Las tres C de la ciberseguridad

La inevitabilidad de los ataques cibernéticos no tiene por qué ser un desastre inevitable para una empresa, pero requiere precisión en la recopilación y estructuración de datos. Los datos precisos permiten resultados precisos y brindan a los equipos de seguridad la oportunidad de vencer a los malos.

La precisión en la seguridad requiere que los datos se integren para producir contexto, correlación y causalidad. Lo llamamos las “Tres C de la Seguridad”.

¿Qué entendemos por precisión?

Considere la efectividad de la “inteligencia” que le dice que hay un auto verde malicioso en su área. De repente, su radar está activo y en busca de un automóvil verde. Ahora, cuando pasa un auto verde, piensa: ¡ahí está el criminal! Sin embargo, resulta que es solo un amigo que deja comida en la casa del vecino. Ves otro coche verde y tu radar vuelve a funcionar. ¡Coche verde! Pero en realidad es la niñera de la casa de enfrente.

Precision nos proporcionaría detalles adicionales, como “sedán Ford verde, calcomanía en el parachoques en el lado del pasajero trasero, abolladura horizontal en la puerta del lado del conductor y placa de Texas”. Con esta información no nos desconcierta un montón de puntos de datos benignos que coinciden con la inteligencia, el equivalente a alertas de falsos positivos.

Y, de manera realista, para cuando se emita la alerta de “auto verde”, lo más probable es que el delincuente haya cambiado de vehículo, pero aún existen. Lo que debemos buscar es algo que simplemente no debería estar allí, por ejemplo, cualquier automóvil que aparezca demasiadas veces sin detenerse. Diablos, incluso puede ser una bicicleta o un peatón. Buscamos hasta que estamos seguros de que la amenaza ya no persiste en nuestro espacio (es decir, los controles de defensa han demostrado ser efectivos). Una vista de un modelo efectivo para eso se puede encontrar en la  Pirámide del Dolor .

Hablemos de las tres C de la seguridad:

1. Contexto : al establecer el contexto para descubrir un ataque, un analista querría visibilidad de atributos como:

  • Ubicación y hora de la actividad sospechosa
  • A qué se accedió
  • quien esta  permitido  acceso
  • Cómo, en todo caso, el comportamiento en cuestión difiere del comportamiento normal

Las herramientas de detección y la política impulsan la mayor parte de esto. Idealmente, toda esta información está disponible en una  herramienta de operaciones centralizadas  para mejorar la velocidad de respuesta.

2. La correlación  sirve para reducir el enfoque de la investigación; utilizar toda la información para formar una hipótesis para probar. “Para una entrada dada, a veces se observa una salida determinada”.

Al probar muchas variables de color y forma de los autos, parece que cuando se introducen “autos verdes” en el vecindario, hay un delito.

Pero esto no  siempre  es cierto: hay autos verdes inocentes en las carreteras. Eso está bien, porque la correlación no proporciona el mismo resultado para  cada  entrada. Por lo tanto, con suficientes datos disponibles, podemos reducir aún más la hipótesis hasta que encontremos datos útiles.

La correlación se construye a través de la inteligencia creada por herramientas bien integradas, proveedores, controles y los expertos que los gestionan.

3. Causalidad  se trata de tener todos los detalles de cada vector para otorgar un alto grado de certeza: conoce no solo el auto verde, los delincuentes en el auto verde y lo que robaron, sino que también sabría por qué lo robaron, dónde. su base de operaciones probablemente esté en cómo pudieron eludir su seguridad.

Es bueno saber si eras un  objetivo estratégico u oportunista  antes de responder. La causalidad es lo que nos permite saber si hemos mitigado con éxito la amenaza y luego tener la información para poner controles para remediar la amenaza en el futuro.

Podemos respetar las capacidades y la determinación de los atacantes sin ensalzarlos, después de todo, tienen las mismas tendencias hacia la rutina y los “avisos” observables que cualquier otra persona con pulso. Quieren la mayor recompensa por la menor inversión.

Un sistema que es capaz de producir contexto, correlación y causalidad en torno a la actividad en la infraestructura sirve como punto de referencia sólido para la defensa. Puede requerir más herramientas e inversión, pero ayudará a garantizar que todos los riesgos se conozcan y se puedan abordar.

Fuente: seic