4 formas de utilizar la automatización de la ciberseguridad

Los ciberataques modernos se han automatizado en gran medida. Si las organizaciones intentan defenderse de estos ataques manualmente, la lucha se convierte en el hombre contra la máquina, con probabilidades muy desfavorables para la organización. Para protegerse con éxito contra los ataques automatizados, es esencial combatir el fuego con fuego -o en este caso, máquina con máquina- incorporando la automatización a los esfuerzos de ciberseguridad. La automatización nivela el campo de juego, reduce el volumen de amenazas y permite una prevención más rápida de amenazas nuevas y anteriormente desconocidas.

Muchos proveedores de seguridad ven la automatización como una forma de ser más eficientes y como un medio de ahorrar en mano de obra o en personal. Si bien es cierto, la automatización también debe considerarse como una herramienta que puede, y debe, utilizarse para predecir mejor los comportamientos y ejecutar las protecciones con mayor rapidez. Si se implementa adecuadamente y con las herramientas adecuadas, la automatización puede ayudar a prevenir el éxito de los ciberataques. A continuación se exponen cuatro formas en las que debe utilizarse la automatización:

1. Correlación de datos

Muchos proveedores de seguridad recopilan cantidades considerables de datos sobre amenazas. Sin embargo, los datos aportan poco valor a menos que se organicen en próximos pasos procesables. Para hacerlo con eficacia, las organizaciones necesitan primero recopilar datos sobre amenazas en todos los vectores de ataque y de las tecnologías de seguridad dentro de su propia infraestructura, así como inteligencia de amenazas globales fuera de su infraestructura.

Después, necesitan identificar grupos de amenazas que se comporten de forma similar dentro de las cantidades masivas de datos y utilizar eso para predecir el siguiente paso del atacante. Al utilizar este enfoque, cuantos más datos se recojan, más precisos serán los resultados y se reducirá la probabilidad de que los grupos identificados sean sólo una anomalía. En consecuencia, el análisis también debe tener suficiente potencia informática para escalar el volumen de amenazas actual, algo imposible de hacer manualmente. El aprendizaje automático y la automatización permiten secuenciar los datos con mayor rapidez, eficacia y precisión. Por último, la combinación de este enfoque con el análisis dinámico de amenazas es la única forma de detectar con precisión amenazas sofisticadas y nunca vistas.

2. Generar protecciones más rápido de lo que pueden propagarse los ataques

Una vez que se identifica una amenaza, es necesario crear y distribuir protecciones más rápido de lo que un ataque puede propagarse por las redes de la organización, endpoints, o la nube. Debido a la penalización de tiempo que añade el análisis, el mejor lugar para detener el ataque recién descubierto no es en el lugar donde se descubrió, sino en el siguiente paso previsto del ataque. Crear manualmente un conjunto completo de protecciones para las diferentes tecnologías de seguridad y puntos de aplicación capaces de contrarrestar comportamientos futuros es un proceso largo que no sólo avanza lentamente, sino que también resulta extremadamente difícil cuando se correlacionan diferentes proveedores de seguridad en su entorno y no se dispone del control y los recursos adecuados. La automatización puede agilizar el proceso de creación de protecciones sin sobrecargar los recursos, todo ello mientras se mantiene el ritmo de los ataques.

3. Implementar las protecciones más rápido de lo que avanzan los ataques

Una vez creadas las protecciones, es necesario implementarlas para evitar que el ataque siga avanzando en su ciclo de vida. Las protecciones deben aplicarse no sólo en el lugar donde se identificó la amenaza, sino también en todas las tecnologías de la organización para proporcionar una protección coherente contra los comportamientos actuales y futuros del ataque. Utilizar la automatización en la distribución de las protecciones es la única forma de avanzar más rápido que un ataque automatizado y bien coordinado, y detenerlo. Gracias a la secuenciación automatizada de ataques con big data y a la generación y distribución automatizada de protecciones, podrá predecir con mayor precisión el siguiente paso de un ataque desconocido y actuar con la rapidez suficiente para evitarlo.

4. Detección de infecciones ya presentes en su red

En el momento en que una amenaza entra en la red, un temporizador inicia la cuenta atrás hasta que se convierte en una brecha. Para detener un ataque antes de que los datos salgan de la red, hay que moverse más rápido que el propio ataque. Para identificar un host infectado o comportamientos sospechosos, debe ser capaz de analizar los datos de su entorno hacia atrás y hacia delante en el tiempo, buscando una combinación de comportamientos que indiquen que un host de su entorno ha sido infectado. Al igual que ocurre con el análisis de las amenazas desconocidas que intentan entrar en la red, correlacionar y analizar manualmente los datos de su red, endpoints y nubes resulta difícil a escala. La automatización permite un análisis más rápido y, en caso de que un host de su red se vea comprometido, una detección e intervención más rápidas.

Los atacantes utilizan la automatización para moverse con rapidez e implementar nuevas amenazas a velocidades de vértigo. La única forma de mantenerse al día y defenderse eficazmente contra estas amenazas es emplear la automatización como parte de sus esfuerzos de ciberseguridad. Una plataforma de seguridad de próxima generación analiza rápidamente los datos, convirtiendo las amenazas desconocidas en conocidas, creando un ADN de ataque y creando automáticamente, así como aplicando, un conjunto completo de protecciones en toda la organización para detener el ciclo de vida del ataque.