New Eip Logo
EIP Talent Student access
  • es_ES
  • en_GB

Share on social networks!

Monitoring and response to incidents

by
pikaso texttoimage 35mm film photography artificial intelligence cont

Monitoring and response to incidents

“Los incendios se apagan en invierno”. Hemos escuchado esta frase en más de una ocasión y casi siempre se utiliza después de un gran incendio catastrófico que se puede evitar o minimizar de haber trabajado previamente en la prevención y preparación.

La respuesta ante incidentes de ciberseguridad también hay que “trabajarla en invierno”. Cualquier respuesta a un incidente de ciberseguridad, tensiona a todos los equipos involucrados, especialmente los equipos de respuesta ante incidentes y los equipos de IT que dan soporte directo.

Al igual que la lucha contra los grandes incendios forestales, la preparación y trabajo previo son claves para cuando llegado el momento suceda el incidente y poderlo resolver en el mínimo tiempo posible y con la menor afectación posible.

Monitoring and response to incidents

Conflicts on traditional battlefields

Dentro del capítulo de prevención y preparación para un afrontar un incidente, deberíamos tener en cuenta:

  • Cortafuegos (segmentación, compartimentación, aislamiento).
  • Limpieza e higiene (bastionado, procesos de operación de sistemas, revisión de configuraciones).
  • Mecanismos de alerta temprana (sondas, eventos de monitorización, alertas).

Un gran incendio forestal sin cortafuegos arderá descontrolado quemando todo lo que hay a su paso. Establecer segmentos y zonas debidamente aisladas, ayudará a evitar la propagación descontrolada del incendio, así como del incidente de seguridad.

En el caso de los incendios forestales, los cortafuegos, así como el propio bosque deben estar lo más limpios posibles para evitar favorecer al fuego (materia que quemar o sistemas o plataformas donde explotar vulnerabilidades o malas configuraciones) y los cortafuegos hagan su función evitando la propagación.

En el caso digital, hablaremos de bastionado y ciberhigiene (para este artículo, incluyo el parcheado en este apartado). Cuando nos encontramos con sistemas que no están debidamente configurado y donde no se mantiene una mínima ciberhigiene, en caso de un ciberincidente, estos sistemas y serán el oxígeno y materia para que el fuego continúe expandiéndose y dañando nuestra infraestructura.

Alerta temprana

El último punto es la alerta temprana (las atalayas de vigilancia). Para combatir un incendio o un incidente de ciberseguridad antes que sea ingobernable y que se convierta en una tragedia, debemos saber que se está produciendo. La alerta temprana nos ayuda a saber dónde se está iniciando un incidente y dirigir las medidas de contención y respuesta.

En el caso que nos ocupa (ciber), la alerta temprana juega un papel fundamental y la podemos encontrar en diferentes formas, pero en su gran mayaría se concentran en un sistema central que recoge diferentes fuentes de información desde las que inferir, de forma automática, si está sucediendo un evento destacable y lanzar una alerta o no.

Hoy en día podemos encontrar diferentes acrónimos y tecnologías muy similares, pero si hablamos de SIEM – por sus siglas en inglés: Security Information and Event Management – todos sabes que estamos hablando de monitorización y por extensión de registros de eventos (logs) y de alertas.

La base de cualquier arquitectura de seguridad es la monitorización. La monitorización de la propia infraestructura y de los sistemas a proteger, así como la monitorización de todos los elementos de seguridad desplegados.

Estos elementos de seguridad, más allá de su función defensiva, son “sondas” que nos sirven para alertarnos de ataques o amenazas que se están materializando. La monitorización activa de estos elementos, así como la correlación de eventos para determinar si se está produciendo una amenaza, nos darán visibilidad sobre qué sistemas están sufriendo un ataque. En nuestra analogía con los incendios forestales, tendríamos visibilidad sobre las áreas en las que se esta iniciando un incendio, o sobre las que se están dando todos factores para que se inicie uno.

Falsos positivos

Abro un paréntesis en este punto para hablar de los falsos positivos. Aunque las tecnologías cada vez permiten un análisis más detallado y preciso de la información y que los sistemas de seguridad, que actúan de sondas, son cada vez más precisos. Quienes nos enfrentamos a diseñar y operar un sistema de monitorización, nos enfrentamos a un problema nada trivial: los falsos positivos.

En un mundo hiperconectado, donde la globalización tecnológica llega a todos los ámbitos y lugares de mundo, los sistemas de monitorización deben hacer frente a millones de eventos y condiciones donde determinar si algo parece malicioso, lo es o no lo es, en una delgada línea difusa de grises, por lo que la gestión de falsos positivos es uno de los elementos clave.

Y en este punto, es donde entra la automatización. En una primera instancia como método para automatizar el primer nivel en la gestión de alertas, poder reducir el número de falsos positivos, contextualizar las amenazas automáticamente y desencadenar procesos de respuesta a positivos sin necesidad de intervención humana y por lo tanto dotar a los sistemas de monitorización y alerta, de una respuesta defensiva y ofensiva.

Monitoring and response to incidents

El término SOAR – del inglés: Security Orchestration, Automation, and Response – ampliamente conocido y con más de una variante, permite dar un salto cualitativo en la respuesta a incidentes, dotando a los equipos de un mayor control sobre los incidentes, de procedimientos de respuesta orquestando múltiples dispositivos de seguridad y de la capacidad de poder automatizar para disponer de un tiempo de respuesta inmediato.

Y es aquí donde podemos decir que hemos preparado la campaña de incendios forestales desde el invierno y que ahora nuestros equipos de operaciones de seguridad y respuesta a incidentes están preparados para resolver cualquier incidente con las mínimas consecuencias. Pero de esto ya nos ocuparemos en la próxima ocasión.

Learn much more in our Professional Master in Cybersecurity, Ethical Hacking and Offensive Security.

 

Subscribe to our newsletter to stay up to date with all the news

EIP International Business School informs you that the data in this form will be processed by Mainjobs Internacional Educativa y Tecnológica, SAU as the party responsible for this website. The purpose of collecting and processing personal data is to manage your subscription to the newsletter as well as to send commercial information about the services of the data controller. The legitimacy is the explicit consent of the interested party. Data will not be transferred to third parties, except under legal obligation. You may exercise your rights of access, rectification, limitation and deletion of data at compliance@grupomainjobs.com, as well as the right to lodge a complaint with the supervisory authority. You can consult additional and detailed information on Data Protection in the Privacy Policy that you will find on our website.
Master Cybersecurity Professional Master

Leave a comment

EIP International Business School informs you that the data in this form will be processed by Mainjobs Internacional Educativa y Tecnológica, SAU as the party responsible for this website. The purpose of collecting and processing personal data is to manage your subscription to the newsletter as well as to send commercial information about the services of the data controller. The legitimacy is the explicit consent of the interested party. Data will not be transferred to third parties, except under legal obligation. You may exercise your rights of access, rectification, limitation and deletion of data at compliance@grupomainjobs.com, as well as the right to lodge a complaint with the supervisory authority. You can consult additional and detailed information on Data Protection in the Privacy Policy that you will find on our website.

Members of 

Latin American Council Schools Admission Logo
Business School Logo
Euphe 1
Euphe 2

Recognitions

Qs Rating Horizontal 0
Qs Rating Horizontal 4
Qs Rating Horizontal 1
Qs Rating Horizontal 2
Qs Rating Horizontal 3
Qualificam Logo Footer

Educational partners

Harvard Negative (1)
Microsoft Academy (1)
Aws Academy Logo Footer
Cisco Networking Academy White
Ausape Logo
Logo Compliant Professional Association White
Buildingsmart Rgb Spain Chapter Member V2
Pmp Logo Footer
Global Suite Logo White
Minsoit Sap Svg
Pvsyst Logo
Logo Capman Footer
Toeic Logo White
Python Institute Logo White
Its Logo White
Ccsp Badge
Cdpp
Cpcc
oscp-certified
Legal warning Use of Cookies Privacy Policy Quality politics Complaint channel Registration Conditions join us

EIP Teatinos University Campus - Málaga - Spain

© EIP | International Business School 2010-2025

Trademark registered with the OEPM. No. 3,735,191