Las mejores prácticas de inteligencia ante amenazas para aprovechar las plataformas XDR
ThreatQuotient ha definido una serie de prácticas para que las empresas que van a usar o ya estén usando plataformas XDR (de detección y respuesta extendidas) aprovechen mejor la inteligencia ante amenazas y de esta forma obtengan más valor en sus operaciones.
Para responder de forma eficiente a una amenaza digital se necesita una plataforma de operaciones de seguridad basada en datos que permita a las empresas ampliar la capacidad de consumir y gestionar la información, ya sea interna o externa. Hoy en día, muchos de los datos que se obtienen de terceros están dentro de los propios sistemas de las organizaciones, por lo que la plataforma debe basarse en una arquitectura abierta, en la que las integraciones sean amplias y profundas. Una vez agregados y normalizados todos los datos, la plataforma debe ser capaz de correlacionar los datos y aplicar el contexto para poder priorizar y filtrar el ruido.
“Una plataforma XDR debe traducir esos datos curados y priorizados para exportarlos posteriormente, permitiendo el flujo de información a través de la infraestructura y así activar rápidamente los equipos de defensa. La plataforma también captura y almacena los datos de la respuesta para el aprendizaje y la mejora. Desde ThreatQuotient destacamos que en todo este proceso es clave la automatización, ya que permite actuar de forma eficiente para una respuesta integral”, asegura Ramiro Céspedes, responsable de Ingeniería para la Inteligencia ante amenazas.
De esta forma, para conseguir que las empresas aprovechen mejor la inteligencia ante amenazas, los expertos de ThreatQuotient detallan las siguientes prácticas:
- Utilizar datos de todas las fuentes: La integración es una competencia fundamental para habilitar la XDR, ya que las organizaciones no parten de cero, sino que cuentan con docenas fuentes de alimentación y de datos de terceros en todos los departamentos y equipos. Permitir una fuerte integración e interoperabilidad con todos los sistemas, internos y externos, permite aprovechar los datos ante amenazas. La visualización de una gran cantidad de datos contextualizados a través de una superficie de trabajo común permite a los equipos aplicarlos para comprender las amenazas a las que se enfrentan para alcanzar el objetivo de ampliar la detección y la respuesta en toda la infraestructura y en todos los vectores de ataque.
- Usar los datos para centrar los esfuerzos: La priorización debe ser automatizada, pero bajo el control del equipo de seguridad. Filtrar el ruido utilizando los parámetros que la empresa establezca garantiza que la priorización se base en el riesgo para su organización. Los analistas pueden centrarse en las amenazas más importantes en lugar de perder el tiempo. La información y los resultados deben capturarse, almacenarse y utilizarse continuamente para mejorar la seguridad.
- Aprovechar los datos para impulsar la respuesta: La forma más eficaz de potenciar los equipos es aplicar la automatización a las tareas repetitivas, de bajo riesgo y que consumen mucho tiempo, y reconocer que sigue siendo necesario el análisis humano. Las investigaciones irregulares y de alto impacto son mejor dirigidas por un analista humano, y la automatización simplemente aumenta el trabajo. Un equilibrio entre ambos garantiza que los equipos tengan siempre la mejor herramienta para el trabajo, y un enfoque basado en los datos de ambos mejora la velocidad y la minuciosidad del trabajo.