Analítica de ciberseguridad

Una organización necesita realizar análisis de ciberseguridad (Cibersecurity Analytics) para determinar la causa de un incidente y recopilar datos para futuras investigaciones. Los análisis se pueden utilizar para la ciberseguridad proactiva con el fin de detener una amenaza en curso o para la revisión de incidentes pasados con el fin de determinar los mejores pasos a seguir para garantizar que un incidente específico no vuelva a ocurrir.

Los análisis del comportamiento pueden utilizarse para determinar resultados o detectar amenazas potenciales. Las recientes estrategias de ciberseguridad instan a las organizaciones a adoptar un enfoque de shift-left, o giro a la izquierda, en la protección de datos. Los análisis de ciberseguridad utilizan el aprendizaje automático (ML, del inglés Machine Learning) y la inteligencia artificial (IA) para detectar amenazas antes de que dañen a la organización. Estos sistemas cambian las estrategias de protección de datos hacia un enfoque proactivo de giro a la izquierda para supervisar el entorno en lugar de reaccionar tras un ciberincidente.

Algunas razones por las que son necesarios los análisis de ciberseguridad:

Ciberseguridad proactiva en lugar de reactiva. Diversos sistemas de seguridad pueden alertar a los administradores de una vulneración de datos, pero los análisis monitorizan el entorno en busca de anomalías para alertar a los administradores de actividades sospechosas antes de que se conviertan en una vulneración de datos.

Vistas completas del tráfico de la red. Los análisis de ciberseguridad detectan la actividad a medida que se produce para ofrecer a los administradores una mejor visión del tráfico de la red. Si se añade un nuevo dispositivo a la red o los patrones de comportamiento de los usuarios no coinciden con los puntos de referencia actuales, el administrador dispondrá de información suficiente para investigar.

Recopilación de datos para demostrar el retorno de la inversión en ciberseguridad. Todo presupuesto operativo necesita un retorno de la inversión que demuestre que la infraestructura de ciberseguridad está ahorrando dinero en la detección de amenazas.

La mayoría de las organizaciones no son conscientes de los riesgos introducidos en su red corporativa, incluidas las amenazas internas de empleados y usuarios de confianza. Las buenas herramientas analíticas de ciberseguridad ayudan con la detección, de modo que las empresas puedan tomar las precauciones necesarias para remediar las vulnerabilidades. Las herramientas analíticas de ciberseguridad también se utilizan en el análisis de riesgos, la detección de intrusiones y la respuesta a incidentes, la inteligencia sobre amenazas y la automatización. Los organismos jurídicos y policiales las utilizan para investigar las amenazas y vulnerabilidades tras una violación de datos, y pueden utilizarse para demostrar el cumplimiento de los requisitos normativos.

Toda plataforma de analítica de ciberseguridad debe integrarse bien con el sistema de una organización para que este pueda aprovechar sus beneficios. Existen diversas herramientas de monitorización y muchas organizaciones creen que una aplicación de gestión de eventos e información de seguridad (SIEM, del inglés Security Information and Event Management) es adecuada para supervisar la red. Pero la mayoría de las herramientas SIEM son de monitorización reactiva y no proactiva. Un sistema SIEM sigue siendo beneficioso, pero lo es óptimamente en combinación con herramientas de análisis.

Algunas de las ventajas de utilizar los análisis de ciberseguridad son:

Priorización de alertas. No todas las amenazas son creadas iguales. Algunas son muy graves y deben corregirse rápidamente, y otras son de baja prioridad en comparación con una amenaza grave. Un buen análisis de ciberseguridad facilita a los administradores la priorización de sus esfuerzos para minimizar los daños.

Inteligencia sobre amenazas basada en ML. La inteligencia de amenazas automatizada es una forma de ciberseguridad utilizada para rastrear la web en busca de amenazas de día cero y comprender los últimos ataques en la naturaleza. El componente de aprendizaje automático permite que los análisis de ciberseguridad mantengan informados a los administradores incluso cuando una amenaza específica aún no se haya detectado.

Detección proactiva. Cualquier estrategia de ciberseguridad que trabaje con medidas reactivas deja el entorno abierto a daños. La ciberseguridad reactiva intenta mitigar el daño causado, mientras que la detección proactiva detiene una amenaza antes de que pueda dañar el entorno.

Investigación de incidencias y recopilación de datos. Tanto si el caso es que una amenaza fue detectada y detenida inmediatamente como si fue que ocurrió un ataque exitoso que debe ser remediado, una organización necesita funciones de recopilación de datos e investigación para determinar el alcance de los daños. Los datos de la investigación pueden enviarse a las fuerzas de seguridad y ayudan a los administradores a mejorar la infraestructura de ciberseguridad para evitar los mismos errores.

Las funcionalidades clave de una plataforma de análisis de seguridad son el descubrimiento y la recopilación de datos mediante el aprendizaje automático. Cada entorno es diferente, y una buena plataforma de análisis de seguridad utiliza el ML para amoldar su descubrimiento y monitorización a la organización específica. Su recopilación de datos es útil para los equipos jurídicos en las investigaciones, por lo que resulta útil para una respuesta proactiva y reactiva a los ciberincidencias.

El descubrimiento de la superficie de ataque de una organización es otra funcionalidad utilizada para determinar los riesgos y corregir las vulnerabilidades actuales. Las plataformas de análisis de seguridad ofrecen entonces a los administradores la posibilidad de monitorizar continuamente el entorno y recibir alertas sobre posibles amenazas y vulnerabilidades para poder remediarlas rápidamente. Algunas amenazas pueden detenerse automáticamente sin ninguna interacción por parte de un administrador. La plataforma sigue enviando alertas y proporcionando información sobre la amenaza para futuras investigaciones, pero remediar automáticamente los problemas puede detener las amenazas antes de que puedan hacer daño.

Otra característica clave de una buena plataforma de análisis de ciberseguridad es la capacidad de trabajar con grandes almacenes de recopilación de datos en los que el aprendizaje automático digiere la información para proporcionar capacidades de monitorización y alerta. En lugar de trabajar sólo con datos internos, las plataformas de análisis de seguridad monitorizan la web en diversos sitios, tanto en la clearnet como en la darknet para descubrir las amenazas y tendencias actuales.

Las herramientas utilizadas en el análisis de la ciberseguridad aportan varios beneficios a una organización que no pueden encontrarse en otras herramientas tradicionales. La mayoría de los beneficios son universales en todas las organizaciones e industrias, pero los administradores deben buscar herramientas con las características necesarias para apoyar las estrategias de ciberseguridad, la recuperación ante catástrofes, el descubrimiento de riesgos y los esfuerzos de investigación.

Algunos beneficios son:

Monitorización del tráfico de red. El análisis del tráfico de red en los recursos internos y en la nube ayuda a identificar las amenazas en el momento en que se producen, en lugar de cuando el daño ya está hecho.

Protección contra amenazas en los puntos finales. Cada dispositivo de usuario es un riesgo para el entorno, por lo que las herramientas de análisis de ciberseguridad descubren y monitorizan ordenadores portátiles, smartphones, ordenadores de sobremesa, IoT y otros dispositivos móviles conectados a la red.

Detección de amenazas internas. Los empleados pueden constituirse en ciberamenazas, ya sea por ser malintencionados o simplemente por errores involuntarios. Las herramientas analíticas de ciberseguridad monitorizan los comportamientos de los usuarios para detectar amenazas internas.

Detección de la exfiltración de datos. Tras un compromiso, los atacantes exfiltran datos exportándolos a otra ubicación, normalmente externa. El análisis de ciberseguridad monitoriza la red para detectar la exfiltración de datos a medida que se produce y alerta a los administradores.

Conformidad. Todas las organizaciones tienen algunas normas reglamentarias de cumplimiento que deben seguir, y una herramienta de análisis de seguridad ayudará a seguir automáticamente muchas de las mejores prácticas destacadas en estas directrices de cumplimiento.

Ciberseguridad es un término general que abarca cualquier protección de los datos contra las amenazas, mientras que análisis de datos es una estrategia específica utilizada para tomar decisiones informadas basadas en datos sobre la detección y corrección de amenazas. Los análisis de datos utilizan grandes cantidades de información recopilada desde diversos lugares para alimentar algoritmos de ML. Los algoritmos de ML utilizan los datos para proporcionar información sobre la salud y la seguridad del entorno de una organización.

Los análisis de datos pueden ser un componente en la protección de la ciberseguridad, pero no lo son todo en una estrategia de ciberseguridad. Es un componente de las diversas herramientas utilizadas para monitorizar activamente las redes, realizar investigaciones de seguridad y remediar las amenazas a medida que se encuentran en el entorno.

Aunque el análisis de datos es sólo un componente de la ciberseguridad, también es importante que las organizaciones encuentren herramientas y estrategias que puedan trabajar con grandes silos de datos. Para ayudar con la recopilación de datos, las organizaciones pequeñas trabajan con análisis basados en la nube que tienen sus propios estándares de recopilación de datos. Para las grandes organizaciones, el personal de ciberseguridad ayudará a construir una solución en torno al entorno actual y a encontrar estrategias que se ajusten a las normativas de cumplimiento.

Al igual que los análisis de datos, el big data es un elemento de la ciberseguridad. La ciberseguridad abarca todas las formas de protección de datos y corrección de amenazas digitales. El big data también es un componente de los análisis. Es un término que se da a los grandes silos de datos utilizados en el aprendizaje automático, la inteligencia artificial y las plataformas analíticas para proporcionar una toma de decisiones basada en datos. El big data puede utilizarse en más cosas que solo los análisis, por lo que sólo deben utilizarse como parte de una estrategia, en vez de considerarlos toda su estrategia de ciberseguridad.

Sin big data, las plataformas de análisis de ciberseguridad no podrían proporcionar herramientas de toma de decisiones para las organizaciones y los administradores. Los big data pueden recopilarse y almacenarse internamente, o las organizaciones pueden utilizar plataformas con almacenamiento propio para mostrar la información en un entorno de nube. Cuantos más datos estén disponibles, más posibilidades habrá de obtener resultados más precisos. El aprendizaje automático y la inteligencia artificial dependen en gran medida de grandes conjuntos de datos para modelar la información con precisión.

El big data no debe confundirse con los análisis. Los análisis y el aprendizaje automático utilizados en los análisis se basan en el big data, pero son solo un componente, que no la imagen completa. Los datos deben verificarse y recopilarse de fuentes fiables, o los análisis podría tener información inexacta o cuestionable. Los modelos de datos erróneos podrían entrenar de forma imprecisa los algoritmos de aprendizaje automático utilizados en los análisis de ciberseguridad.

• Monitorizar su entorno en busca de patrones de tráfico anómalos para detectar amenazas.
• Vigilar el comportamiento de los usuarios y las solicitudes de acceso para detectar amenazas internas.
• Monitorización general de su entorno en busca de ciberamenazas, tanto externas como internas.
• Identificar cualquier exfiltración de datos y/o exportación de secretos comerciales e información confidencial de la empresa.
• Monitorizar a los proveedores externos y a los empleados con acceso remoto a la red de Internet.

• Detectar comportamientos malintencionados de los empleados.
• Detectar intentos de toma de control de cuentas y cuentas de usuario comprometidas.
• Mantener la conformidad con las distintas normativas, como HIPAA, PCI-DSS y otras.
• Colaborar con las fuerzas de seguridad y a los investigadores para determinar la causa de las vulneraciones de datos.
• Identificar el uso compartido de cuentas de usuario y el uso indebido de los recursos de la red.

Aunque el aprendizaje automático y la inteligencia artificial han sido un componente de los análisis de ciberseguridad durante años, las plataformas que utilizan herramientas analíticas aún están en pañales. El futuro de la analítica de la ciberseguridad requiere una mayor investigación sobre cómo se despliegan y gestionan las amenazas, de modo que las herramientas de ciberseguridad puedan actualizarse para hacerles frente.

Los datos y los patrones de comportamiento de los usuarios son factores clave en el análisis de la ciberseguridad, pero los atacantes siguen cambiando sus propias estrategias para mezclarse con otros usuarios, de modo que las herramientas de análisis no puedan detectar una violación de datos. A medida que aumenta el número de usuarios que teletrabajan, detectar las amenazas resulta más difícil para los administradores encargados de garantizar la continuidad y la seguridad del entorno corporativo.