VIDEO
HIGHLIGHT
Log InSign up
Cybersecurity Architecture: Response
SummaryTranscriptChat

Cybersecurity Architecture: Response

Introducción a la Respuesta de Seguridad

Principios Básicos de Seguridad

  • La ecuación fundamental de seguridad es: prevención + detección + respuesta. Este concepto se discutió en el episodio anterior de la serie sobre Arquitectura de Ciberseguridad.
  • Se revisaron diferentes dominios como gestión de identidad y acceso, así como controles para prevenir ataques.

Detección y Respuesta

  • En el video anterior, se centró en la parte de detección, que implica monitoreo. Hoy se abordará cómo responder una vez que se ha detectado un ataque.

Reconocimiento del Ataque

Fases del Ataque

  • El atacante comienza con un reconocimiento, buscando debilidades antes de ejecutar el ataque. Hay un tiempo entre el ataque y cuando nos damos cuenta.
  • Este tiempo se denomina "mean-time-to-identify" (MTTI), que según el Instituto Ponemon es aproximadamente 200 días.

Contención del Daño

Tiempo para Contener

  • Una vez identificada la amenaza, el "mean-time-to-contain" (MTTC) es crucial; toma alrededor de 70 días controlar los daños y eliminar al atacante.
  • A pesar del avance en herramientas y comprensión, estos tiempos no han mejorado significativamente en la industria.

Centro de Operaciones de Seguridad (SOC)

Funciones del SOC

  • El SOC es un equipo centralizado encargado de monitorear actividades anómalas a través de diferentes dominios.
  • La respuesta a incidentes (IR por sus siglas en inglés), puede reducir costos asociados a brechas de datos si hay una buena capacidad instalada.

Proceso Manual vs. Automatización

Desafíos en Respuesta a Incidentes

  • Tradicionalmente, la respuesta ha sido manual, dependiendo del conocimiento experto individual, lo cual no escala bien.
  • Es esencial realizar triage para determinar qué alarmas son reales y su nivel de importancia antes de actuar.

Remediación y SOAR

Modernización del Proceso

  • Después del triage, se procede a remediar problemas mediante bloqueos o parches necesarios para restaurar sistemas.
  • El enfoque moderno conocido como SOAR (orquestación, automatización y respuesta en seguridad), busca automatizar procesos para mejorar tiempos de contención.

Investigaciones Post-Ataque

Alarmas e Indicadores

Arquitectura de Seguridad: Detección y Respuesta

Integración de SIEM y XDR

  • La arquitectura de seguridad puede incluir un sistema SIEM que se alimenta a un XDR, aunque pueden operar por separado. Esto permite una flexibilidad en la detección de problemas.

Gestión de Casos en SOAR

  • Cuando se identifica un problema, se crea un caso en el sistema SOAR (orquestación, automatización y respuesta de seguridad), que gestiona los casos automáticamente.
  • El sistema SOAR permite modificar y asignar casos a analistas específicos, facilitando la gestión del flujo de trabajo.

Enriquecimiento del Caso

  • Los sistemas como XDR o SIEM no solo crean el caso, sino que también añaden artefactos e indicadores útiles para el análisis posterior.
  • Esta información enriquecida ayuda al analista a comenzar su investigación con datos relevantes sobre el problema.

Playbooks Dinámicos

  • Se utilizan playbooks dinámicos para guiar las actividades del analista durante la investigación, especialmente si carecen de experiencia.
  • Estos playbooks permiten ejecutar rutinas específicas basadas en eventos observados, adaptándose a diferentes situaciones.

Automatización vs Orquestación

  • La discusión sobre por qué no todo se automatiza aborda la necesidad de intervención humana ante eventos inesperados o raros (eventos "cisne negro").

Automatización y Notificación de Brechas de Datos

Importancia de la Automatización en la Seguridad de Datos

  • La automatización es clave para reducir el trabajo manual en la gestión de datos, y la orquestación es un paso importante hacia este objetivo.

Responsabilidad ante Brechas de Datos

  • En caso de un ataque que comprometa datos sensibles, existe una responsabilidad legal para notificar a los afectados sobre la brecha.
  • Es crucial identificar el tipo de datos comprometidos, como nombres, números de seguridad social o información financiera.

Legislación sobre Notificación de Brechas

  • Las leyes sobre notificación varían según el país y región; por ejemplo, el Reglamento General de Protección de Datos (GDPR) en la Unión Europea impone sanciones severas por incumplimiento.
  • Las multas pueden alcanzar hasta el 4% del ingreso mundial o €20 millones, lo que representa un riesgo significativo para las organizaciones.

Complejidad Regulatoria en EE.UU.

  • En Estados Unidos, cada estado tiene sus propias regulaciones sobre notificación de brechas, lo que complica aún más el cumplimiento normativo.

Herramientas para Manejo Efectivo

  • Se sugiere utilizar herramientas que ayuden a gestionar las notificaciones basadas en los tipos y geografías afectadas por las brechas.

Reflexiones Finales

  • El presentador comparte su experiencia enseñando sobre ciberseguridad y anima a los espectadores a aprender más sobre el tema.
Playlists: Cybersecurity Architecture Series
Video description

IBM Security QRadar EDR : https://ibm.biz/Bdy3nu IBM Security X-Force Threat Intelligence Index 2023: https://ibm.biz/Bdy3nL Cost of a Data Breach Report 2023: https://ibm.biz/breach_report_2023 Remember that security = prevention + detection + response. In this final episode of the Cybersecurity Architecture series, Jeff “the security guy” covers incident response. Who is responsible? What systems do they use to do their job? What can be automated and what can’t? How about the potential consequences of a data breach — do you need to be worried about your bottomline? All these questions will be answered. Watch all videos in the Cybersecurity Architecture series: https://ibm.biz/cybersecurity_video_series Get started for free on IBM Cloud → https://ibm.biz/ibm-cloud-sign-up Subscribe to see more videos like this in the future → http://ibm.biz/subscribe-now #AI #Software #ITModernization #Cybersecurity #QRadar #JeffCrume #response