Cinco pasos para brindar un mejor soporte al Discovery Team moderno

Ayudar a los equipos de seguridad como su fundador y director ejecutivo a volverse más inteligentes y rápidos que los atacantes en un mundo donde la nube es lo primero. Pantera.

Los equipos de seguridad tienen mucho que administrar en estos días: flujos de datos nítidos, más aplicaciones y servicios en la nube para monitorear y una complejidad cada vez mayor que plantean barreras ya altas para mantener seguras a las organizaciones. Para empeorar las cosas, algunas de las herramientas y sistemas utilizados por los equipos de seguridad dañan y no ayudan. No escalan lo suficientemente rápido, generan alertas de baja calidad y requieren procesos manuales únicos. Los equipos de seguridad necesitan mejores enfoques que puedan ayudarlos a mantenerse al día con estos crecientes desafíos.

Uno de estos mejores enfoques es transformar su equipo de seguridad en un equipo de detección moderno.

El equipo de detección moderno prioriza la escalabilidad y la eficiencia. Aplican principios de ingeniería de software para gestionar las operaciones de seguridad. Sobre todo, adoptan una mentalidad de detección como código. Los beneficios son tan grandes como aumentar la confiabilidad de la detección y la capacidad de analizar grandes cantidades de datos. Los equipos también pueden crear flujos de trabajo de seguridad escalables y colaborativos y proporcionar una mayor estabilidad operativa con menos gastos generales.

Si su equipo de seguridad está buscando formas más efectivas de escalar para el futuro, aquí hay un camino de cinco pasos a seguir.

1. Utilice el código de detección para automatizar la recopilación de datos.

Una de las mayores pérdidas de un equipo de seguridad es el tiempo que dedica a los procesos manuales, además de tener que recopilar cantidades cada vez mayores de datos a través de SIEM que no pueden seguir el ritmo. Por lo tanto, el primer paso es adoptar como código de detección en su recopilación de datos, especialmente a medida que expande sus entornos de nube. La automatización de su infraestructura significa más control y coherencia sobre lo que aprovisiona, así como una mayor estabilidad, previsibilidad y escalabilidad.

Para comenzar, adopte una plataforma como GitHub de código abierto para administrar su infraestructura y un plataforma de código de configuración configurar sus sistemas para acceso centralizado. Al adoptar la detección como código, asegúrese de que las configuraciones y la administración de la infraestructura que elija se apliquen a todas las plataformas en la nube y los sistemas operativos existentes en su entorno.

2. Entrene a su equipo en los principios básicos de ingeniería de software.

El siguiente paso es capacitar a su equipo en los principios básicos de ingeniería de software que incorporan tanto acciones como mentalidades. Enseñe a su equipo un lenguaje de codificación universal como Python o SQL si aún no lo conocen.

Es posible que su equipo de seguridad haya estado escribiendo secuencias de comandos de Python durante años, pero al usar la detección como código, podrá convertir ese código en alertas y flujos de trabajo altamente desarrollados que pueden proporcionar una mejor detección en general. El descubrimiento como código le permite aprovechar las pruebas, la automatización y las revisiones por pares.

3. Elija la plataforma SIEM adecuada.

Por supuesto, tener la plataforma SIEM correcta es fundamental para la eficiencia y escalabilidad del equipo. Elija una plataforma SIEM nativa en la nube con la capacidad de detectar como código con detecciones preconstruidas y envíe sus registros a un lago de datos de seguridad. Una plataforma con estas funciones crea las canalizaciones necesarias para la normalización de datos, análisis en tiempo real, exploración de datos estructurados y otros conocimientos sobre su entorno. Recuerda, cuanto más esperes, más deuda técnica se acumula.

4. Brinde a su equipo un marco de descubrimiento.

El siguiente paso es seleccionar un marco de detección, o un conjunto de reglas predeterminadas o detecciones preconstruidas que identificarán varias actividades sospechosas en las fuentes de datos de su terminal. En otras palabras, no desea crear detecciones “solo porque sí” o sin un objetivo final en mente de que desea realizar detecciones. Ser más estratégico en su detección puede aumentar su efectividad.

Considere comenzar con un marco como MITRE ATT&CK, para que pueda crear detecciones para todas las tácticas y técnicas comunes que utilizan los actores malintencionados en la actualidad. Un marco puede aportar estructura al proceso y proporcionar un enfoque más sistemático para mantener sus sistemas seguros.

5. Automatice más.

Una vez que tenga su plataforma en funcionamiento, el siguiente paso es continuar aumentando su automatización.

Pero no automatices todas tus tareas a la vez. Comience con tareas comunes y casos de uso específicos y codifíquelos. Luego, cree flujos de trabajo y automatización más sofisticados que liberarán el tiempo de los analistas para centrarse más en las alertas verdaderamente maliciosas. Una mayor automatización también significa una mayor eficiencia operativa y menores gastos generales.

Cree un equipo de detección moderno hoy para prepararse para el mañana.

Los equipos de seguridad están en un aprieto. Tienen la tarea de proteger a sus organizaciones y quieren hacerlo de manera efectiva y a escala, especialmente dado el costo promedio de una violación de datos para una organización en la actualidad. 3.86 millones de dólares. Pero la protección proactiva es difícil de implementar con herramientas y enfoques que no pueden mantenerse al día con la carga de trabajo actual. Ser un equipo de detección moderno no solo lo equipará con las herramientas y los sistemas adecuados para el éxito, sino que también lo mantendrá escalando hacia el futuro.

Consejo de tecnología de Forbes es una comunidad solo por invitación para CIO, CTO y líderes tecnológicos de clase mundial. ¿Califico?