La gestión del conocimiento es un conjunto de habilidades esencial cuando se trata de orquestación, automatización y respuesta de seguridad (SOAR). Lee por qué el análisis de seguridad adecuado, la prevención y la respuesta dependen del arte operativo de compartir conocimiento, y cómo nuestra seguridad
Como Oficial de Riesgos y Cumplimiento de Guru, paso tiempo en la gestión de nuestros estándares y controles publicados (cosas de seguridad que necesitamos hacer), pero también doy seguimiento a cómo la automatización y la gestión del conocimiento pueden habilitar "la seguridad táctica." El término de la industria para esta práctica es "Orquestación, Automatización y Respuesta en Seguridad" (SOAR), pero por sí sola, la automatización no siempre genera resultados exitosos.
Por ejemplo, cuando las tiendas Target fueron famosamente vulneradas en 2013, el ciberataque funcionó, en parte, porque el personal de seguridad pasó por alto una alerta de máquina que se había perdido en la conversación de sus fuentes de sensores de seguridad. La violación finalmente costó a la empresa 300 millones de dólares y sirvió como una historia de advertencia de lo que puede salir mal cuando demasiados inputs causan confusión.
Por supuesto, no todas las alertas perdidas conducen a una violación del tamaño de Target. Los ataques más pequeños ocurren a diario. De hecho, según el Índice de Nivel de Violación, más de cuatro mil registros sensibles se ven comprometidos cada minuto. Para mantenerse al tanto de estos incidentes, las organizaciones generalmente emplean un "stack de seguridad" para marcar comportamientos inusuales o posibles intrusiones contra su red. Este stack es vigilado por un equipo central de personal o un Centro de Operaciones de Seguridad (SOC) completo, y cada vez más, estos equipos son ayudados por aplicaciones SOAR para separar lo digital irrelevante y actuar sobre lo que es real. Los nuevos proveedores de SOAR están surgiendo, con Gartner reportando más de una docena de empresas separadas en el espacio SOAR.
Sin embargo, estas aplicaciones SOAR brillantes y listas para usar no crean ni poblan una base de conocimiento por sí solas, un lugar donde los analistas pueden encontrar información procesable y repetible para abordar incidentes dentro de su entorno. Esta práctica operativa requiere que el personal del SOC se libere de la trampa del conocimiento y documente procedimientos concretos para el equipo más amplio.
La documentación es particularmente difícil en el mundo del SOC, ya que el ritmo impide la creación y el mantenimiento continuo de manuales y procedimientos. Pero ignorar este paso no es una opción. Escribe un bloguero de seguridad, “Sin manuales, los analistas tienden a volver a su instinto — lo que puede ser efectivo para el individuo, pero deja a todo el equipo a merced del conocimiento que existe dentro de la mente de ese analista.”
Entonces, ¿qué debe hacer un analista de seguridad agotado?
Seguridad, conoce la gestión del conocimiento
La respuesta viene por la gestión del conocimiento a la antigua, que no es solo un deber adicional dentro de un SOC ocupado, sino que es un conjunto de habilidades esencial. A modo de ejemplo, el Marco de Trabajo para la Fuerza Laboral en Ciberseguridad del NIST enumera la gestión del conocimiento como una habilidad fundamental entre el personal de seguridad. Esto incluye competencia en la creación de contenido, gestión de herramientas colaborativas y la capacidad general de "identificar, documentar y acceder al capital intelectual y contenido de información."
Los expertos de la industria coinciden en que una base de conocimiento es un gran multiplicador de fuerza dentro del SOC. En su artículo “Aumentando los niveles de IQ del SOC mediante la transferencia de conocimientos,” Mike Fowler menciona el requisito específico de un almacén de contenido al que todos puedan acceder y mantener fácilmente:
“Implementar un enfoque automatizado utilizando una base de datos centralizada y manuales estructurados garantizará que los procesos de transferencia de conocimiento sean repetibles, defendibles y consistentes.”
Un ejemplo de cómo SOAR y los manuales se juntan podría ser donde una alerta de máquina indica al personal de seguridad que una gran cantidad de datos está saliendo de la organización, canalizándose hacia un sitio desconocido. El analista o el responder dedicado actúan sobre la alerta y bloquean el sitio de recibir datos adicionales de la empresa, pero este es solo el primer paso en lo que debería ser una serie de acciones humanas para entender el alcance del incidente y evaluar el impacto. El manual podría decir: “Busca la dirección del servidor y el dominio del sitio de descarga,” seguido de, “Busca en los registros de la red y localiza descargas previas a ese servidor.”
Al ejecutar estas acciones, el responder de incidentes finalmente junta el rompecabezas del cómo, qué, cuándo y dónde para que la gestión esté informada y proceda en consecuencia (lo que probablemente generaría su propio manual).
Por qué la gestión del conocimiento debería ser parte de su stack de seguridad
Aunque las herramientas SOAR de hoy pueden ayudar a detectar indicadores de amenaza y prepararlos para los analistas humanos, por lo general, las herramientas por sí solas no son suficientes para responder a los incidentes y seguirlos hasta su resolución.
El análisis de seguridad adecuado, la prevención y la respuesta aún dependen de las personas y del arte operativo atemporal de compartir conocimiento.
El personal de seguridad es demasiado escaso y está limitado por el tiempo para improvisar en cada nuevo incidente. Los manuales accesibles, actualizados y repetibles son la piedra angular para trabajar de manera más inteligente en un entorno que siempre está potencialmente bajo ataque.
Como Oficial de Riesgos y Cumplimiento de Guru, paso tiempo en la gestión de nuestros estándares y controles publicados (cosas de seguridad que necesitamos hacer), pero también doy seguimiento a cómo la automatización y la gestión del conocimiento pueden habilitar "la seguridad táctica." El término de la industria para esta práctica es "Orquestación, Automatización y Respuesta en Seguridad" (SOAR), pero por sí sola, la automatización no siempre genera resultados exitosos.
Por ejemplo, cuando las tiendas Target fueron famosamente vulneradas en 2013, el ciberataque funcionó, en parte, porque el personal de seguridad pasó por alto una alerta de máquina que se había perdido en la conversación de sus fuentes de sensores de seguridad. La violación finalmente costó a la empresa 300 millones de dólares y sirvió como una historia de advertencia de lo que puede salir mal cuando demasiados inputs causan confusión.
Por supuesto, no todas las alertas perdidas conducen a una violación del tamaño de Target. Los ataques más pequeños ocurren a diario. De hecho, según el Índice de Nivel de Violación, más de cuatro mil registros sensibles se ven comprometidos cada minuto. Para mantenerse al tanto de estos incidentes, las organizaciones generalmente emplean un "stack de seguridad" para marcar comportamientos inusuales o posibles intrusiones contra su red. Este stack es vigilado por un equipo central de personal o un Centro de Operaciones de Seguridad (SOC) completo, y cada vez más, estos equipos son ayudados por aplicaciones SOAR para separar lo digital irrelevante y actuar sobre lo que es real. Los nuevos proveedores de SOAR están surgiendo, con Gartner reportando más de una docena de empresas separadas en el espacio SOAR.
Sin embargo, estas aplicaciones SOAR brillantes y listas para usar no crean ni poblan una base de conocimiento por sí solas, un lugar donde los analistas pueden encontrar información procesable y repetible para abordar incidentes dentro de su entorno. Esta práctica operativa requiere que el personal del SOC se libere de la trampa del conocimiento y documente procedimientos concretos para el equipo más amplio.
La documentación es particularmente difícil en el mundo del SOC, ya que el ritmo impide la creación y el mantenimiento continuo de manuales y procedimientos. Pero ignorar este paso no es una opción. Escribe un bloguero de seguridad, “Sin manuales, los analistas tienden a volver a su instinto — lo que puede ser efectivo para el individuo, pero deja a todo el equipo a merced del conocimiento que existe dentro de la mente de ese analista.”
Entonces, ¿qué debe hacer un analista de seguridad agotado?
Seguridad, conoce la gestión del conocimiento
La respuesta viene por la gestión del conocimiento a la antigua, que no es solo un deber adicional dentro de un SOC ocupado, sino que es un conjunto de habilidades esencial. A modo de ejemplo, el Marco de Trabajo para la Fuerza Laboral en Ciberseguridad del NIST enumera la gestión del conocimiento como una habilidad fundamental entre el personal de seguridad. Esto incluye competencia en la creación de contenido, gestión de herramientas colaborativas y la capacidad general de "identificar, documentar y acceder al capital intelectual y contenido de información."
Los expertos de la industria coinciden en que una base de conocimiento es un gran multiplicador de fuerza dentro del SOC. En su artículo “Aumentando los niveles de IQ del SOC mediante la transferencia de conocimientos,” Mike Fowler menciona el requisito específico de un almacén de contenido al que todos puedan acceder y mantener fácilmente:
“Implementar un enfoque automatizado utilizando una base de datos centralizada y manuales estructurados garantizará que los procesos de transferencia de conocimiento sean repetibles, defendibles y consistentes.”
Un ejemplo de cómo SOAR y los manuales se juntan podría ser donde una alerta de máquina indica al personal de seguridad que una gran cantidad de datos está saliendo de la organización, canalizándose hacia un sitio desconocido. El analista o el responder dedicado actúan sobre la alerta y bloquean el sitio de recibir datos adicionales de la empresa, pero este es solo el primer paso en lo que debería ser una serie de acciones humanas para entender el alcance del incidente y evaluar el impacto. El manual podría decir: “Busca la dirección del servidor y el dominio del sitio de descarga,” seguido de, “Busca en los registros de la red y localiza descargas previas a ese servidor.”
Al ejecutar estas acciones, el responder de incidentes finalmente junta el rompecabezas del cómo, qué, cuándo y dónde para que la gestión esté informada y proceda en consecuencia (lo que probablemente generaría su propio manual).
Por qué la gestión del conocimiento debería ser parte de su stack de seguridad
Aunque las herramientas SOAR de hoy pueden ayudar a detectar indicadores de amenaza y prepararlos para los analistas humanos, por lo general, las herramientas por sí solas no son suficientes para responder a los incidentes y seguirlos hasta su resolución.
El análisis de seguridad adecuado, la prevención y la respuesta aún dependen de las personas y del arte operativo atemporal de compartir conocimiento.
El personal de seguridad es demasiado escaso y está limitado por el tiempo para improvisar en cada nuevo incidente. Los manuales accesibles, actualizados y repetibles son la piedra angular para trabajar de manera más inteligente en un entorno que siempre está potencialmente bajo ataque.
