Riesgo desconocido - Guía de respuestas ante incidentes de seguridad de AWS

Riesgo desconocido

Si se ha centrado en adaptar las alertas, mejorar los procedimientos de respuesta ante incidentes con la automatización y aumentar las defensas de seguridad, puede que se pregunte qué puede mejorarse a continuación. Es posible que sienta curiosidad por los riesgos desconocidos, tal y como se representa en la categoría Desconocido de la Figura 3. Puede reducir los riesgos desconocidos a través de los métodos siguientes:

  • Afirmaciones de seguridad definidas: ¿cuáles son algunas de las verdades que puede afirmar? ¿Cuáles son los fundamentos de seguridad que deben ser absolutamente ciertos en su entorno? La definición clara de estos aspectos permite localizar los opuestos. Este proceso es más fácil de hacer al principio del traspaso a la nube, en lugar de intentar aplicar ingeniería inversa a sus afirmaciones de seguridad más adelante.

  • Educación, comunicación e investigación: forme a expertos de seguridad en la nube entre su personal o incluya socios expertos que le ayuden a examinar su entorno. Cuestione sus suposiciones y desconfíe del razonamiento sutil. Cree bucles de retroalimentación en sus procesos y ofrezca mecanismos para que los equipos de ingeniería se comuniquen con los equipos de seguridad. También puede ampliar su enfoque para monitorear las listas de correo de seguridad y las divulgaciones de seguridad de la información relevantes.

  • Reducción de la superficie de ataque: mejore su defensa para evitar los riesgos y tener más tiempo frente a ataques desconocidos. Bloquee y ralentice a los atacantes y oblíguelos a hacerse notar.

  • Inteligencia de amenazas: suscríbase a una fuente continua de información sobre amenazas, riesgos e indicadores actuales y relevantes de todo el mundo.

  • Alertas: genere notificaciones que alerten sobre actividades inusuales, malintencionadas o costosas. Por ejemplo, puede crear una notificación para las actividades que se produzcan en regiones o servicios que no utilice.

  • Machine Learning: use el machine learning para identificar anomalías complejas en una organización específica o para personas concretas. Como ayuda para identificar comportamientos inusuales, también puede generar un perfil de las características normales de sus redes, usuarios y sistemas.

La inteligencia de amenazas se convierte en el tema principal a la hora de considerar los puntos ciegos y los riesgos desconocidos. La ventana de Johari muestra cómo categorizar lo que sabe y lo que no sabe, pero la inteligencia de amenazas muestra cómo explicar lo que aún no sabe. Este tipo de inteligencia es una disciplina que ayuda a las empresas a ver más allá del modelo de amenazas, para encontrar amenazas que la empresa aún no sabe que existen.

En general, la inteligencia de amenazas incluye lo siguiente:

  1. Localización de nuevas amenazas

  2. Definición de patrones nuevos

  3. Definición de nuevas técnicas automatizadas de adquisición

  4. Repetición de estos procesos

Si bien este tipo de práctica puede resultar útil, el cuidado y el mantenimiento de un equipo de inteligencia de amenazas pueden suponer una sobrecarga para muchas empresas, incluso aquellas de gran tamaño. Al final, la cuestión se reduce a adaptarse a su modelo de amenazas, tamaño y desafío en cuanto a riesgos. Tenga en cuenta estas preguntas:

  • ¿Su modelo de amenazas es lo suficientemente diferente del perfil estándar en el que se encuentra la empresa?

  • ¿Es su tolerancia al riesgo lo suficientemente baja como para necesitar un equipo de este tipo?

  • ¿Es una decisión económicamente acertada disponer de un equipo para su empresa?

  • ¿Es su perfil de riesgo lo suficientemente interesante como para atraer una cantidad de talento razonable a su causa?

Si la respuesta a alguna de estas preguntas es no, lo más acertado sería encontrar un socio de inteligencia de amenazas. Muchas empresas importantes y conocidas ofrecen servicios competitivos de este tipo.

AWS proporciona las herramientas y los servicios necesarios para que pueda administrar estos problemas por su cuenta. El uso del machine learning para identificar patrones malintencionados es un campo de estudio investigado en profundidad, con patrones que implementan los clientes, los Servicios profesionales de AWS, los socios de AWS y a través de servicios de AWS como Amazon GuardDuty y Amazon Macie. Algunos de estos patrones se han debatido en las sesiones de las conferencias AWS re:Invent. Para obtener más información, consulte la sección Multimedia de este documento técnico.

Los clientes también están ampliando sus lagos de datos tradicionalmente centrados en la actividad empresarial para aprovechar patrones de arquitectura similares cuando desarrollan lagos de datos de seguridad. Los equipos de operaciones de seguridad también están ampliando su uso de las herramientas tradicionales de registro y monitoreo, tales como Amazon OpenSearch Service y OpenSearch Dashboards, a arquitecturas de macrodatos.

Esos clientes recopilan datos internos de registros de eventos de AWS CloudTrail, registros de flujo de VPC, registros de acceso de Amazon CloudFront, registros de bases de datos y registros de aplicaciones y, a continuación, combinan estos datos con datos públicos e inteligencia de amenazas. Los clientes han usado estos valiosos datos para ir aún más lejos e incluir competencias de ciencia de datos y de ingeniería de datos en sus equipos de operaciones de seguridad a fin de aprovechar herramientas como Amazon EMR, Amazon Kinesis Data Analytics, Amazon Redshift, Amazon QuickSight, AWS Glue, Amazon SageMaker y Apache MXNet en AWS para crear soluciones personalizadas que identifiquen y prevean anomalías exclusivas de su negocio.

Por último, consulte las soluciones de los socios con competencia en seguridad para conocer cientos de productos líderes del sector de los socios de AWS equivalentes, idénticos o integrados en los controles existentes en sus entornos locales. Estos productos complementan a los servicios de AWS existentes para que pueda implementar una arquitectura de seguridad integral y disfrutar de una experiencia más fluida tanto en la nube como en las instalaciones.