Centro de monitoreo: detectar invasiones rápidamente

Un equipo dedicado consigue disminuir de 200 días a unas horas la detección de invasión, expresó Symantec.

La infraestructura de tecnología de la información es un ambiente bastante "estrepitoso", compuesto por "ruidos" que vienen de todas las direcciones, máquinas y aplicaciones. No es en vano que detectar ataques maliciosos - que "andan en puntas de pies" para no llamar la atención - sea una tarea tan compleja, que lleva un promedio de 200 días, según datos de mercado.

Ante el fortalecimiento de las amenazas - cada nuevo día de 2014, un millón de malwares eran creados en todo el mundo, según el reporte de Symantec -, reducir este tiempo entre infección y detección se vuelve cada vez más importante. Y es ahí que entran los centros de monitoreo de seguridad, ambientes aún poco adoptados en la TI, pero que son capaces de reducir ese tiempo de 200 días a unas cuantas horas.

Parece complicado, pero no lo es.
En lo general, la TI de las empresas es responsable de implementar lo que llamamos controles de seguridad, que es la composición de firewalls, antivirus, solución de filtro de internet, entre otras defensas. Esas tecnologías generan alertas, que gran parte de las veces no son evaluadas o correlacionadas, por falta de personal experimentado y con dedicación total a esta actividad.

Imagine que un proxy da una señal por un lado y, por el otro, el firewall bloquea conexiones de una máquina secuencialmente. ¿Cuáles son las oportunidades de que un equipo sobrecargado identifique que una ocurrencia está totalmente conectada a otra y entender no sólo desde dónde vino la amenaza, sino hacia dónde va y qué planea llevarse con ella? Ahora, piense en distintas de esas ocurrencias simultáneas, en un parque mediano de máquinas. ¿Cómo sería posible conectar cada una de ellas?

La composición tecnológica de un centro de monitoreo de seguridad no difiere del convencional. La cereza del postre está en el equipo, formado por profesionales con conocimientos avanzados en técnicas de ataque y análisis de comportamientos, que va a investigar todas las ocurrencias para entender qué, de hecho, ocasiona los riesgos. Para afrontar los incidentes en una empresa mediana, el equipo necesita estar compuesto de aproximadamente 20 personas, que se dividen entre analistas, operadoras de seguridad, coordinadores y gerentes, en una rutina de trabajo 24/7.

A pesar de ser esencial para las empresas, un centro de monitoreo de seguridad es costoso, dado el alto número de profesionales, y la demora en dar retorno: hasta que esté bien articulado, es necesario que el equipo tenga una madurez mínima de dos años. Una alternativa es contratar una empresa especializada, que provea los servicios de forma madura y estructurada.

 

André Carraretto es Security Strategist en Symantec Corporation.

Visto 666 veces Modificado por última vez en Lunes, 14 Noviembre 2016 16:55
Inicia sesión para enviar comentarios