A medida que aumenta la presión sobre los centros de operaciones de seguridad (SOC) a la hora de aplicar la telemetría y perseguir las amenazas en entornos cada vez más complejos, vale la pena señalar que gran parte de la dificultad radica en la visibilidad. Incluso el CISO más cuidadoso es incapaz de proteger aquello que “no puede ver”. Por tanto, en primer lugar, si se quiere abordar una estrategia de seguridad eficaz, los activos digitales deberán ser catalogados adecuadamente para que los equipos de ciberseguridad puedan obtener vistas precisas de los dispositivos, aplicaciones y topologías de red. 

Y es importante entender que estas opiniones diferirán de las del equipo de TI, que tendrá sus propias prioridades. Para los profesionales de la seguridad, el inventario de activos se centrará menos en el soporte y las licencias de software y más en los puntos potenciales de entrada y las vulnerabilidades. Por lo tanto, aquí tenemos una importante premisa: los equipos de seguridad no deben depender de datos de inventario de activos heredados de TI.

El principal beneficio para la seguridad que resulta de una gestión de activos precisa es la capacidad de clasificar los datos de las amenazas. Ahora que los entornos de trabajo híbridos y multi-cloud están añadiendo mayor complejidad al ecosistema tecnológico, los equipos de seguridad podrían verse sobrepasados por la cantidad de alertas. Sin embargo, si se perfila minuciosamente cada elemento de la red y se aplica cierta automatización básica, los equipos de seguridad pueden compilar una lista de tareas más manejable, que garantice los objetivos con precisión. Algunos elementos de esta lista pueden ser mejoras inmediatas como un simple parche o reconfiguración de software. Otros pueden ser más complejos pero requerir de una acción inmediata debido al daño potencial que podrían causar.Y otros pueden ser triviales y pueden ignorarse.

Una base para VMDR

Con las políticas adecuadas, los procesos automatizados pueden vigilar nuevos activos con riesgos potenciales o activos existentes que pueden volverse una amenaza cuando se someten a cambios. Una vez que se compilan los inventarios de activos, las organizaciones pueden implementar sistemas VMDR (gestión, detección y respuesta ante vulnerabilidades) para controlarlos. Pero tanto las políticas, como los inventarios y la automatización que los sustenta deben integrarse estrechamente como una única solución. Porque por muy sólidas que sean las políticas de software, si la herramienta automatizada es un mero complemento, es muy posible que la telemetría no fluya del modo adecuado. Y la automatización es vital para lograr la reducción en la carga de alertas que manejan los equipos de seguridad.

Porque la realidad es que, cuando combinamos vistas integrales con inventarios globales en una misma plataforma unificada, comenzamos a ver que todo fluye correctamente. Las tareas arduas y rutinarias se automatizan, mientras que los profesionales altamente capacitados se enfocan hacia dónde pueden ser más útiles y sus habilidades pueden agregar mayor valor. Las vistas enriquecidas que ofrece esta configuración ideal capacitan a los equipos de seguridad con información contextual que les permite tomar mejores decisiones y acciones más efectivas en tiempo real.

Un estudio publicado en el primer trimestre de 2021 señalaba que el número de ciberataques había crecido un 125% en España en el último año, alcanzando la cifra de 40.000 ataques diarios. Ante esta importante escalada en las actividades maliciosas, que es una tendencia a nivel global, los equipos de seguridad deben estar más preparados que nunca para defender sus perímetros digitales. Ser capaces de detectar las grandes amenazas en tiempo real requiere reducir el ruido blanco que resulta de toda la complejidad, mencionada y VMDR es, sin duda, una gran herramienta para lograrlo. 

Sin lugar donde esconderse

La plataforma VMDR apropiada admitirá la recopilación de datos basada o no en agentes, perfilando automáticamente los activos conocidos e iniciando procesos en segundo plano para buscar activos desconocidos. En teoría, ningún activo debería escapar a su mirada, tanto si hablamos de entornos on-premise, clouds, contenedores, activos OT e IoT, así como dispositivos móviles. 

Después de la formulación de un inventario de activos, los equipos tendrán acceso a información normalizada y categorizada, lo que permitirá vistas contextuales de cada activo. ¿Se trata de routers, impresoras, PCs o dispositivos móviles? ¿Usan bases de datos? ¿Sobre qué hardware se ejecutan? Si se sincroniza esta información con una base de datos de gestión de la configuración (CMDB) los equipos tendrán acceso a otra capa de contexto: propietario, ubicación y estado, tanto si el activo está funcionando o es parte de un entorno de prueba. Todo esto permite una correlación adecuada, lo que lleva a un seguimiento más preciso del estado de cada activo digital.

Si se obtiene una gestión de activos correcta, esta valiosa información fluirá hacia donde se pueda aprovechar para obtener el mayor beneficio. Los equipos de seguridad podrán utilizar listas blancas y negras para obtener una visión del cumplimiento de las políticas en toda la empresa e identificar rápidamente los procesos y aplicaciones no autorizados. También podrán automatizar la detección de aplicaciones obsoletas y tomar decisiones informadas sobre su futuro.

Evaluación de riesgo y cumplimiento

Además, la plataforma de activos idónea nos dará una vista de cuáles pueden verse publicamente en Internet y asignará automáticamente métricas de riesgo a los componentes en función de los perfiles de atributos. Esto acelera enormemente los mecanismos del cumplimiento, porque se pueden obtener, a demanda, informes visuales muy completos sobre los factores de riesgo. Y esto aumenta, asimismo, la calidad de la respuesta, lo que permite que los equipos más sobrecargados tengan espacio para tomarse un respiro y centrarse en sus tareas. Poder controlar el flujo de trabajo y la frecuencia del sistema de alerta significa que las organizaciones pueden diseñar posturas de amenazas que sean adecuadas para sus modelos operativos.

Y la respuesta en sí puede automatizarse. Cuando el sistema de alertas se ha optimizado siguiendo las indicaciones de los equipos de seguridad, es posible automatizar acciones como reconfigurar o desinstalar aplicaciones, o etiquetar nuevos activos para la elaboración de perfiles de vulnerabilidad.

Y una vez se ha creado una plataforma optimizada de gestión de activos es cuando estar en la nube se convierte en una ventaja. La información se puede compartir entre dispositivos y ubicaciones en tiempo real, lo que permite una detección y respuesta siempre activa. Y sin la presión de las alertas sobrecargando a los equipos, es cuando éstos pueden dar lo mejor de sí mismos y su talento podrá ser aprovechado para lograr los mejores resultados.

About Author

Sergio Pedroche

country manager de Qualys para España y Portugal

Deja un comentario