5 mejores prácticas para maximizar el retorno de la inversión en servicios de detección y respuesta gestionadas (MDR)

ciberseguridad. Esquema Nacional de Seguridad ENS

Antonio Huertas, System Engineer para España y Portugal de Vectra

El alcance de los ataques de los ciberdelincuentes en España sigue sorprendiendo e inquietando incluso a los profesionales de la seguridad más avezados. Un estudio afirma que el 94% de las empresas españolas han sufrido un incidente de ciberseguridad en el último año. De hecho, España ocupó en 2022 el tercer puesto a nivel mundial en materia de ciberataques al haber sufrido en 2021 más de 305.000 ciberdelitos. Los sectores más afectados en materia de ciberseguridad son el sector de seguros, el sector TMT (telecomunicaciones, medios de comunicación y tecnología) y los sectores de fabricación, banca y administración pública.

Por desgracia, las tácticas, técnicas y procedimientos (TTP) utilizados por los ciberdelicuentes modernos se han vuelto más sofisticados. En lo que podría denominarse un «aburguesamiento» de la clandestinidad digital, los delincuentes de trastienda han pasado a formar parte de una industria que ofrece servicios en la nube como Malware-as-a-Service y Ransomware-as-a-Service y se organizan en equipos formales como RansomOps. Puede que nos refiramos a ellos en términos criminales como «bandas», pero no por ello son menos eficaces. Si queremos vencerlos, debemos enfrentarnos a ellos en sus propios términos. Y eso significa capacidades de detección y respuesta las 24 horas del día desplegadas a gran escala. Es la única forma de capacitar a los centros de operaciones de seguridad (SOC) infraequipados y desgastados para que se conviertan en los cazadores de amenazas que necesitamos que sean.

Pero ofrecer estas capacidades es un reto, al igual que garantizar la cobertura de entornos en constante expansión que abarcan instalaciones, nubes, plataformas de identidad y todos los subentornos, cargas de trabajo, aplicaciones y servicios que contienen. Los intentos de hacer frente a esta ciénaga tecnológica a menudo recurren a más y más soluciones puntuales. El exceso de herramientas hace que los equipos sobrecargados tengan más trabajo, lo que conduce al agotamiento y a la exacerbación del problema.

Los servicios de detección y respuesta gestionados (MDR) son un antídoto contra todo esto. Aplican un modelo de responsabilidad compartida, proporcionando conocimientos del sector de primer nivel y bajo demanda, al tiempo que devuelve el control del entorno a su propietario. Lo hace a través de una inteligencia artificial (IA) avanzada y contextualizada que ofrece una Inteligencia de Señales de Ataque (Attack Signal Intelligence™) superior a las partes interesadas en la seguridad. La Inteligencia de Señales de Ataque reduce en gran medida las exigencias del personal de seguridad, disipando por completo el ruido de las alertas y asumiendo la responsabilidad de las tareas manuales. Los servicios de MDR pueden utilizarse tanto para externalizar como para aumentar el equipo. En cualquier caso, resuelven muchos de los problemas que plantea el panorama actual.

He aquí cinco buenas prácticas que permiten a las organizaciones optimizar su ROI en los servicios de MDR.

1. Responsabilidad compartida

Tanto si se utilizan servicios de MDR para complementar un SOC existente como si se utilizan como modelo de externalización de la seguridad, los mejores resultados surgirán de una comprensión clara de las funciones y responsabilidades entre las distintas partes interesadas del lado del cliente y del lado del proveedor. La transparencia en torno a quién hace qué infundirá al ecosistema de seguridad un elemento crítico de previsibilidad. Los acuerdos de nivel de servicio no sólo asignarán tareas, sino que los registros del sistema registrarán quién las hace y cuándo. Así, las omisiones y los errores quedarán claros para todos y se podrá generar la tan necesaria confianza entre los equipos de servicios de MDR y de clientes.

2. Integración colectiva

La estrategia y la política deben ser comprendidas por ambos equipos. Incluso si el cliente subcontrata la función de seguridad, debe existir un equipo de enlace que supervise los planes, las decisiones y las acciones. Gran parte de la actividad que tiene lugar durante un incidente es sensible al tiempo, pero también debe tener en cuenta la naturaleza del negocio. Los equipos de respuesta, ya sean de MDR, del cliente o una combinación de ambos, deben ser capaces de actuar con rapidez teniendo debidamente en cuenta las operaciones empresariales del cliente. Las acciones y prioridades deben documentarse minuciosamente en un libro de ejecución y actualizarse inmediatamente cuando cambien las necesidades.

3. Integración transparente

Los servicios de MDR deben integrarse con las herramientas, soluciones e infraestructuras en la nube existentes, aquellas que sirven a la función de ciberseguridad, TI y operaciones empresariales básicas. Uno de los objetivos de los servicios de MDR es reducir la complejidad, pero deben hacerlo sin afectar a las operaciones cotidianas. La experiencia en investigación, la optimización de la configuración y la visibilidad global a través de la Inteligencia de Señales de Ataque permiten al proveedor de soluciones de MDR navegar por la integración en beneficio del cliente y minimizar las interrupciones. Las ofertas nativas en la nube de MDR deben integrarse con las principales soluciones de detección y respuesta de puntos finales (EDR) para mejorar la eficacia de la Inteligencia de Señales de Ataque.

4. Borrar el ruido y hacer frente a las amenazas desconocidas

Los días cero pueden pasar fácilmente desapercibidos en los momentos más tranquilos. La IA de MDR reduce el ruido de las alertas que los atacantes pueden utilizar para enmascarar sus infiltraciones. Los equipos de MDR están en constante sintonía, ajustando políticas y configuraciones para garantizar que el aparato de seguridad se convierta en un oyente activo y no en una fábrica de alertas reaccionaria. Los servicios de MDR, como función, aprenden de cada alerta e incidente para perfeccionar el ecosistema de seguridad y garantizar que sólo las amenazas auténticas consumen el tiempo de los profesionales humanos.

5. Ampliar el equipo de seguridad

Algunos informes muestran que un 55% de los especialistas en seguridad TI tiene intención de cambiar de trabajo debido a la presión que sienten. La experiencia y las capacidades de vigilancia de las soluciones de MDR permiten a los analistas internos y a los cazadores de amenazas disfrutar de una experiencia por parte de los empleados más positiva, lo que reduce las tasas de abandono. Las soluciones de MDR ofrecen a las organizaciones lo que antes les faltaba. Si no tienen equipo de seguridad, las soluciones de MDR pueden desempeñar la función en su totalidad, bajo la supervisión adecuada del equipo de enlace del cliente. Si el SOC del cliente simplemente necesita más personal, también se le puede proporcionar, y el equipo de MDR puede informar al CISO del cliente. ¿Más herramientas? No hay problema. Las soluciones de MDR son un repositorio de conocimientos, experiencia, tecnología y mucho más. Son elásticas y se adaptan al aumento preciso que necesita la función de seguridad de un cliente.

MDR aporta Inteligencia de Señales de Ataque

Ser capaz de ver y mitigar una amenaza antes de que cause daños. Parece un requisito tan sencillo y, sin embargo, los retos que plantea consumen a los CISO más inteligentes. Las soluciones de MDR eliminan muchos de estos retos -la falta de recursos y personal, por ejemplo- y devuelve al propietario de la pila de TI el control de sus activos digitales. La Inteligencia de Señales de Ataque emana naturalmente de las configuraciones MDR, recogiendo la telemetría más valiosa y facultando a los SOC para apuntalar las defensas y construir un patrimonio digital más seguro.

Ya puedes descargar totalmente gratis el Nº8 de nuestra revista

Revista número 8 de ByTIC: ¿Qué aporta la tecnología 5G a la Administración Pública?

ByTIC Media