Mientras que el costo de una intrusión ha subido hasta el 29% desde 2013 – y continúa aumentando – un informe reciente de Ponemon muestra que los líderes empresariales están bajo una creciente presión por implementar soluciones de seguridad eficaces.
Las organizaciones aceptan que la prevención por sí sola no es suficiente pero frecuentemente las violaciones de datos se detectan durante semanas, meses e incluso años después.
Es por ello que necesitan saber qué alarmas son importante para su organización para estar prevenirlos. Los sistemas basados en firmas y herramientas de gestión de red ya no pueden ser el único medio para detectar una infracción y detenerla.
La detección de anomalías tiene que ver con la habilitación de una respuesta a incidentes proactiva dando a los equipos de seguridad la capacidad de localizar riesgos potenciales antes de que una simple intrusión o comportamiento inusual se convierta en un evento devastador.
Blue Coat Systems aconseja sobre las medidas a tener en cuenta para prevenir una infracción y limitar los daños:
1. No confíe en los procesos de seguimiento manuales. Los equipos de respuesta a incidentes tienen a miembros del equipo siguiendo tableros de instrumentos e identificación de anomalías simples pero este proceso puede ser lento, y hay probabilidad de error humano.
Además, una única métrica es probable que no indique un ataque avanzado, y si varias métricas pueden identificar un ataque avanzado, el ser humano no puede memorizar todos.
2. Considera el impacto de Shadow IT. La práctica de Shadow IT y BYOD (o bring-your-own-device en inglés) hace que el entorno de negocios sea mucho más complejo. El perímetro de la red se ha expandido con equipos de TI y de respuesta a incidentes.
Entonces, deben preocuparse por los empleados que trabajan desde múltiples dispositivos, que se conectan a múltiples redes y usan cientos de aplicaciones de centros corporativos y de la nube. Por lo que se requiere pensar de manera diferente para detectar y prevenir de amenazas.
3. No siga las reglas. Las empresas a menudo dependen en gran medida de las reglas y los umbrales. Sin embargo, los umbrales y las reglas son ineficaces y de poca utilidad en los datos periódicos.
Alertas de este enfoque pueden generar gran cantidad de ruido innecesario que distrae la atención de los equipos de seguridad de la información y respuesta a incidentes.
4. Establece una línea de base de comportamiento normal en los datos. Mediante el establecimiento de una línea de base dinámica, automatizada para un comportamiento normal (a menudo mediante el aprovechamiento de las grabaciones de captura de paquetes de red y forenses), las organizaciones pueden identificar la actividad normal de la red y de las aplicaciones en la nube.
Es importante recordar que los estándares de la industria para la detección de anomalías siguen evolucionando. Y hay que identificar la mejor solución para satisfacer las necesidades de datos, actividad, patrones y amenazas.