Download ELIMINACIÓN DE LAS BRECHAS DE SEGURIDAD

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
Document related concepts
no text concepts found
Transcript 
E
D
N
IÓ
C
A
IN
ELIM
S
A
H
C
E
R
B
S
LA
D
A
ID
R
U
G
E
S
E
D
OR
F
Y
IT
R
U
C
E
S
E
D
PERSPECTIVAS
UNCIL
O
C
N
IO
T
A
V
O
N
IN
BUSINESS
Preparación para las vulneraciones
DESCRIPCIÓN GENERAL
Este libro electrónico contiene perspectivas sobre la preparación, la respuesta y la
resistencia a las vulneraciones, las cuales se basan en entrevistas detalladas realizadas
con Security for Business Innovation Council (SBIC)1. SBIC está compuesto por ejecutivos
de seguridad con visión de futuro de empresas Global 1000 comprometidas a promover
el estado de la seguridad de la información en todo el mundo, para lo cual comparten
perspectivas que provienen de su experiencia en situaciones reales.
Los parámetros de preparación para el sector en general se obtuvieron de una encuesta
global que se aplicó a 170 profesionales de seguridad en 30 países. Se proporcionan
medidas dentro de cuatro áreas principales de preparación para las vulneraciones y
respuesta a incidentes: inteligencia de contenidos, análisis forense y analítica,
inteligencia de amenazas y respuesta a incidentes.
Mediante la comparación y el contraste de las respuestas de líderes del sector con las
del sector en general, es posible ofrecer recomendaciones útiles para la creación de un
programa preventivo de preparación y respuesta a las vulneraciones.
1 En el apéndice encontrará una lista completa de organizaciones y representantes de SBIC
2
Preparación para las vulneraciones
RESPUESTA A INCIDENTES
La respuesta a incidentes es un enfoque organizado para manejar eventos adversos confirmados o presuntos que afectan la
seguridad de sistemas o redes computacionales. Los procesos de respuesta a incidentes eficaces manejan los incidentes de
una manera que limita el daño y reduce el tiempo y el costo de la recuperación.
La planificación de la respuesta a incidentes debe ser un proceso dinámico. Las organizaciones que no evalúan ni mejoran
los planes de respuesta a incidentes exponen su negocio a mayores niveles de riesgo.
100 %
Un 67 % de los
miembros de SBIC
usa formalmente
inteligencia y
conocimientos clave
obtenidos de los
incidentes de
seguridad para
mejorar los procesos
de respuesta.
Un 57 % del grupo
que no pertenece a
SBIC no revisa ni
actualiza esos
planes o lo hace
rara vez.
SBIC
En general
70 %
Implementaron planes formales de respuesta a incidentes.
“Las personas y el proceso son más
importantes que la tecnología en lo que
concierne a la respuesta a incidentes.
Primero, un equipo de operaciones de
seguridad debe tener funciones y
responsabilidades claramente definidas
para evitar la confusión en el momento
crucial. Sin embargo, es igualmente
importante disponer de visibilidad y
flujos de trabajo constantes durante
cualquier crisis de seguridad
significativa para garantizar la
responsabilidad y la coherencia, y
ayudar a las organizaciones a mejorar
los procedimientos de respuesta en el
transcurso del tiempo”.
Ben Doyle, director de seguridad de la
información, Thales Australia y Nueva Zelanda
3
Preparación para las vulneraciones
INTELIGENCIA DE CONTENIDOS
La inteligencia de contenidos es un estado de concientización situacional que se obtiene de las herramientas, la tecnología
y los procesos que implementan las organizaciones para identificar y monitorear recursos fundamentales y divulgar
inteligencia útil con fines de análisis y respuesta.
Los miembros de SBIC cuentan con equipos de ciberseguridad cualificados que se encargan exclusivamente de identificar
e implementar tecnologías para elevar el nivel de la inteligencia de contenidos. El uso compartido de la información es un
proceso institucionalizado y continuo.
100 %
92 %
90 %
SBIC
En general
60 %
50 %
45 %
“Las organizaciones deben
perfeccionar continuamente
su enfoque de la recopilación
de inteligencia. ¿Qué tan útil
y oportuna es? ¿Es valiosa
para el negocio? Si no lo
hacen, nos encontraremos
saturados de información y
prácticamente perdidos”.
Tim McKnight, director global de
seguridad de la información,
General Electric
Implementó una solución de
agregación y correlación de registros
orientada a la seguridad para contar
con alertas centralizadas de
actividad sospechosa
4
Utiliza la importancia de los
recursos o datos de
vulnerabilidad durante las
operaciones diarias y la
administración de incidentes
Identifica y reduce los
falsos positivos
Preparación para las vulneraciones
ANÁLISIS FORENSE Y ANALÍTICA
El análisis forense comprende la captura, el registro y el análisis de datos de redes y hosts con el fin de descubrir el origen
de ataques u otros incidentes.
El análisis forense es una funcionalidad clave para detectar campañas de ataques y ataques avanzados y sofisticados.
83 %
83 %
SBIC
En general
72 %
42 %
“Es importante usar orígenes
internos y externos para la
detección y el análisis de
malware. Con el uso de
terceros, las organizaciones
pueden apreciar de mejor
manera lo que sucede y
aprovechar esa inteligencia
con el fin de prepararse
para los ataques futuros”.
Dave Martin,
director de confianza, RSA
Implementó una funcionalidad de
análisis forense de red “activa”, como
una herramienta con captura y análisis
completos de paquetes
Cuenta con una funcionalidad
de análisis forense de host
“activa”
5
Preparación para las vulneraciones
INTELIGENCIA DE AMENAZAS
La inteligencia de amenazas es el proceso de recopilar y combinar datos de amenazas internas y externas para implementar
métodos eficaces de detección, investigación y respuesta a eventos de seguridad.
SBIC
100 %
100 %
60 %
Un 83 % usa
estos datos en
operaciones
diarias de
ciberseguridad.
En general
43 %
“Las operaciones de seguridad
deben mantener cierto nivel
de flexibilidad. Con eventos
de día cero y otros tipos de
ataques que son menos
comprensibles, los equipos
de operaciones de seguridad
deben ser ágiles y adaptables.
Los servicios basados en
suscripción son buenos como
ayuda adicional si un equipo
tiene restricción de recursos”.
Jerry Geisler, director sénior de
operaciones de seguridad de los sistemas
de información, oficina del director de
seguridad de la información, Walmart
Dispone de un programa activo de
administración de vulnerabilidades para
identificar, investigar, evaluar y corregir
los posibles puntos de vulneraciones.
6
Aumenta la inteligencia de
amenazas interna con datos
de orígenes externos.
S
A
IV
T
C
E
P
S
R
PE
S
E
L
A
N
IO
IC
D
A
7
Preparación para las vulneraciones
PERSPECTIVAS ADICIONALES
RESPUESTA Y ADMINISTRACIÓN DE INCIDENTES
La manera en que se da prioridad y se rastrean los incidentes de seguridad puede afectar considerablemente la eficacia de la respuesta a las vulneraciones.
Muchas organizaciones aún dependen de un sistema descentralizado manual para rastrear los incidentes de seguridad. En algunos casos, esto consiste en
algo más que una hoja de cálculo que actualiza el analista de seguridad según las necesidades. Esto dificulta el establecimiento de un gobierno corporativo,
el rastreo de la manera en que se abordan los incidentes y la incorporación de perspectivas que permitan perfeccionar el proceso en el transcurso del tiempo.
Las organizaciones deben utilizar un sistema basado en flujos de trabajo exclusivo que proporcione visibilidad total, desde la recopilación de alertas hasta
la creación y la escalación de incidentes a través de moderación, contención, análisis y corrección. Entre los encuestados de SBIC, solo un 58 % emplea un
sistema de administración de incidentes y flujos de trabajo exclusivo para las operaciones de seguridad destinado a rastrear y administrar incidentes.
Finalmente, las pruebas habituales aumentan la posibilidad de que los procedimientos de respuesta a incidentes se implementen según lo previsto cuando
se requieren. Entre los miembros de SBIC, el 92 % implementó un proceso formal para probar su programa de respuesta a incidentes por lo menos una vez
al año. Los juegos de guerra cibernética identifican áreas que se deben mejorar y permiten asegurarse de que los niveles correctos de atención, el personal
y el presupuesto se centren en las aplicaciones y los datos de mayor valor y en la infraestructura vulnerable.
INTELIGENCIA DE CONTENIDOS
El establecimiento de inteligencia de contenidos es fundamental y constituye el primer paso en la creación de un programa de preparación y respuesta a las
vulneraciones. Las organizaciones deben aprovechar la tecnología de recopilación de datos para obtener una visibilidad amplia y profunda de la actividad
en todo el ambiente. Debe haber una funcionalidad que brinde una detección automatizada de anomalías con un recurso o un equipo dedicados a analizar
los posibles incidentes que expone la tecnología.
El desarrollo de inteligencia de contenidos es un proceso continuo. Los miembros de SBIC, que han implementado avanzados protocolos de preparación
y respuesta a las vulneraciones, promueven la mejora continua. Un 58 % de los miembros entrevistados señaló que, a pesar de disponer de agregación
central para la automatización de datos y alertas de seguridad, es difícil garantizar la cobertura para todos los recursos fundamentales.
Los falsos positivos constituyen otro reto. El análisis de incidentes falsos positivos permite ajustar los sistemas de inteligencia de contenidos. Entre los
miembros de SBIC, el 50 % carece de un proceso formal. Muchas empresas no tienen en cuenta los falsos positivos.
Las organizaciones deben intentar constantemente aumentar los orígenes de inteligencia de contenidos. Según los miembros de SBIC, el uso compartido
de datos entre los equipos internos es fundamental, tanto a través de comunicaciones fuera de banda habituales como de herramientas de GRC
centralizadas. La meta debe ser derribar los sistemas aislados que existen.
8
Preparación para las vulneraciones
PERSPECTIVAS ADICIONALES
ANÁLISIS FORENSE Y ANALÍTICA
El análisis forense y la analítica de la red son esenciales para los esfuerzos más avanzados de preparación para las vulneraciones. Las organizaciones que
dependen exclusivamente del análisis de registros terminarán con muchos puntos ciegos potenciales. Mediante la correlación de paquetes de red con otros
datos de seguridad, las organizaciones pueden descubrir ataques que no detectaron las herramientas de SIEM centradas en registros ni las herramientas
basadas en firmas.
El análisis de malware es una técnica forense estándar que forma parte de la mayoría de los esfuerzos de preparación y respuesta a las vulneraciones.
Mediante la comprensión de cómo funciona el malware y cuáles son sus objetivos, las organizaciones pueden abordar vulnerabilidades de redes y
terminales con el fin de mejorar la detección y la defensa ante ataques. Sin embargo, los atacantes continúan desarrollando sus técnicas en respuesta a
estas herramientas, razón por la cual muchos ataques no se pueden detectar mediante motores analíticos.
Las herramientas forenses para el análisis estático y dinámico del uso de la memoria, las conexiones de red abiertas, los procesos en ejecución y los registros
de eventos pueden revelar pruebas de intrusiones y ataques sigilosos. Un 83 % de los miembros de SBIC encuestados dispone de funcionalidades de análisis
forense de host activas, aunque estas herramientas se implementan en distintos niveles de funcionalidad y no todos las usan en el proceso investigativo.
INTELIGENCIA DE AMENAZAS
De acuerdo con SBIC, se deben obtener los siguientes datos de amenazas para mejorar la preparación y la respuesta a las vulneraciones:
• Datos de vulnerabilidades
• Datos de amenazas de código abierto
• Feeds de inteligencia de amenazas externos de terceros
Sin embargo, las organizaciones no deben llegar a depender demasiado de la inteligencia de amenazas. Los adversarios también se suscriben a feeds de
amenazas y crean sus ataques para evitar el uso de indicadores conocidos, lo cual puede limitar la eficacia contra campañas sofisticadas.
Los datos de vulnerabilidad combinados con la determinación anticipada de la importancia de los recursos de información (por ejemplo, de misión crítica y
fundamentales para el negocio) brindan contexto de negocios que ayuda a las organizaciones a dar prioridad a la asignación de recursos.
9
Preparación para las vulneraciones
¿ESTÁ SU EMPRESA PREPARADA PARA
LAS VULNERACIONES?
Preguntas esenciales en las cuatro categorías principales de preparación y respuesta a las vulneraciones
Respuesta a incidentes
• ¿Dispone su organización de un proceso de respuesta a incidentes formalmente definido y documentado?
• ¿Definió criterios de contratación y programas de capacitación para desarrollar recursos humanos de respuesta a incidentes eficaces?
• ¿Cuenta con un sistema que permite a su personal dar prioridad a la respuesta a incidentes?
• Si un tercero, como un organismo de aplicación de la ley, informa a su organización sobre una vulneración de seguridad dentro de la red, ¿sabe qué pasos seguir para responder?
• ¿Con qué frecuencia se prueban formalmente las funcionalidades de respuesta a incidentes?
Inteligencia de contenidos
• ¿Dispone actualmente su organización de una solución de recopilación de datos centrada en la seguridad para proporcionar alertas e investigación centralizadas de la
actividad sospechosa?
• ¿Cuenta su organización con una función o un equipo dedicados al desarrollo y las pruebas de nuevo contenido para las tecnologías de seguridad?
• ¿Implementó medidas para identificar y reducir los falsos positivos?
• ¿Incorpora datos sobre la importancia de los recursos u otras medidas de riesgo para que la inteligencia de contenidos sea más útil?
Análisis forense y analítica
• ¿Implementó una funcionalidad de análisis forense de red “activa”, como una herramienta con captura y análisis completos de paquetes?
• ¿Tiene actualmente su organización de seguridad una función de análisis de malware?
• ¿Cuenta actualmente con una funcionalidad de análisis forense de host “activa”?
Inteligencia de amenazas
• ¿Dispone su organización de un programa de administración de vulnerabilidades?
• ¿Revisa su equipo de seguridad los datos de amenazas para categorizarlos y darles prioridad con el fin de usarlos en las operaciones diarias?
• ¿Utiliza su programa de operaciones de seguridad datos de inteligencia de amenazas de código abierto con el fin de incluirlos en las operaciones diarias?
• ¿Compra su programa de operaciones de seguridad datos de inteligencia de amenazas externos con el fin de usarlos en las operaciones diarias?
• ¿Analiza habitualmente su organización las lecciones aprendidas de los incidentes de seguridad para generar inteligencia que se incorpora en las operaciones de seguridad
con fines de perfeccionamiento continuo?
10
Preparación para las vulneraciones
SECURITY FOR BUSINESS INNOVATION COUNCIL
Marene Alison*: vicepresidenta mundial de seguridad de la información, Johnson & Johnson
Anish Bhimani*: director de TI, Commercial Banking, JP Morgan Chase
William Boni: director corporativo de seguridad de la información y vicepresidente, Enterprise Information Security, T-Mobile USA
Roland Cloutier*: vicepresidente y director de seguridad, Automatic Data Processing, Inc.
Dr. Martijn Dekker*: vicepresidente sénior, director de seguridad de la información, ABN Amro
Ben Doyle*: director de seguridad de la información, Thales Australia y Nueva Zelanda
Jerry R. Geisler III*: oficina del director de seguridad de la información, Walmart Stores, Inc.
Malcolm Harkins: vicepresidente y director de seguridad y privacidad, Intel
Kenneth Haertling*: vicepresidente y director de seguridad, TELUS
Dave Martin*: exvicepresidente y director de seguridad, EMC Corporation, director de confianza, RSA
Timothy McKnight*: director global de seguridad de la información, General Electric
Kevin Meehan*: vicepresidente y director de seguridad de la información, The Boeing Company
Philip Hong Sun, Kim: vicepresidente ejecutivo y director de seguridad de la información, Standard Chartered Bank of Korea
David Powell: director de seguridad de TI, National Australian Bank
Robert Rodger: director del grupo de seguridad de la infraestructura, HSBC Holdings plc.
Ralph Salomon: vicepresidente de seguridad, oficina de procesos y cumplimiento de normas, SAP Cloud and Infrastructure Delivery
Vishal Salvi*: director de seguridad de la información y vicepresidente sénior, HDFC Bank Limited
Denise D. Wood*: vicepresidenta corporativa de seguridad de la información, directora de seguridad de la información, directora de riesgos de TI, FedEx
Corporation
*Miembros de SBIC que participaron en esta encuesta
11
Preparación para las vulneraciones
EMC2, EMC, el logotipo de EMC, RSA y el logotipo de RSA son marcas registradas o marcas comerciales de EMC Corporation
en los Estados Unidos y en otros países. © Copyright 2015 EMC Corporation. Todos los derechos reservados.
Publicado en México. 15/04 Libro electrónico
H14105
Related documents
Diapositiva 1
Diapositiva 1
Brochure Formación SANS
Brochure Formación SANS
Propuesta de Seguridad Inteligente Para Su Negocio
Propuesta de Seguridad Inteligente Para Su Negocio
CyberSOC Respuesta ante incidentes Rápida, precisa y decisiva
CyberSOC Respuesta ante incidentes Rápida, precisa y decisiva
Guía actualizada para futuros peritos informáticos. Últimas
Guía actualizada para futuros peritos informáticos. Últimas
product name head - mexico.EMC.com
product name head - mexico.EMC.com
Sistema de protección contra amenazas TPS™ de
Sistema de protección contra amenazas TPS™ de
estado del analisis forense digital en colombia diego alejandro
estado del analisis forense digital en colombia diego alejandro
tesis de grado ingeniero en sistemas informáticos
tesis de grado ingeniero en sistemas informáticos
(GPI)”
(GPI)”
Aproximación a la informática forense y el derecho
Aproximación a la informática forense y el derecho