Sobre la base de un informe del director de inteligencia de Vigilant, Lance James, la firma de seguridad TrendMicro ha publicado cinco claves para elegir un servicio de prevención de amenazas.
La firma explica que, el panorama de las amenazas evoluciona de tal
manera, que las empresas y organismos se plantean elegir medidas
“inteligentes” que consigan protegerles de la forma más óptima. La “Inteligencia frente a las amenazas”
es la clave, pero es importante elegir una solución adaptada a nuestros
requisitos y que encaje con la protección que necesitamos.
Cada fabricante de seguridad implementa su “servicio de prevención
inteligente” de una manera diferente. Alguno de ellos aplican medidas de
seguridad muy superficiales, mientras otros profundizan más en el
análisis e incluso incluyen reporting, auditoría y funcionalidades que ayudan a la empresa a poder tener conocimiento detallado de qué está pasando en cuanto a seguridad en su entorno.
Aunque el director de inteligencia de Vigilant apuesta por utilizar múltiples servicios, pero la situación económica obliga y se impone la selección. Algunas de las claves para la elección un servicio de prevención de amenazas serían:
1. ¿De cuántas fuentes recoge el servicio de protección inteligente las muestras?
Es importante que las amenazas estén clasificadas como tal por más de una fuente para evitar falsos positivos. En el caso de Trend Micro, los ficheros, IPs, URLs, Dominios, aplicaciones móviles, comunicaciones de red, servidores C&C, herramientas de exploits, vulnerabilidades etc, son evaluadas por múltiples fuentes (procedentes de alianzas con clientes, laboratorios de test, compartir con laboratorios de terceros, Proveedores de servicios, fabricantes de hosting, fabricantes de sistemas operativos y aplicaciones, portales públicos etc. Así, nos aseguramos que las amenazas identificadas son realmente maliciosas y no generamos falsas alarmas.
Es importante que las amenazas estén clasificadas como tal por más de una fuente para evitar falsos positivos. En el caso de Trend Micro, los ficheros, IPs, URLs, Dominios, aplicaciones móviles, comunicaciones de red, servidores C&C, herramientas de exploits, vulnerabilidades etc, son evaluadas por múltiples fuentes (procedentes de alianzas con clientes, laboratorios de test, compartir con laboratorios de terceros, Proveedores de servicios, fabricantes de hosting, fabricantes de sistemas operativos y aplicaciones, portales públicos etc. Así, nos aseguramos que las amenazas identificadas son realmente maliciosas y no generamos falsas alarmas.
2. ¿Con qué frecuencia es el servicio de inteligencia actualizado? Este
es un punto muy importante a considerar. El servicio de inteligencia de
Trend Micro se actualiza constantemente con nueva información, pero,
dependiendo de los datos, actualizamos en rangos de tiempos distintos
(en tiempo real, por horas, diariamente etc). En resumen: la
actualización de cada tipo de protección debe evaluarse a nivel
particular para optimizar la seguridad y el consumo de recursos. Hacemos
investigación de datos sospechoso para asegurarnos de que el tráfico es
malicioso y hacer las correlaciones necesarias para asegurarnos de
identificar cualquier componente asociado con la amenaza.
3. ¿Cómo se evalúan las amenazas? Algunos
servicios de inteligencia simplemente envían los datos que recolectan
sin establecer ránkings o evaluarlos. Otros ofrecen rankings sencillos
(diferenciando entre críticos o importantes, por ejemplo), a la hora de
medir las vulnerabilidades. En algunos casos las amenazas necesitan que
se les asigne un score utilizando un sistema de rangos en función de su
capacidad de infección. Algunos servicios correlacionan los datos de
distintas fuentes con un sistema de rankings. En Trend Micro, nuestro
servicio de protección frente a amenazas se basa en scores de
reputación, así que podemos dar rankings a las amenazas. Esto incluye
reputación web, email o aplicaciones móviles.El servicio de Reputación
de Ficheros es todavía basado en firmas, pero tenemos tecnología en el
backend que establece rangos en metadatos (Codename Census). Nuestra
solución Deep Discovery, con Threat Connect, además, genera reports
detallados para permitir que el cliente tome sus decisiones
acertadamente.
4. ¿Cómo se da formato a los datos? Cuando la
información sobre amenazas procede de fuentes diferentes, es muy
importante saber interpretar y gestionar esta información. Este es un
proceso detallado y que requiere de conocimientos avanzados para
interpretar adecuadamente los datos. Un buen servicio de protección
inteligente, proporcionará un modo de normalizar la información y de
presentarla en un formato que pueda ser reportada de forma consistente
durante un determinado periodo de tiempo. En Trend Micro, a pesar de que
recogemos datos de fuentes diferentes y en distintos formatos, las
salidas de resultados son consistentes. Además, estamos trabajando
continuamente en este área para seguir mejorando. Los productos de Trend
Micro recogen la información de amenazas de Smart Protection Network, nuestra
red de protección inteligente, y la utilizamos para detectar amenazas
en nuestros clientes. Nuestra estrategia Custom Defense, adapta los
resultados de los análisis a las consolas de los productos, según
convenga.
5. ¿Pueden los datos de amenazas ser correlacionados con la postura que la empresa adopta en cuanto a seguridad? Es
de máxima importancia que nuestro servicio de seguridad se adapte a la
filosofía o política de seguridad corporativa a todos los niveles: tanto
a nivel político como de herramientas que la empresa utilice. Es decir,
que tenemos que integrar nuestra infraestructura al servicio de
protección inteligente y para ello, el proveedor del servicio debe ser
flexible. Esto es lo que consigue la estrategia Custom Defense de Trend
Micro: aplicar una protección adaptada y flexible para cada
empresa/organismo para conseguir que la seguridad que se aplique sea la
que se requiere.
Fuente: Muyseguridad
No hay comentarios:
Publicar un comentario