- Algunas mejores prácticas sobre el monitoreo de seguridad de aplicaciones y seguridad informática en red
Desde una perspectiva histórica, los Expertos en Seguridad que realizan Monitoreo de Seguridad han estado generalmente muy enfocados en el Monitoreo de Seguridad de Red e IT. A menudo, las empresas tienen un Centro de Operaciones de Seguridad (SOC), o el SOC es ofrecido por otros como un servicio. El Monitoreo de Seguridad de Aplicaciones (ASM) no juega -desde este punto de vista histórico- un papel o solo un papel menor para el equipo del SOC. Las actividades sospechosas dentro de las aplicaciones utilizadas por la empresa y ejecutadas por usuarios, que ya tienen acceso a esos sistemas de aplicación, no necesariamente se consideran una amenaza externa (aunque un usuario pueda haber sido hackeado y abusado dentro de una aplicación), además aún existe una brecha de conocimiento con respecto a la Seguridad de Aplicaciones.
Dado que las amenazas dentro de la aplicación ya han alcanzado la red y el acceso a datos corporativos críticos es posible, se podría llegar a la conclusión de que tales amenazas son tan críticas como las amenazas de red/IT. Las dos categorías de amenazas pueden incluso correlacionarse entre sí. Un hackeo de red/IT puede ser una actividad previa para un hackeo de aplicación.
Por lo tanto, se sugiere fuertemente la necesidad de conocimiento sobre amenazas de seguridad de aplicaciones, monitoreo y detección dentro del equipo del SOC, para poder tener una visión de extremo a extremo sobre cualquier tipo de actividades críticas de ciberseguridad.
Finalmente, ¿cómo pueden los Expertos en Seguridad ser empoderados adicionalmente para el área de seguridad de aplicaciones? ¿Y se pueden combinar los conocimientos de ambos mundos en un solo SOC?
Aquí hay algunas reflexiones sobre las mejores prácticas:
Procedimientos Operativos Estándar (SOPs):
Los SOPs son esenciales al procesar alertas de ciberseguridad. Documentan pautas corporativas estandarizadas para procesar la alerta. Sin embargo, un SOP no puede reemplazar completamente un conocimiento profundo o semi-profundo de un tema de seguridad en particular. Basándose en los SOPs, el Experto en Seguridad puede comenzar a trabajar en el área de Monitoreo y Alerta de Seguridad de Aplicaciones. Cuando se trata de determinar la criticidad de una alerta o un análisis forense, por ejemplo, sobre la secuencia de actividades dentro de una aplicación por un usuario, persisten brechas de conocimiento cuando se confía solo en los SOPs.
Conclusión sobre una Mejor Práctica:
¡Los SOPs son esenciales, pero todavía se necesita aprendizaje adicional!
Datos de Registro y Herramientas:
Simplemente alimentar datos de aplicación (registro) en un sistema estándar de Gestión de Información y Eventos de Seguridad (SIEM), utilizado por el SOC, no es muy útil para comprender o interpretar los datos que se están alimentando. De hecho, el conocimiento detallado es más que necesario, ya que los casos de uso de seguridad deben extraerse de los datos en bruto, lo cual funciona, pero requiere mucho conocimiento detallado sobre diferentes registros de aplicaciones, su correlación y seguridad de aplicaciones, así como mucho tiempo para modelar estos casos de uso.
Registro de una aplicación SAP. ¿Es crítico desde un punto de vista de seguridad?
En resumen, otro herramienta que incluya la interpretación de registros de aplicaciones de forma predeterminada, casos de uso y alertas apropiadas tiene sentido. Puede hacer la pre-evaluación y enviar los datos pre-evaluados (alertas debido a actividades sospechosas dentro de una aplicación) al sistema SIEM. La integración de un ASM se puede pensar como un sistema Anti Virus (AV). El AV hace el trabajo, encuentra patrones y secuencias de código, genera alertas cuando se encuentra un virus en una máquina, y además pone en cuarentena el archivo o ejecutable vulnerable. Las alertas y acciones se envían a un SIEM, que luego agrega la información en un estado general de seguridad.
Conclusión sobre una Mejor Práctica:
¡Piense en usar un ASM para integrarse con un SIEM!
Cómo trabajar juntos:
La seguridad es un esfuerzo conjunto de los diferentes grupos en una organización, por ejemplo, la organización de