Seguridad TIC

Para una buena propuesta de seguridad de las TIC en las áreas del negocio, se debe considerar a media de lo posible lo siguiente:

Inteligencia

Open Source Intelligence

Técnicas para adquirir información de “Open Source Intelligence”, con el fin de adquirir información con fines de inteligencia, entendiendo por inteligencia a la identificación de campañas con fines negativos / dañinos, nuevos métodos de ataque y malware, así como nuevos elemento; que recopile a través de un monitoreo distribuido y análisis de contenido encontrado en fuentes públicas accesibles, mejor conocida como WebInt (Web Intelligence) la cual esté enfocada a la búsqueda de información en la World Wide Web y de fuentes abiertas como Deep Web y Dark Web

Monitoreo

Seguridad tradicional

Componentes tradicionales

Considere los componentes tradicionales de seguridad tales como firewalls, IPS, Antivirus, DLP; que permitan proteger al área antes mencionadas de amenazas conocidas, se les debe sumar la capa de Inteligencia para llegar a ser robustos

Detección, investigación y bloqueo avanzados

Componentes tradicionales

Cuando se hable de detección, investigación y bloqueo avanzados refiérase a técnicas que permiten ayudar en la detección de amenazas avanzadas.

Considerar las siguientes:

Indicador de compromiso, que se define como un artefacto forense o un remanente de una intrusión, el cual puede visualizarse o encontrarse tanto a nivel de host o en el tráfico de red.
Reglas, que permita la identificación y clasificación de malware.
Seguridad de análisis, refiriéndose a la capacidad de realizar análisis en tiempo real y de manera asimétrica entre los diferentes componentes, con el propósito de conocer el estado actual a nivel departamental definida anteriormente (conciencia situacional}, sin importar que la información esté resguardada en formato de bitácoras, alertas o tráfico de red, con el fin de generar conocimiento y aprendizaje de seguridad para la organización. Se puede sugerir tecnología basada en big data y análisis no estructurado de datos.
Detección de anomalías en el comportamiento de la red, hacer propuesta a nivel de tráfico de red y de entender los flujos de comunicación, protocolos y contexto en que se den las comunicaciones dentro del área departamental definida anteriormente.
Análisis dinámico, considere el estudio de muestras de malware, el análisis dinámico para representar el entendimiento del comportamiento en ambientes controlados, el tipo de información que se pretende identificar son llamadas a funciones, modificación o creación de archivos, desempaquetado de funcionalidades cifradas, detectar cambios o mutaciones en tiempo de ejecución.
Aislamiento de procesos (sandbox), considere una técnica o mecanismo de seguridad que restrinja la ejecución de un programa, cuando sea usado para la detección de amenazas avanzadas, que sea parte de un análisis dinámico y de comportamiento de las muestras de malware, dicho análisis regularmente se realizará en entornos virtuales como hiper visores propietarios, comerciales o libres, la muestra de malware se ejecutará en diversos sistemas operativos con diversas configuraciones de seguridad y aplicaciones instaladas, mediante esta ejecución se detectarán las características con las cuales es posible la identificación de nuevas amenazas, así como la creación de indicadores de compromiso y reglas.
SandNet, no es necesaria, pero si puede valorada su propuesta de implementación.
Análisis forense de la red, que pretenderá realizar el monitoreo y análisis del tráfico de red del área mencionada; este análisis se sugiere hacer en dos vertientes, la primera es un análisis en tiempo real al integrarlos con una capa de seguridad análisis, la segunda es más "post mortem" donde se hace la caza de las amenazas o incluso el entendimiento de lo sucedido en un evento de seguridad. Estas técnicas permitirán la identificación y entendimiento de movimientos laterales, extracción de información, reconstrucción de un ataque o actividad sospechosa, extracción de artefactos que están viajando por la red, análisis de seguridad posteriores sobre el tráfico con nuevos patrones de ataques.
Análisis estático se refiere a realizar tareas de identificación en muestras de malware sin necesidad de ejecutar el programa.
Honeypot, o sistema trampa o señuelo, como una técnica que pretende el uso de trampas para la captura de amenazas o malware, estos honeypots pretenden ser parte de la infraestructura de una red y emular sistemas operativos o servicios de red con los cuales atraen hacia ellos los movimientos laterales de las amenazas; el propósito es la identificación y entendimiento de las amenazas.

Seguridad de las TIC

Inteligencia

Seguridad tradicional

Detección, investigación y bloqueo avanzados

Acerca de nosotros

Nuestros servicios

Etiquetas populares

Horarios

Menu Principal