El problema para la mayoría de las empresas, tanto grandes como pequeñas, no es tanto que no hayan invertido en seguridad, sino que no tengan un proceso de detección y respuesta de amenazas suficiente. En algunos casos puede ser falta de inversión (tecnología o personal), pero a menudo es falta de experiencia en procesos y seguridad. Supongamos que tiene un SIEM que admite alarmas de seguridad de todo su ecosistema de TI (AV, IPS, antimalware, seguridad de punto final, registros de servidor, dispositivos de red, servidores proxy, cortafuegos, sistemas de autenticación, etc.), aún necesita el derecho expertos (analistas de seguridad de redes) para comprender el contexto de seguridad y crear las alertas, correlaciones e informes adecuados. En la mayoría de los casos, la inversión no es el problema, sino la incapacidad para procesar el gran volumen de información (donde la inversión en tecnología está ‘trabajando’ generando una tonelada de datos de seguridad). Por ejemplo, Target había invertido $ 1.6 millones en la tecnología FireEye que generó alarmas para el ataque, pero las alarmas no se actuaron correctamente.
Además del problema de contar con las personas, los procesos y la tecnología adecuados para proporcionar una defensa cibernética adecuada, el otro problema que es importante para la mayoría de los ejecutivos de nivel C es el riesgo de amenazas específicas. El término “amenazas persistentes avanzadas” (APT) se usa a menudo para caracterizar las amenazas de un atacante altamente calificado y determinado que puede pasar por alto las defensas de seguridad tradicionales (protección, detección y respuesta) y durar un largo período de tiempo. El ciclo de vida típico de un ataque diario es un destello relativamente rápido (considere un ladrón rompiendo una ventana y agarrando las mercancías). Los APT pueden permanecer inactivos durante largos períodos de tiempo y se cuidan especialmente de evitar la detección empleando sigilo en la forma en que envían señales a su infraestructura de comando y control (CnC).
Lo que es preocupante como profesional de seguridad es saber que la mayoría de las empresas todavía están luchando con los conceptos básicos (protección, detección y respuesta), y mucho menos poder abordar las amenazas internas de APT y relacionadas. Si bien las infracciones de Target y Sony han aumentado la conciencia (y las ventas) de las soluciones de sistema de detección de APT / antimalware / incumplimiento, un SOC (Centro de operaciones seguras) de seguridad cibernética administrado adecuadamente probablemente habría detectado y contenido ambas infracciones, si no se hubiera evitado incumplimiento inicial por completo.
- Cómo omitir la página de inicio de la contraseña del usuario sin la contraseña o los discos de recuperación de ningún tipo en una computadora portátil Lanovo Windows 7 Home Premium
- ¿Cuál es el alcance de la piratería ética?
- ¿Cuál es el antivirus gratuito y cómo puedo instalarlo en la PC?
- ¿Qué debe hacer si cree que ha ejecutado un ejecutable con un virus en Mac OS X?
- ¿Qué software existe que puede revertir un desenfoque en una imagen?
