¿Cómo medir la efectividad de los controles de seguridad con una solución de BAS?

agosto 8, 2023 Nayely Pérez Munoz
Off
Artículos, Inteligencia de Amenazas

Las herramientas de Breach and Attack Simulation (BAS) ofrecen un marco sólido para medir la eficacia de los controles de seguridad y a continuación te damos 6 pasos a través de los cuáles se realiza el proceso de medición y evaluación constante de tu postura de seguridad.  

Paso 1: Identificación de amenazas 

Dependiendo de la región e industria, cada organización puede enfrentar un panorama de amenazas único, es por eso que un proveedor de BAS eficaz proporciona a sus clientes una biblioteca de amenazas actualizada y diversas plantillas de amenazas listas para ser ejecutadas. Los usuarios pueden utilizarlos para realizar simulaciones de ataques que imitan las tácticas, técnicas y procedimientos (TTP) dirigidos específicamente a su sector. 

Por ejemplo, supongamos que tu organización opera en el sector financiero en Europa del Este y América del Norte; tu proveedor de BAS acaba de agregar una nueva amenaza que imita la campaña de ataque de un grupo APT en particular que ejecuta campañas de ransomware contra bancos en Ucrania. Si tu organización se alinea con el perfil de la víctima, puedes optar por simular esta amenaza en lugar de otra dirigida a las instituciones de salud en Corea. 

Por lo tanto, identificar y priorizar las amenazas relevantes según la industria y los factores geográficos, como las amenazas emergentes que afectan a un sector y región, puede ayudarte a implementar contramedidas inmediatas para mejorar la eficacia de tus controles de seguridad. 

Paso 2: Definición del alcance de la simulación de ataques 

Para proporcionar una prueba sólida de tus medidas de seguridad, puedes personalizar el alcance de la simulación de ataques mediante BAS. Durante una simulación de ataque, una plataforma BAS monitorea continuamente los controles de seguridad de la organización para evaluar su eficacia en la detección, prevención y mitigación del ataque simulado. Esto se logra implementando agentes de simulación en la red de una organización e iniciando una simulación de ataque controlado, lo que le brinda información clara sobre la eficiencia de controles como: 

  • Next-Generation Firewalls (NGFW) 
  • Web Application Firewalls (WAF) 
  • Soluciones de Sistemas de Prevención y Detección de Intrusos (IDS) 
  • Anti-virus y Anti-malware  
  • Tecnologías de Endpoint Detection and Response (EDR) 
  • Tecnologías Extended Detection and Response (XDR)  
  • Prevención de fuga de datos (DLP) 
  • Soluciones de SIEM: Security Information and Event Management 
  • Soluciones de seguridad de Email 

Por lo tanto, una plataforma BAS prueba las defensas de la organización mediante la simulación de escenarios de ataque del mundo real, proporcionando una evaluación auténtica de los controles de seguridad en condiciones de amenaza genuinas. 

El proceso continuo de monitoreo y evaluación a través de una amplia gama de controles de seguridad, facilitado por la implementación de agentes de simulación en la red, da como resultado una visión completa y clara de la eficiencia y solidez de los controles. Como resultado, esto ayuda a las organizaciones a identificar vulnerabilidades potenciales, verificar sus mecanismos de defensa y tomar decisiones bien informadas sobre la optimización de sus inversiones en seguridad. 

Paso 3: Simulación y evaluación de amenazas 

El núcleo de Breach and Attack Simulation (BAS) es realizar ataques simulados que imitan las tácticas, técnicas y procedimientos (TTP) del mundo real que se usan en la naturaleza. Estas simulaciones incluyen varios vectores de ataque, como amenazas persistentes avanzadas (APT), campañas de malware, escenarios de exfiltración de datos y explotación de vulnerabilidades conocidas. 

A través de estas simulaciones de ciberataques, las soluciones BAS brindan una evaluación genuina de la postura de seguridad y cubren todos los aspectos de tu infraestructura, examinando la capacidad de respuesta y la eficacia de los sistemas de seguridad. 

Paso 4: Análisis de los resultados de la simulación y mapeo de MITRE ATT&CK 

Las herramientas Breach and Attack Simulation (BAS) brindan una metodología empírica para cuantificar la efectividad de sus controles de seguridad a través del cálculo de puntajes generales de prevención y detección. La puntuación global de prevención se calcula en función del éxito de los objetivos del atacante frente a los controles de seguridad aplicados. Por ejemplo, si tienes un total de 50 objetivos de atacantes y 20 de ellos no se logran debido a controles de seguridad efectivos, la puntuación de prevención sería del 40 %. Esto refleja cuán efectivos son tus controles de seguridad para evitar que un atacante logre sus objetivos. 

De manera similar, el puntaje de detección general proporciona una medida de la eficiencia de tus sistemas de registro y alerta. Si tienes un total de 50 amenazas completadas, con 20 registradas y 10 alertadas, tu puntuación de detección sería del 30 %. Esta puntuación es una combinación de análisis de registros (50 %) y análisis de alertas (50 %), lo que proporciona una visión equilibrada de tus capacidades de detección. 

Estos puntajes generados por las herramientas BAS brindan una vista inmediata y cuantificable de cuán efectivos están reaccionando tus controles de seguridad a las amenazas simuladas. Proporcionan una métrica para comprender su postura de seguridad incluso frente a las amenazas más recientes y ayudan a identificar dónde se pueden necesitar mejoras.  

Además, las herramientas de BAS, contribuyen significativamente a mejorar la eficacia del control de seguridad, especialmente cuando se integran con el marco MITRE ATT&CK. Esta poderosa combinación te permitirá identificar qué técnicas están eludiendo actualmente tus controles y priorizar áreas de vulnerabilidad para la mejora estratégica de postura. 

Paso 5: Mitigación de brechas de seguridad 

Las herramientas BAS juegan un papel crucial en la mitigación de las brechas de seguridad dentro de una organización. Guían tus controles de seguridad preventivos y de detección para operar de manera más efectiva al enfocarse en áreas de mejora descubiertas en las simulaciones. Esto se logra proporcionando firmas de prevención específicas y reglas de detección para combatir las amenazas que no se abordaron durante los ataques simulados. 

En el lado preventivo, estas herramientas habilitan firmas de prevención relevantes que corresponden a amenazas desbloqueadas, asegurando que tus controles de seguridad estén listos para tales desafíos en escenarios reales. 

En términos de controles de detección, las soluciones BAS ayudan a ajustar tus sistemas de gestión de eventos e información de seguridad (SIEM), detección y respuesta de endpoints (EDR) y tecnologías de detección y respuesta extendida (XDR). 

Por lo tanto, las soluciones BAS ayudan a identificar brechas de registro, mejorar la detección y mejorar las capacidades de alerta de tus sistemas. 

Paso 6: Validación y Actualización Continua 

Las herramientas BAS permiten una validación continua, brindan mediciones continuas de las tasas de prevención y detección de amenazas y actualizan la biblioteca de amenazas con regularidad. Esto garantiza que siempre estés preparado para amenazas nuevas y emergentes, lo que valida la resiliencia de tus controles a lo largo del tiempo. 

En esencia, las herramientas BAS ofrecen una plataforma integral para medir, analizar y mejorar tus controles de seguridad, brindando la mejor defensa contra las ciberamenazas actuales y futuras. 

¿Quieres conocer más sobre esta plataforma de Picus Security

Contáctanos para agendar una demo con nuestros especialistas. 

Artículos
Aplicaciones