Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Observabilidad en Ciberseguridad: ver más, reaccionar mejor
La complejidad digital de los servicios que hoy se implementan en las organizaciones y su relación con el negocio es un reto que los métodos tradicionales están demostrando dificultades para gestionar. En consecuencia, las organizaciones han enfrentado obstáculos para garantizar la visibilidad de los datos en todos los procesos, gestionar proactivamente la seguridad y, al mismo tiempo, ofrecer una experiencia satisfactoria tanto a sus clientes como a sus colaboradores.
La esperanza de gestionar esta enorme cantidad de información se ha volcado hacia la IA, la cual, si bien ha llegado para quedarse, aún carece de madurez en algunos aspectos críticos de la analítica y estrategias de automatización para que su implementación cubra todas las necesidades de observabilidad que se requiere.
Hace un par de años hablamos sobre qué es la observabilidad y cómo esa capacidad de comprender cada fragmento de un proceso digital, a través de la telemetría, nos da la posibilidad de observar comportamientos normales y detectar las anomalías en los diferentes componentes. Trasladando este concepto al campo de la Ciberseguridad, proporciona un contexto mejorado para lograr una respuesta a incidentes más eficaz.
La observabilidad en Ciberseguridad permite a las organizaciones detectar y reaccionar eficazmente ante anomalías en procesos digitales.
Observabilidad de la seguridad
Se trata de un enfoque relativamente novedoso, que aprovecha la capacidad actual de manejar de forma ágil grandes volúmenes de datos para detectar procesos anómalos en cada componente de un proceso digital. Esto incluye no solo los componentes tradicionales de red o de servicios, sino también componentes actuales como contenedores, gestores de nube, segmentos de código, DevSecOps, comportamiento de usuarios, entre otros.
Este enfoque va más allá de la supervisión tradicional y ayuda a los equipos de seguridad de la información a plasmar, mediante analítica relacional, el impacto de las detecciones de eventos de seguridad en la calidad de los servicios ofrecidos, y por ende, en el cumplimiento de los objetivos de negocio. Algunas de las características principales de este enfoque son:
- A través de las trazas y métricas de cada fragmento de un proceso digital es posible comprender no sólo lo que ha ocurrido, como lo informa la supervisión tradicional, sino el por qué ha ocurrido y cómo han interactuado los sistemas, facilitando la detección de amenazas conocidas y desconocidas.
- Recopilación más exhaustiva de eventos, transformados en telemetría en tiempo casi real de componentes de infraestructura IT, tanto en redes tradicionales como en la nube, así como datos de microservicios y aplicaciones.
- Capacidad de dar contexto a los incidentes y a los recursos asociados a la amenaza, mediante la relación de procesos digitales dentro de las tecnologías desplegadas y monitorizadas. La clave radica en entender la interacción de las topologías de servicios y sus dependencias.
- Desarrollar planes contextuales de seguridad de forma automática, los cuales reflejen el funcionamiento real de las aplicaciones y sus API, detallando la superficie de ataque, la eficiencia de mecanismos de defensa, el uso de elementos vulnerables en los desarrollos y otros aspectos importantes.
En consecuencia, el despliegue de tecnologías orientadas a la observabilidad añade un elemento diferencial a la seguridad de la información, permitiendo comprender qué y por qué están ocurriendo incidentes, y posibilitando la detección de incidentes a través de la observación.
La esperanza de gestionar esta enorme cantidad de información se ha volcado hacia la IA, la cual aún carece de madurez en algunos aspectos críticos.
Detección de incidentes por observabilidad
Como hemos visto, las capacidades de observabilidad que nos ofrecen las actuales tecnologías, junto con la posibilidad de analizar grandes volúmenes de datos casi en tiempo real gracias a la IA, permiten identificar la causa raíz de un incidente cibernético. Esto implica no solo alertar sobre una amenaza, sino analizar el estado interno del proceso e identificar el punto especifico de la actividad inusual.
Esta capacidad mejora significativamente la detección de amenazas mediante el análisis de patrones y ligeras variaciones respecto a un comportamiento normal, utilizando datos completos de cada uno de los componentes del proceso afectado o amenazado.
Este enfoque no se limita a las alertas por superar un umbral predefinido o la detección de una firma conocida, sino que adopta una naturaleza proactiva basada en el contexto proporcionado por eventos, métricas y la traza de cada proceso, facilitando la identificación de anomalías y potenciales amenazas. Para ello, la tecnología debe integrar con una serie de componentes que ayudan al despliegue de esta aproximación, los cuales mencionaremos a continuación:
- Análisis y correlación en tiempo real que identifique patrones y desviaciones del comportamiento normal, vinculando datos aparentemente no relacionados. Mediante un aprendizaje automático, estas capacidades permitan identificar y alertar anomalías en el conjunto de datos históricos.
- Recolección amplia de datos telemétricos de todas las partes de la infraestructura de IT, debido a que solo una recopilación exhaustiva de datos garantiza la visión holística del entorno digital.
- Enfocarse en por qué ha ocurrido una amenaza utilizando herramientas que aporten el contexto, como las trazas de recorrido de una solicitud sobre aplicaciones afectadas o relaciones entre aplicaciones en los diferentes procesos digitales.
- Capacidad de desarrollar un plan de seguridad contextual que ofrezca un conocimiento detallado del funcionamiento real de los sistemas y permita la identificación de posibles vulnerabilidades. Por ejemplo, detectar bibliotecas específicas utilizadas en un microservicio que puedan estar asociadas a amenazas conocidas, según reportes de inteligencia.
La observabilidad proporciona un contexto mejorado para lograr una respuesta a incidentes más eficaz.
Conclusión
La detección de incidentes por observabilidad transforma el enfoque reactivo ante amenazas conocidas. Esto permite comprender proactivamente el comportamiento del sistema y detectar las amenazas conocidas y también, y más importante, las desconocidas.
Al proporcionar información detallada y contexto en tiempo real, esta capacidad permite a los equipos de seguridad detectar, analizar y responder con mayor eficacia, con el objetivo último de reducir el tiempo medio de contención.
