El MSSP Inteligente

jueves, 15 de junio de 2017

Durante años, los Servicios de Seguridad Gestionada (MSS Managed Security Services) han sido la estrategia más efectiva para enfrentarse al dinámico y creciente ecosistema de ciberamenazas. Sin embargo, algunos factores disruptivos están forzando una nueva aproximación de la seguridad de la información de las corporaciones. Estos factores se agrupan en tres tipos: los tecnológicos, como por ejemplo la desaparición del perímetro corporativo o el explosivo crecimiento en número y complejidad de las amenazas; los operacionales, relacionados a la complejidad de los procesos organizativos; y los factores de negocio, cuyo mayor representante es la necesidad de implementar una eficiente gestión del riesgo para así invertir el presupuesto preciso en seguridad, ni más, ni menos.

¿Cómo resolver estos requisitos manteniendo en control la complejidad de los Servicios de seguridad Gestionada?
Este artículo, en primer lugar, identifica estos factores y a continuación propone un modelo de arquitectura de capas de MSS que pretende garantizar la adecuada coordinación entre tecnología, operación y negocio, que en último término proteja a las organizaciones del presente y del futuro.

Gartner define servicios de seguridad gestionada como "la monitorización o gestión remota de las funciones de seguridad IT, entregadas vía servicios compartidos desde centros de operación de seguridad (SOCs) remotos, no mediante personal in situ. La mayor parte de los actores en el negocio de la seguridad considera a los servicios de seguridad gestionada como la aproximación más eficiente para la gestión de la seguridad corporativa para cualquier tipo de organización, y por tanto, es cada vez más habitual que las organizaciones deleguen en un proveedor de seguridad gestionada la gestión y monitorización de la seguridad del día a día, para así poder centrarse en el núcleo de su negocio. Por esta razón, todo el mundo considera que la externalización de la seguridad conlleva ahorro de costes, gestión experta y mejora en la productividad.

Factores que fuerzan la evolución de los Servicios de Seguridad Gestionada
Durante los meses pasados, analistas, proveedores de seguridad y clientes han advertido que hay ciertas circunstancias que fuerzan una redefinición de la seguridad gestionada. Estos pueden englobarse en tres categorías, a saber, tecnológicos, operacionales y de negocio. Dentro de la categoría tecnológica podemos encontrar la desaparición del perímetro de defensa corporativo, a causa de tecnologías como la movilidad, los servicios en la nube, las redes virtualizadas, la presencia digital o la cadena de suministro. También en esta categoría es posible citar el crecimiento exponencial de la complejidad de las amenazas, los atacantes cambian las tácticas de elusión tan rápido como las organizaciones implementan medidas de protección. En relación a los factores operacionales, la principal dificultad es lidiar con la complejidad de los procesos ligados a las Tecnologías de la Información (TI) y las Tecnologías Operativas (TO). En último lugar, las circunstancias de negocio, quizá las más recientes y también relevantes, se pueden resumir en el principio de continuidad del negocio sobre todas las cosas. Los comités directores de las empresas están a cargo de decidir el presupuesto dedicado a seguridad y esté tiene que ser fruto de un minucioso análisis de riesgos. El gasto debe ser calculado en base a la probabilidad de un ataque combinado al coste de este en recursos dedicados a la mitigación, disrupción de negocio, imagen de marca y multas del regulador.

No hay duda de que la realidad del día a día está demostrando que es necesario una evolución para mantener el adecuado nivel de protección.



El modelo de cuatro capas para los servicios de seguridad gestionada.
El modelo de cuatro capas pretende aislar las zonas de intervención de un servicio de seguridad gestionada para así conseguir las siguientes ventajas: alcanzar un entendimiento inmediato, sencillo y aplicado de las necesidades de los clientes, facilitar la incorporación de las más nuevas tecnologías de protección y el procesamiento analítica, estandarizar los procesos de operación desde los SOCs e implementar una seguridad para el negocio efectiva. Partiendo desde la capa inferior, las capas son las siguientes:


  • Capa operacional: procesos, personas y herramientas para la operación de los servicios de seguridad y de respuesta automática. Nos referimos a lo que los analistas llaman centro de seguridad operacional inteligente (Intelligence-driven Security Operational Centre ISOC). ISOC incluye las capacidades tradicionales de gestión de dispositivos y monitorización de seguridad y las de carácter distintivo, seguridad guiada por la información (data-driven security), respuesta adaptativa, tecnologías de forense, postanalisis para generar inteligencia de amenazas y gestión dinámica del riesgo. Esta capa operacional, y el SOC en concreto, deben cumplir ciertas directivas enunciadas por consultoras de reputado prestigio, como son: operar de una manera coordinada más que ejecutar proyectos estancos, una colaboración completa en todas las fases, poseer herramientas de información que proporcionen visibilidad y control integral, implementar procesos estandarizados y fácilmente exportables y, por último, y quizá la más relevante, disponer de equipos experimentados con las habilidades precisas y un ratio de rotación de personal bajo.

  • Capa tecnológica: este nivel comprende las piezas tecnologías que están a cargo específicamente de la prevención y la protección, desde cortafuegos desplegados dentro del perímetro hasta servicios más avanzados como Clean Pipes sobre cortafuegos de nueva generación o CASBs (Cloud Access Service Brokers). Lo original de esta propuesta es que estos servicios se sirven de los elementos vertebrales del servicio de seguridad gestionada para coordinarse entre ellos y con el resto de capas. Sin ellos, los servicios funcionarían como piezas tecnológicas aisladas que a fin de cuentas son incapaces de ofrecer los niveles de seguridad esperados. Las capacidades vertebrales actúan como colectores de eventos y alertas que alimentan al resto de niveles y también como actuadores con la función de ejecutar la mitigación o remediación en forma de gestión de políticas.

  • Capa Analítica: esta capa puede ser considerada como el cerebro del sistema, debido a que es el elemento responsable del procesamiento masivo de eventos (data-driven security). Se trata de la plataforma de análisis de big data y machine learning que permite descubrir ataques que han pasado desapercibidos a los elementos de protección desplegados en la capa tecnológica. Parte fundamental de esta capa es también el cálculo cruzado de indicadores a partir de la información de eventos y alertas que se recibe de todos los sistemas de prevención y protección, gracias a la cual es posible construir los cuadros de mandos de estado de seguridad y los medidores en tiempo real de la gestión del riesgo. Por último, cabe destacar la función de identificador de indicadores de compromiso que alimente base de datos de inteligencia de amenazas, tanto internas como externas.

  • Capa de entrega: la capa superior se ocupa de como los clientes consumen y perciben la seguridad gestionada. Es fundamental ofrecer una visibilidad y control unificado de los servicios de seguridad, así como una gestión del riesgo y cumplimiento normativo, y todo ello en tiempo real y con una perspectiva granular. Seguridad para el negocio es el término que comprende estas funcionalidades, puesto que la seguridad ya no es solo una preocupación exclusiva de los departamentos de IT, sino que cada día es más relevante para la toma de decisiones de negocio. Existe un gran consenso acerca de la necesidad de una implicación directa en los asuntos de seguridad de las áreas de negocio y de los consejos delegados, y por ello es necesario hablar en términos de negocio cuando se habla de seguridad. Esta capa pretende hacer comprensible y útil la información de seguridad para el nivel C de la empresa. Por lo tanto, es clave la gestión de la seguridad mediante un portal que incluya cuadros de mandos, con la adecuada granularidad, que satisfagan las necesidades de los diferentes roles dentro de una organización y que permitan obtener lo que llamamos seguridad de un vistazo. Este término engloba el entendimiento directo del nivel de riesgo de la empresa en tiempo real y del nivel de cumplimento de SLAs por parte del proveedor de servicios de seguridad gestionada.

De acuerdo a estos principios, ElevenPaths ha construido SandaS, la plataforma tecnológica de servicios de seguridad gestionada de Telefónica, la cual incluye componentes específicos que proporcionan las funcionalidades vertebrales de cada capa:

SandaS RA (Respuesta automática) es el componente que hace posible la respuesta desde los SOCs de Telefónica y facilita a los expertos de seguridad resolver los incidentes de seguridad. Este elemento se encarga de tipificar y automatizar las alertas recibidas de acuerdo a una serie de reglas contextuales independientes para cada cliente. SandaS RA está desplegado en el propio SOC e integrado con sistemas de salud (Opsview, Nagios) y sistemas de ticketing de cliente. En último lugar, SandaS RA es capaz de aplicar medidas de remediación mediante configuración de políticas sobre el equipamiento de seguridad que gestiona.

SandaS CA (Colector de Alertas) es el módulo de recolección y normalización de eventos y alertas que tienen como origen el equipamiento de seguridad del cliente o SIEMs, esté en sus propias instalaciones o en una nube privada (VPC). Tiene como funcionalidades principales: recolección y normalización de alertas y eventos.

SandaS PA (Procesamiento analítico) está encargado de la generación de indicadores de seguridad en tiempo real basado en las alarmas y eventos provenientes del equipamiento de seguridad o de los servicios de protección. Este procesamiento cruzado exige un alto rendimiento puesto que se han de realizar millones de cálculos en milisegundos, lo cual solo es posible mediante un diseño de arquitectura refinado. Por otro lado, SandaS PA realiza un análisis basado en correlación avanzada y algoritmos de machine learning sobre eventos en crudo para descubrir ataques complejos multivector. Como consecuencia indirecta de este análisis SandaS PA genera indicadores de compromiso que alimentan bases de datos inteligencia de amenazas tanto propias como de proveedores de seguridad con los que Telefónica colabora.

Conclusion
Los servicios de seguridad gestionada son un complejo ecosistema, donde diferentes tecnologías, proveedores, profesionales y modelos operativos se interrelacionan; algunas veces sin llevarse del todo bien. Por lo tanto, es absolutamente necesario disponer de un elemento vertebrador que dirija la orquesta en la ejecución de la sinfonía. Desde ElevenPaths entendemos que el rol de director de orquesta debe ser jugado por un proveedor de servicios de seguridad gestionada, el cual es capaz de coordinar a los múltiples actores de cada capa y estandarizar su interrelación. ¿cómo se logra este objetivo? Creemos que se trata de la combinación en su justa medida de personas, procesos y herramientas. Nada Nuevo, o quizá sí.

Francisco Oteiza Lacalle
Jefe de producto en Seguridad Gestionada
@Fran_Oteiza

No hay comentarios:

Publicar un comentario