cyber endpoints bkg

El papel de las evaluaciones de compromiso en la seguridad de las empresas

informe técnico sobre la evaluación del riesgo comprometimientode la ciberseguridad

¿Por qué una evaluación de comprometimiento?

El papel de la detección de intrusos lo cumplen normalmente los sistemas de detección de intrusos en tiempo real y el software antivirus, junto con una estrategia de monitorización continua. Una evaluación de comprometimiento difiere de la detección de intrusos en que se trata de una dedicación activa de recursos analíticos con un enfoque en indicadores de éxitocomprometimiento. Durante el período de la evaluación, hay más tiempo y una autoridad más amplia para profundizar más de lo que se espera día a día en el seguimiento en tiempo real. Además, la evaluación pone al descubierto herramientas y técnicas, normalmente reservadas para la respuesta a incidentes, que son más adecuadas para la detección de actividades posteriores al comprometimiento.

Muchas organizaciones, especialmente las de las industrias de margen delgado, aún no han definido un nivel de inversión suficientemente viable para la seguridad. Estas organizaciones hacen lo que se recomienda para cumplir con las regulaciones de cumplimiento y luego aceptan o transfieren el riesgo restante a una póliza de seguro. Para estas organizaciones, se debe incorporar una evaluación regular en sus respectivas estrategias de mitigación de riesgos para asegurar que su entorno no se vea comprometido por ataques que sean más sofisticados de lo que la organización puede detectar en su nivel actual de inversión.

Además, muchas organizaciones tienen dificultades para justificar un aumento de su postura de seguridad cuando no se ha experimentado una violación anteriormente. El circulo vicioso resultante hace improbable la detección de infracciones debido a una postura de seguridad continuamente débil. Una evaluación de comprometimiento independiente puede revelar comprometimientos que pueden haber pasado desapercibidos, proporcionando así las pruebas necesarias para justificar inversiones adicionales en seguridad.

En algunos casos e industrias, una evaluación regular comprometimientopuede ser una alternativa viable de gestión de riesgos cuando el monitoreo continuo es prohibitivo o innecesario en términos de costos.

Metas para una evaluación exitosa de comprometimiento

A lo largo de los años, las evaluaciones  de comprometimiento sólo existían de forma limitada como servicios especializados prestados por firmas boutique de respuesta a incidentes. La práctica ha crecido rápidamente a medida que las brechas reveladas públicamente alcanzaban un tono febril. Desafortunadamente, las metodologías, los enfoques y la eficacia de estas ofertas varían ampliamente, ya que la estandarización aún no existe.

El primer paso para estandarizar esta práctica de seguridad es definir lo que es una comprometimientoevaluación, así como las metas y objetivos, para que podamos entender la mejor manera de llevarla a cabo y cuáles serían los requisitos mínimos.

Nuestra definición de una comprometimientoEvaluación es un estudio objetivo de una red y sus dispositivos para descubrir brechas de seguridad desconocidas, malware y signos de acceso no autorizado. Más específicamente, la evaluación busca encontrar atacantes que se encuentran actualmente en el entorno o que han estado activos en el pasado reciente.

Para que sea ampliamente aplicable, la evaluación de comprometimiento debe serlo:

  • Efectivo - Para detectar todas las variantes conocidas de malware, herramientas de acceso remoto e indicaciones de acceso no autorizado. Las ofertas y soluciones avanzadas también deberían tener la capacidad de profundizar en la detección de variantes de malware desconocidas (zero day).
  • Rápido - Evalúe una red grande en cuestión de horas/días.
  • Asequible - La organización promedio debe ser capaz de llevarla a cabo de manera proactiva y regular (es decir, mensual/trimestral).
  • Independiente - La evaluación no debe basarse en las herramientas de seguridad existentes.

Cualquier metodología de evaluación seleccionada debe cumplir con estos requisitos y debe tratar de optimizar el tiempo, el costo y la eficacia. Debe ser lo suficientemente eficiente y asequible como para funcionar al menos una vez al mes para una organización de tamaño medio. Además, la eficacia de la evaluación no debe variar significativamente con las diferentes pilas de seguridad, prácticas de monitoreo y registro, o topologías de red. La independencia permite que la evaluación sea igualmente útil para una empresa regional con sólo protecciones básicas como un firewall y antivirus o una sofisticada institución global equipada con su propio Centro de Operaciones de Seguridad.

En última instancia, el objetivo de la evaluación es identificar rápidamente la actividad adversa o la lógica maliciosa, no realizar un examen forense completo. Una vez completada la evaluación, se deben hacer recomendaciones sobre la respuesta adecuada y se deben reunir pruebas para que la organización pueda llevar a cabo una investigación sobre la causa raíz o los actores detrás del ataque.

Más información sobre el papel de las comprometimientoevaluaciones en Enterprise Security

¿Interesado en que se realice una comprometimientoevaluación? Conozca nuestros servicios de evaluación.

Publicado en