Principales Desafíos para los MSSP y MDR y Cómo Superarlos

Algunas cosas nunca envejecen. En el mundo de los proveedores de seguridad, siempre habrá una escasez de profesionales, tiempo y proveedores auténticos, mientras que siempre enfrentarás una abundancia de riesgos, complejidad y presión de costos. Sin embargo, hay algunos desafíos menos obvios que impiden el crecimiento y la escalabilidad de tu MSSP o MDR. Vamos a sumergirnos de inmediato en algunos problemas diarios angustiosos para resolverlos y llevar tu negocio al siguiente nivel.

Desafío 1. Cobertura de fuentes de registro

Comenzamos directamente con uno de los más complicados porque, sin importar cuánto tiempo lleves en ciberseguridad, sabes que encontrar un equilibrio es complicado. ¿Dónde está el punto medio entre una gran cobertura que te mantiene seguro y enormes volúmenes de datos emparejados con fatiga de alertas? Bueno, esta pregunta merece horas de discusión porque cada caso es único. Sin embargo, hay recomendaciones universales que, con suerte, evitarán que tu ojo tiemble cada vez que alguien pregunte sobre la estrategia de registros.

Solución

Antes de comenzar a hacer cualquier cosa, reformula la pregunta de ¿Qué registros debería recopilar? to ¿Para qué recopilo este registro en particular?

Ahora, esto es lo que debes tener en cuenta al seleccionar registros:

• No intentes cubrir todas las técnicas. En cambio, mejora tu conocimiento de la cadena de ataque para entender los vectores de ataque. Puedes empezar con lo básico en MITRE ATT&CK y luego perfeccionar tu conocimiento con una serie de artículos de José Luiz Rodríguez sobre fuentes de datos ATT&CK.
• Recuerda que ningún ataque se reduce solo a un marco. Por eso debes ser flexible.
• Mantente al día con las nuevas técnicas revisando constantemente las últimas investigaciones y siguiendo a los líderes de la industria.
• Siempre considera el campo de negocio y la región de tus clientes. Con base en eso, define los APTs más comunes y vectores de ataque.
• Siempre usa solo la inteligencia de amenazas confiable y más reciente, evitando datos históricos.
• Recuerda que la visibilidad es crítica no solo antes, sino también durante y después de un incidente de ciberseguridad.

La gran base de conocimiento de tus fuentes de registro puede ser la Guía NIST para la Gestión de Registros de Seguridad Informática (documento 800-92). Mientras NIST sigue trabajando en actualizar esta guía, el instituto publicó un memorándum para los jefes de departamentos y agencias ejecutivas. Las revisiones están principalmente impulsadas por la naturaleza progresiva de los ataques recientes.

El siguiente paso, tan importante como la recopilación de registros, es analizar los eventos registrados. Ya hemos cubierto los consejos para un análisis de registros exitoso aquí.

Desafío 2. Variedad de plataformas

Ser un proveedor de servicios de seguridad crea un desafío de versatilidad. Por el bien de la satisfacción del cliente y un mercado objetivo más amplio, deberías ser capaz de soportar varios productos y herramientas, incluidos varios SIEMs, EDRs y XDRs. Esto crea un problema de gestión desalentador, requiere una curva de aprendizaje adicional y demanda más especialistas en tu equipo.

Solución

Para ofrecer y apoyar una gran calidad de servicios, la mejor manera de proceder es buscar soluciones universales. En el caso de la ciberseguridad, lo primero que deberías integrar en tus procedimientos de trabajo es Sigma. Es un lenguaje común para ciberseguridad que te permite crear una consulta genérica y luego usarla para varias plataformas. Si eres nuevo en Sigma, consulta los siguientes materiales:

• SigmaHQ repositorio en GitHub
• A hoja de trucos sobre los conceptos básicos de la ingeniería de detección con Sigma por Josh Brower y Chris Sanders
• Anatomía de una regla Sigma por Thomas Roccia
• The pySigma repositorio en GitHub lanzado por Thomas Patzke y Florian Roth. pySigma es una biblioteca Python para el análisis y conversión de reglas Sigma a consultas
• A guía sobre reglas Sigma para principiantes

Otro consejo es optar por proveedores de confianza que puedan cubrir varias necesidades con una solución. Sin embargo, evita productos ‘talla única’ porque cuanto más amplia sea la oferta, más difícil será mantenerla lo suficientemente profunda. Consulta cómo LTI resolvió el desafío de gestionar múltiples soluciones SIEM y EDR aprovechando la plataforma de SOC Prime.

Desafío 3. Amenazas emergentes

El panorama de las amenazas está cambiando a una velocidad cada vez mayor, lo que nos deja solo la opción de mejorar constantemente los métodos de detección y respuesta. Cada negocio encuentra su propia respuesta a este desafío. Algunos apuestan fuerte por el nuevo software, mientras que otros emplean nuevos especialistas. Pero, ¿es realmente efectivo? Estas medidas aumentarán el costo, pero no necesariamente traerán los resultados deseados. ¿Cuál es el enfoque más adecuado?

Solución

Estas son las recomendaciones que pueden fortalecer significativamente tu postura de seguridad frente al panorama de amenazas en constante cambio:

1. Opta por detecciones basadas en el comportamiento en lugar de reglas basadas en IOC. Las reglas de detección basadas en el comportamiento simplemente duran más porque buscan patrones que los adversarios usan repetidamente. Al mismo tiempo, las detecciones basadas en IOC son mejores para usarse retroactivamente para revisar datos históricos y verificar si fuiste atacado antes. Solo recuerda que una consulta sencilla hecha para identificar actividad inusual de rundll32 te servirá mucho más tiempo que una detección basada en el informe de IOC.
2. Integra/perfecciona tus procedimientos de Threat Hunting. Aunque muchas empresas evitan el Threat Hunting o lo realizan de manera muy básica, es una gran solución para mejorar tu defensa cibernética proactiva.
3. Mantente alerta sobre nuevas amenazas, vectores de ataque, técnicas, actores de amenazas, etc. Siempre mantente al tanto de nuevos informes, aprende y trata de seguir a los líderes y expertos de la industria. Ciertamente puede salvarte de una gran cantidad de sorpresas desagradables.
4. Utiliza la defensa cibernética colaborativa a tu favor. Hay diferentes proyectos de código abierto que pueden ser altamente beneficiosos para tu negocio. Intenta comenzar con los repositorios en GitHub, como LOLBAS, ELF Parser, YARA, regexploit, lynis, etc.
5. Busca reglas de detección en la Plataforma SOC Prime. Es una gran manera de encontrar detecciones, contexto de amenazas, binarios y las correspondientes simulaciones de Red Canary.  

Desafío 4. Tiempo

Si bien podemos debatir cuál es el activo más valioso, todos estarían de acuerdo en que el tiempo no tiene precio. No poder detectar las amenazas a tiempo puede resultar no solo en pérdidas financieras sino también en pérdida de datos, problemas de cumplimiento y riesgos reputacionales. Por supuesto, al hablar de ciberseguridad, nada ni nadie puede darte una garantía del 100%, pero ser consistente y estratégico hará más de lo que piensas.

La detección oportuna a menudo se reduce a los factores que ya hemos mencionado: conocimientos de la cadena de ataque, recolección y análisis sabios de registros, integración de Threat Hunting y mantenerse al día con amenazas emergentes. Sin embargo, un paso adicional para acelerar la velocidad de entrega de servicios es automatizar los procesos recurrentes donde sea posible. Pero, ¿qué automatización es la más eficaz para MSSPs y MDRs en particular?

Solución

Para liberar más tiempo y recursos para actividades críticas para el negocio, intenta automatizar los siguientes procedimientos:

• Escaneo y monitoreo. Por lo general, estos procesos son fáciles de automatizar porque no requieren mucha atención humana.
• Tareas de enriquecimiento de datos. La mayoría de las tareas relacionadas con datos a nivel inicial pueden ser automatizadas porque la atención humana es mucho más útil posteriormente.
• Clasificación y análisis básicos. Antes de pasar los datos en bruto a tu analista, puedes automatizar fácilmente el proceso de clasificación y análisis simple, al menos para los casos más típicos.
• Respuesta a incidentes de bajo nivel. La respuesta a incidentes puede variar mucho. Sin embargo, algunos de los aspectos básicos se pueden automatizar fácilmente
• Otras ideas: pruebas pentesting automatizadas, implementación de detección, actualizaciones de software, etc. Esta lista puede modificarse y ampliarse dependiendo de las políticas y estrategia de tu empresa.

Aún se discute que el concepto de Automatización de Procesos Robóticos (RBA) tiene varios inconvenientes, tales como:

• No todas las tareas de ciberseguridad se pueden automatizar. Realmente está lejos de eso.
• Los bots de RPA pueden ser hackeados, resultando en interrupciones operativas o pérdida de datos sensibles, por ejemplo.
• Todavía necesitas un especialista conocedor para configurar el proceso de automatización y mantenerlo en funcionamiento. Así que no puedes automatizar tus procesos y olvidarte de ellos.
• A medida que el panorama de amenazas cambia, también tendrías que hacer varios ajustes.
• Algunas empresas no pueden aplicar automatización debido a sus políticas.

Desafío 5. Competencia

Probablemente cada negocio afirmaría que la alta competencia es uno de sus desafíos sin importar lo que hagan. Sin embargo, cada industria tiene sus peculiaridades, por lo que las estrategias para destacarse de los competidores también varían drásticamente.

Solución

Como proveedor de servicios de seguridad, siempre puedes regresar a la siguiente lista de verificación que siempre te traerá de vuelta al camino:

1. Prueba de experiencia y calidad. Puedes imaginar que cada proveedor dice que es el mejor. Sé el que puede probarlo, y deja que tus reseñas hablen. Si haces un gran trabajo, tus clientes satisfechos ciertamente compartirán sus experiencias positivas. A veces solo tienes que pedir.
2. Elige tus socios sabiamente. Si tienes una selección de proveedores confiables, no tendrás problemas para demostrar la calidad de tus servicios.
3. Muestra tu alto valor. Algunos negocios podrían comenzar a participar en una carrera de ratas reduciendo precios y adquiriendo más clientes de los que pueden gestionar. Intenta ir por calidad sobre cantidad, y verás los milagros del marketing boca a boca.
4. Demuestra tu eficacia con informes claros. Recuerda que estás proporcionando servicios a empresas, y casi todas las decisiones que toman los líderes de la compañía se basan en el ROI. Demuestra que tus servicios son críticos proporcionando informes regulares y explícitos.
5. Velocidad y eficacia. La ciberseguridad hace que cada segundo cuente. Así que deberías trabajar en entregar resultados de calidad con el mejor tiempo posible. Sin embargo, evita hacer promesas poco realistas.
6. Sé diferente. Aunque este nicho está cargado de ofertas, observa cómo tus competidores se comercializan. ¿Se involucran con la comunidad? ¿Cuáles son sus puntos de venta principales? ¿Y cómo atraen a nuevos clientes? Esas son solo algunas preguntas que podrían ayudarte a cambiar tu estrategia.

Conclusión

La ciberseguridad es una industria desafiante, por lo que siempre habrá desafíos que superar. Pero si tienes una estrategia adecuada, un enfoque consistente y proveedores de alta calidad que te respalden, nada es imposible para ti. SOC Prime es un socio de confianza de numerosos MSSPs y MDRs. Comprueba la efectividad del mercado de detección de amenazas más grande por ti mismo de manera gratuita.