado está haciendo entre ataques. Mientras los actores de amenazas planifican sus próximos ataques, su equipo no debe quedarse inactivo. Utilice el tiempo entre incidentes para subir de nivel las capacidades del grupo y las habilidades individuales. Aprenda de incidentes anteriores para mejorar la detección y los libros de jugadas. Toma clases o aprende nuevas habilidades. Utilice la búsqueda de amenazas para identificar nuevas técnicas de detección o IR. Lo que podría haber sido víctima de ayer podría ser algo que detecte y prohíba mañana.
Mentira No. 3: Los defensas tienen que jugar limpio
Source link