Evaluación y supervisión de la infraestructura con un marco de Confianza cero
La evaluación de la infraestructura, también denominada supervisión de la infraestructura, es un proceso que permite evaluar, administrar y analizar la capacidad y el rendimiento de la infraestructura de TI, como servidores, aplicaciones, máquinas virtuales, bases de datos, contenedores y otros componentes de TI de back-end. Las organizaciones implementan la administración de configuración para definir opciones y configuraciones para todo el software y hardware. El objetivo principal de la administración de la configuración es permitir que las organizaciones planeen, supervisen, controlen y determinen los requisitos y configuraciones de su infraestructura.
Supervisión de la infraestructura
La correcta supervisión de la infraestructura requiere que las organizaciones tengan parámetros claramente definidos para lo que se mide y supervisa, y cómo se realiza. La implementación de procedimientos recomendados y el uso de las herramientas adecuadas disponibles para la supervisión eficaz de la infraestructura ayuda a las organizaciones a ahorrar costos y tiempo. Para optimizar las operaciones de seguridad y tener una visibilidad clara, puede implementar las siguientes tecnologías que ofrecen supervisión y análisis en tiempo real.
Gestión de eventos e información de seguridad
Gestión de eventos e información de seguridad (SIEM, por sus siglas en inglés) combina la Gestión de información de seguridad (SIM) y la Gestión de eventos de seguridad (SEM). Las soluciones SIEM mejoran el reconocimiento de la seguridad mediante la identificación de amenazas y vulnerabilidades basadas en anomalías de comportamiento del usuario. El software SIEM realiza un seguimiento, registra y recopila datos de varios dispositivos de seguridad con fines de cumplimiento y auditoría. Alerta a las organizaciones sobre posibles amenazas, infracciones de seguridad o problemas normativos y de cumplimiento.
Orquestación, automatización y respuesta de seguridad
Orquestación, automatización y respuesta de seguridad (SOAR) combina la administración de amenazas y vulnerabilidades (orquestación), la automatización de operaciones de seguridad y la respuesta a incidentes de seguridad en una sola plataforma. La tecnología SOAR organiza y automatiza las tareas manuales de investigación y respuesta de amenazas.
- La orquestaciónde seguridad coordina e integra diversas herramientas de seguridad y productividad, como escáneres de vulnerabilidades, firewalls, estadísticas de comportamiento del usuario, sistemas de detección y prevención de intrusiones y plataformas SIEM.
- Automatización de seguridad analiza los datos recopilados de la orquestación de seguridad y automatiza los flujos de trabajo y tareas estándar, como el examen de vulnerabilidades, el análisis de registros y la auditoría. Desencadena alertas de seguridad y posibles intrusiones.
- Respuesta de seguridad funciona con procesos automatizados y manuales para planear, administrar, supervisar e informar de incidentes para admitir una respuesta oportuna a las amenazas de seguridad.
Las plataformas SOAR y SIEM recopilan, supervisan y analizan datos de varios orígenes. Sin embargo, hay algunas diferencias en cuanto a cómo cada plataforma realiza y ejecuta los procesos de seguridad. Por ejemplo, los sistemas SIEM recopilan datos, determinan anomalías, evalúan amenazas y envían alertas a los analistas de seguridad cuando hay una amenaza potencial. Los sistemas SOAR integran una gama más amplia de aplicaciones y herramientas internas y externas mientras se controlan las mismas tareas. La tecnología SOAR usa inteligencia artificial para automatizar la detección de amenazas y la respuesta a incidentes. Esto permite el envío de una alerta sobre un incidente de seguridad antes de que se produzca. Ambas plataformas se pueden usar juntas para las operaciones de seguridad generales.
Detección y respuesta de puntos de conexión
Detección y respuesta de puntos de conexión (EDR) es una tecnología que supervisa y detecta posibles amenazas o actividades sospechosas que se producen en los puntos de conexión. El objetivo principal de las soluciones de EDR es proporcionar alertas y visibilidad de las amenazas en tiempo real y ofrecer el impacto en la organización, si se produce un ataque.
Evaluación del comportamiento de la carga de trabajo
El enfoque Confianza cero garantiza una seguridad proactiva frente a amenazas para cargas de trabajo locales, en la nube e híbridas.
Marcar automáticamente un comportamiento sospechoso
Ejemplos de comportamiento sospechoso pueden ser una hora de inicio de sesión o una ubicación inusual de un usuario, o una forma inusual de usar una aplicación o un fragmento de software. Las organizaciones implementan soluciones de inteligencia y respuesta a las amenazas, de acuerdo con la estrategia de Confianza cero, para defenderse de los atacantes. Las herramientas de inteligencia y respuesta a las amenazas detectan cualquier comportamiento o actividad sospechosa que se produzca en sus recursos. Para ello, se generan alertas cuando se detecta un incidente de seguridad o un problema de cumplimiento.
Bloquear automáticamente comportamientos de riesgo
Con tendencias como "bring your own device" (BYOD) y el trabajo a distancia, los cambios en el comportamiento de los usuarios son naturales y están destinados a suceder. El principio de Confianza cero, nunca confíes, siempre verifica, anima a las organizaciones a aplicar estrategias de administración de riesgos, que incluyen la identificación y evaluación del comportamiento humano. La aplicación de configuraciones seguras y la habilitación de opciones de denegación o bloqueo pueden mitigar la amenaza de incidentes de seguridad importantes.