proveedor de mdr de detección y respuesta administrada

¿Debe subcontratar sus servicios de seguridad gestionados a un proveedor de MDR?

This post was last updated on agosto 17th, 2021 at 04:11 pm

At the end of 2018, IndustryWeek published some eye-opening statistics:

Durante 2018, hemos visto un aumento del 350% en los ataques de software de rescate, un aumento del 250% en los ataques de spoofing o correo electrónico empresarial (BECcomprometimiento) y un aumento del 70% en los ataques de phishing submarino en las empresas en general. Además, el costo promedio de una violación de datos cibernéticos ha aumentado de 4,9 millones de dólares en 2017 a 7,5 millones de dólares en 2018, según la Comisión de Valores y Bolsa de los Estados Unidos.

Si aún cree que su empresa es inmune a estos tipos de ataques cibernéticos porque utiliza una solución antivirus, cortafuegos de última generación y protección de endpoints o plataformas de detección y respuesta de endpoints, vuelva a adivinar.

Las amenazas cibernéticas están creciendo tanto en volumen como en sofisticación, y todas las empresas, grandes o pequeñas, se consideran en riesgo. Y aunque las herramientas antivirus se consideran una inversión que vale la pena, no son, de ninguna manera, suficientes para prevenir todos (o incluso la mayoría) de los tipos de ataques. Toda organización necesita capas de herramientas de seguridad para proteger sus activos y recursos digitales, y a veces ni siquiera eso es suficiente.

El hecho es que los esfuerzos de prevención son de importancia crítica, pero las capacidades de detección y respuesta también son esenciales en el entorno informático actual. No hay una solución milagrosa para prevenir todos los ciberataques, por lo que las empresas deben estar equipadas para detectar la presencia de un atacante en sus sistemas y responder a la amenaza para mitigarla.

"Estar equipado" para la detección de amenazas y vulnerabilidades y, además, estar equipado para responder a incidentes de seguridad significa adquirir y mantener tanto las herramientas como la experiencia para detectar con éxito los ataques y detenerlos antes de que se produzcan daños graves. No hace falta decir que esto puede ser costoso. Además, hay una escasez mundial de expertos en ciberseguridad con la capacidad de detectar y detener ataques en sus primeras etapas. Por lo tanto, intentar detectar amenazas y responder con recursos internos puede ser una verdadera lucha.

Hay otra manera de obtener esas capacidades esenciales de ciberseguridad sin hacer una gran inversión en herramientas y experiencia, lo cual se está haciendo cada vez más difícil de encontrar.... Externalice sus servicios de detección y respuesta administrada (MDR) a un proveedor de MDR.

¿Qué es MDR?

Muy pocas organizaciones tienen los recursos internos para hacer su propia búsqueda de amenazas y respuesta a incidentes. La detección y respuesta gestionada (MDR) es un servicio que surge de la necesidad de las empresas de ser proactivas en la búsqueda de amenazas a la seguridad y vulnerabilidades en su entorno, y de hacer algo al respecto una vez descubiertas.

Los proveedores de MDR, a menudo asociados con proveedores de servicios de seguridad gestionados (MSSP), utilizan herramientas y plataformas de detección y respuesta a incidentes patentadas para gestionar sus operaciones de ciberseguridad proactivas y reactivas. Las herramientas y plataformas que utilizan los proveedores de servicios de seguridad de MDR también son administradas y mantenidas por sus propios expertos e ingenieros de seguridad que monitorean la red de un cliente en busca de actividades sospechosas, analizan los incidentes cuando se descubren y responden de manera tal que mitigan la amenaza.

La mayoría de las respuestas están automatizadas utilizando scripts, aprendizaje automático y APIs, mientras que otras pueden requerir la intervención humana - o ambas - para neutralizar o eliminar eficazmente la amenaza o vulnerabilidad de seguridad. MDR le permite contratar servicios dedicados y especializados que funcionan las 24 horas del día, los 7 días de la semana.

¿Por qué es tan difícil detectar las amenazas cibernéticas?

Los profesionales de la ciberseguridad afirman que su trabajo se está haciendo cada vez más difícil porque cada vez es más difícil detectar y responder a las amenazas en un tiempo razonable por numerosas razones. Las empresas suelen disponer de una serie de herramientas para detectar actividades inusuales o anómalas que se consideran sospechosas y que, por lo tanto, generan una alerta sobre esta actividad. Se producen tantas alertas en un solo día que es imposible que el equipo de seguridad las examine todas para ver si merecen ser investigadas. En consecuencia, cientos o incluso miles de alertas que podrían indicar la presencia de una amenaza legítima son ignoradas por falta de recursos para hacerles frente.

Un solo incidente que provoque una alerta puede no ser problemático en sí mismo. Por ejemplo, suponga que hay un inicio de sesión de usuario fallido. Puede ser que el usuario final haya escrito mal su contraseña. O bien, podría ser el intento de un hacker de iniciar sesión adivinando una contraseña. Sin más pruebas, como la correlación de este incidente con otros que están ocurriendo, es probable que se ignore la alerta de inicio de sesión fallido. Herramientas como el SIEM (Security Information and Event Management) ayudan a correlacionar eventos y a priorizar las alertas, pero tales herramientas pueden ser complicadas de configurar y ajustar para optimizar la correlación y la priorización de eventos. Sin embargo, la correlación de toda la información de eventos de seguridad es clave. Algunas herramientas de seguridad operan en silos, lo que minimiza su efectividad para la organización.

Otra razón por la que las amenazas y vulnerabilidades cibernéticas son difíciles de detectar es la creciente sofisticación de las amenazas. Por ejemplo, un hacker puede utilizar una vulnerabilidad que sólo funciona en la memoria de un ordenador, por lo que no hay rastro de la amenaza en el disco, en la red o en cualquier otro lugar. Además, los buenos hackers han aprendido a derrotar los mecanismos de detección, convirtiendo la detección de amenazas en un juego de grandes apuestas para el gato y el ratón.

Otro factor que contribuye a la dificultad de la detección de amenazas es la escasez mundial de profesionales cualificados en ciberseguridad. (ISC)² estima que la escasez mundial se acerca a los 3 millones de personas, con aproximadamente medio millón de esas vacantes en Norteamérica. El problema es obvio: si no tienes a la gente buscando, no vas a encontrar las amenazas.

Los beneficios de la MDR para las pequeñas y medianas empresas

El beneficio más obvio de los servicios de seguridad MDR es que su organización obtiene un acceso asequible a herramientas y procesos de detección especializados, así como a los expertos en seguridad humana que de otro modo serían demasiado caros para comprar y contratar. Y eso asumiendo que usted puede incluso encontrar a los expertos en seguridad disponibles para contratar, debido a la vasta escasez de habilidades.

Los proveedores expertos de MDR pueden hacer frente a amenazas sofisticadas que son difíciles de detectar y contener, y siguen adelante con la mitigación hasta que la amenaza sea neutralizada o eliminada, reduciendo así el riesgo para su empresa.

Su organización se beneficia de la información sobre amenazas de origen colectivo y de las mejores prácticas sobre cómo responder a las amenazas sin la carga de reclutar, gestionar y mantener sus propias plataformas de detección y respuesta o personal de seguridad.

Criterios de decisión para determinar si su empresa necesita un proveedor de MDR

Aunque las capacidades de detección y respuesta varían según la organización, tanto las grandes como las pequeñas empresas pueden enfrentarse a retos similares:

  1. ¿Puede detectar rápidamente la presencia de un atacante en sus sistemas y responder a la amenaza con eficacia?
  2. ¿Tiene las herramientas y la experiencia para detectar con éxito los ataques y detenerlos?
  3. ¿Dispone de recursos internos con las habilidades y la capacidad necesarias para detectar y responder a las amenazas?
  4. ¿Son capaces de aprovechar la automatización para aumentar los recursos humanos y proporcionar cobertura de detección y mitigación las 24 horas del día, los 7 días de la semana?
  5. ¿Pueden sus recursos internos investigar y responder a las alertas en un plazo razonable? ¿Son aceptables su tiempo medio de detección (MTTD) y su tiempo medio de respuesta (MTTR)?
  6. ¿Puede detectar amenazas sofisticadas emergentes, como malware sin filas e implantes de memoria, y puede remediarlas?
  7. ¿Puede encontrar y retener los recursos de seguridad necesarios para proporcionar un programa de respuesta a las amenazas eficaz?

La incapacidad para responder con un rotundo sí a cualquiera de estas preguntas es un claro indicador de que puede beneficiarse de los servicios de seguridad gestionados, en concreto los servicios de detección y respuesta gestionados (MDR).

Justificar la inversión en servicios de MDR a su junta directiva

En los últimos años, el ciberriesgo ha empezado a aparecer en las agendas de los consejos de administración de las empresas. Los miembros de la junta directiva están tomando conciencia de sus responsabilidades fiduciarias para asegurar que los intereses de los accionistas y clientes se vean satisfechos al contar con una estrategia y un programa integral de ciberseguridad. A menudo se les pide a los CISO que justifiquen sus inversiones deseadas para reforzar la seguridad. Si usted tiene un papel en la justificación de la inversión en MDR, es importante hablar en términos que le importen a la junta (y no son los detalles de las amenazas cibernéticas).

Este artículo en el Wall Street Journal sugiere que es importante hablar de las métricas de negocio de la "gran imagen", tales como:

  • Incidentes de seguridad: ¿Tienen tendencia al alza o a la baja?
  • Cumplimiento: ¿Cómo cumplimos con nuestras obligaciones en materia de ciberseguridad y, al mismo tiempo, gestionamos las deficiencias que puedan derivarse del cumplimiento de las normas?
  • Perturbación de la seguridad: ¿Cuánto tiempo de inactividad experimentaron los sistemas críticos debido a incidentes de seguridad?
  • Alineación de negocios: ¿Cuántos proyectos corporativos se retrasaron o aceleraron debido a las iniciativas de ciberseguridad? ¿Cuál fue el coste añadido (por retrasos) o el ahorro de costes (por aceleración)?
  • Tendencias de riesgo cibernético empresarial: ¿Cómo ha aumentado o disminuido el riesgo cibernético para cada una de las divisiones internas de la empresa?
  • Respuesta a incidentes: ¿Cuán preparada está la empresa para responder a incidentes de seguridad importantes? ¿Hemos definido nuestros procesos y realizado "ensayos generales" para la respuesta a incidentes?

Deberá recopilar sus propias estadísticas que reflejen la disposición de su organización para responder a incidentes de seguridad importantes. Hay una métrica importante que usted puede no tener (o incluso tener la capacidad de saber sin una solución de detección y respuesta) y es el "tiempo promedio de permanencia".

El tiempo de permanencia se define como la combinación de tiempo para detectar una amenaza (o vulnerabilidad) y el tiempo para responder/neutralizar/eliminarla. Como medida de seguridad, el tiempo medio de permanencia varía mucho en función de los tipos y la gravedad de las amenazas y de las capacidades de la organización afectada.

El tiempo medio de permanencia de las amenazas en todo el mundo se informa en los bajos cientos de días. Sin embargo, los hallazgos de nuestro Informe de Respuesta a Amenazas e Incidentes del Mercado Medio muestran que las amenazas de baja prioridad residen durante mucho más tiempo y un promedio de más de 950 días (¡dos años y medio!) de tiempo de permanencia. Esto a menudo se pasa por alto, pero encontramos una fuerte correlación entre la presencia y el tiempo de permanencia de amenazas de baja prioridad y la preparación y capacidad general para responder a una amenaza mayor. Un medio ambiente limpio es un indicador de control positivo.

La ciberseguridad es un reto diferente a cualquier otra cuestión empresarial. El enemigo es invisible y desconocido, y usted no sabe cómo, si o cuándo este enemigo vendrá a usted. La prevención de las infracciones es importante, pero no infalible. La única manera de saber si usted ya está comprometido (y por lo tanto en riesgo de una violación) es buscar signos decomprometimiento...

A medida que usted hace su presentación a la junta para contratar un servicio de MDR, puede mencionar que sus necesidades de detección y capacidad de respuesta exceden sus recursos actuales, habilidades y tiempo disponible. El Outsourcing MDR proporciona acceso a habilidades y competencias especializadas que usted no tiene el tiempo ni el presupuesto para desarrollar internamente.

Obtenga más información sobre cómo colaborar con los proveedores de servicios de seguridad de MDR para proteger su entorno

Infocyte ha desarrollado una sofisticada plataforma para la detección automatizada de amenazas y vulnerabilidades y la respuesta a incidentes bajo demanda. Nuestra plataforma permite a los proveedores de servicios de seguridad gestionada ofrecer servicios de MDR rentables, con el apoyo de nuestra red global de socios certificados, incluidas algunas de las principales empresas de ciberseguridad del mundo.

Obtenga ayuda para encontrar el socio adecuado de Infocyte MDR.

Descargue el informe 451 Research que describe cómo Infocyte ofrece servicios de seguridad MDR rentables en entornos físicos, virtuales y de nube.

Test out Infocyte's endpoint + Microsoft 365 detection and response platform for free. Sign-up for our community edition here and get started in minutes: