Tras haber trabajado con los modelos de software como servicio (SaaS, por sus siglas en inglés) por un tiempo, nos hemos involucrado en estrategias similares para ofrecer en su totalidad infraestructuras como servicio (IaaS, por sus siglas en inglés) y plataformas como servicio (PaaS, por sus siglas en inglés). Pensamos que es la mejor opción para las organizaciones de todo el mundo, ya que el uso de una solución integral ayuda a los negocios a concentrarse en sus tareas principales. Pero ¿es posible proporcionar a las organizaciones de talla empresarial una protección de “llave en mano” dentro de un modelo de seguridad como servicio?
Nuestro concepto de protección “llave en mano”
Para responder a la pregunta, primero debemos definir qué queremos decir con protección totalmente integrada. Si hablamos de empresas, entonces significa una protección de la infraestructura en todas las etapas de respuestas a amenazas:
- En la etapa de prevención de incidentes, el uso de soluciones endpoint en endpoints.
- En la etapa de detección de amenazas, la supervisión y el análisis de los datos que transitan del lado de la solución de seguridad del cliente hacia el centro de operaciones de seguridad (SOC, por sus siglas en inglés).
- En la etapa de intercepción de la amenaza, que implica probar las hipótesis sobre las nuevas amenazas y realizar exploraciones retrospectivas de los datos históricos en busca de nuevos indicadores de compromiso e indicadores de ataques (IoCs e IoAs, respectivamente).
- En la etapa de validación de amenazas, durante la cual el equipo de SOC determina si un evento sospechoso particular es una amenaza real o una acción legítima (falsa alarma).
- En la etapa de respuesta a incidentes, cuando reconstruimos la cadena de ataque y proporcionamos recomendaciones para su corrección.
Las soluciones de tipo Plataformas de Protección de Endpoints y Detección y Respuesta de Endpoints (EDR por sus siglas en inglés) se encargan de la primera etapa de modo automático. En todas las etapas posteriores, la participación de los expertos de SOC (Centro de Operaciones de Seguridad por sus siglas en inglés) es crucial. Sin embargo, no todos los negocios pueden permitirse un SOC interno.
¿Qué sucede con las empresas sin un SOC?
Tener un equipo de SOC interno no es una condición necesaria para contar con una protección integral. De hecho, la gran mayoría de las grandes empresas no lo tienen. Solo lo hacen alrededor del 20 %, comparando el número total de reseñas para las plataformas de tipo protección de Endpoints con el número de reseñas para las soluciones de tipo EDR (lo que asume la disponibilidad de un SOC) en la plataforma Gartner Peer Insights.
¿Qué sucede con el 80 % restante? Una opción sensata para la mayoría es delegar las funciones de seguridad. El trabajo experto de identificación, evaluación y confirmación de amenazas, y la respuesta a incidentes lo puede realizar un proveedor de servicios de seguridad gestionados (MSSP, por sus siglas en inglés) o un proveedor de soluciones de seguridad que esencialmente realiza las funciones del MSSP (como es nuestro caso).
La metodología de evaluación de ATT&CK ya ha verificado la efectividad de nuestra estrategia. Debido a la naturaleza específica de la estrategia, la evaluación de MITRE ATT&CK Round 2 se centró exclusivamente en las habilidades de detección de nuestras soluciones. Por lo tanto, la respuesta a incidentes, la prevención y la intercepción de amenazas (donde nuestros expertos de SOC cuentan con un dominio único) se omitieron intencionalmente del proceso de evaluación.
Nuestras soluciones de EDR también han resultado confiables y adecuadas para los SOC internos y subcontratados. Según los criterios del portal Gartner Peer Insights, nuestra solución Kaspersky Anti Targeted Attack se ha colado entre las 3 mejores y ha recibido el reconocimiento Customers’ Choice for Endpoint Detection and Response. Por cierto, agradecemos enormemente a todos nuestros clientes que dedicaron un tiempo para dejar una reseña.
En resumen, creo que el futuro de la seguridad de la información le pertenece indudablemente a la seguridad como servicio, pero aquella en la que el cliente pueda seleccionar el grado de automatización de sus herramientas elegidas y hacer actualizaciones de la solución integral con funciones adicionales.