Hemos estado diciendo colectivamente en nuestra industria durante los últimos 15 – 20 años que un enfoque en capas para su pila de seguridad es una “mejor práctica”, pero como todas las mejores prácticas, estos son ideales en lugar de ser una realidad para muchos encargados de proteger sus organizaciones. La gran mayoría de los CISO están cargados de sistemas operativos y aplicaciones heredadas, junto con la falta de fondos.
Para muchos de los sectores más maduros que luchan con menos recursos, este estado ideal se ha logrado mediante la compra de una gran cantidad de productos para cada capa. Luego, el ideal es agregar a más equipos y más personas con la esperanza de que puedan coordinar efectivamente sus capas para proteger, detectar, responder y recuperarse de los ataques.
El desafío de hoy
Si bien esta estrategia ha proporcionado un pequeño nivel de éxito, no es sostenible y definitivamente no es una opción para el 90 % restante de empresas con desafíos de recursos. Para complicar aún más el problema, hay que tener en cuenta el alcance y la escala de los crecientes ataques actuales que se dirigen con éxito a las uniones entre estas capas.
Hay muchas razones por las que estamos en este lugar sobrecargado, ahogando de alertas y registros. Pero, hay una causa que podemos señalar que se ha vuelto especialmente problemática para el diseño y las operaciones de los programas de seguridad: el enfoque en la “cadena de la muerte”.
Este enfoque puede ser efectivo para simplificar y explicar la progresión de un ataque a través de las diferentes capas. Sin embargo, no aborda adecuadamente la realidad de la naturaleza no lineal de los ataques. También se pierde la increíble importancia de identificar tácticas, técnicas y herramientas utilizadas por los grupos de actores de amenazas globales en la actualidad.
(Que el conector MITER ATT & CK)
Hasta ahora. ATT & CK “… es una base de conocimiento accesible a nivel mundial de tácticas y técnicas adversas basadas en observaciones del mundo real”. ATT & CK permite a los defensores de redes y analistas de inteligencia de amenazas cibernéticas colaborar a través de una comunidad abierta para identificar continuamente tácticas, técnicas y herramientas utilizadas por más de 90 grupos de actores de amenazas globales para mejorar su protección y detección.
La protección de hoy
Otras tendencias innovadoras que funcionan de la mano con ATT & CK es el cambio a XDR desde EDR. De la misma manera que la cadena de eliminación se ha convertido en un concepto obsoleto, también lo hace la noción de que EDR es suficiente para acelerar la detección y la respuesta utilizando únicamente el endpoint. ATT & CK le brinda una imagen completa de la amenaza, y XDR coordina la protección contra la imagen completa de esa amenaza.
Si bien el endpoint sigue siendo crítico, hay una gran cantidad de artefactos maliciosos que se almacenan en la red, la nube y la puerta de enlace. XDR llena esos vacíos.
¿Crees que la evolución de EDR a XDR enfrentará muchos de los desafíos que vemos hoy? Envíanos tu opinión por Twitter en @TrendMicro.
Leave a Reply