Las ciberamenazas avanzan con rapidez. Herramientas como los registros de seguridad pueden ser una primera línea de defensa, pero solo si también son rápidas. En ciberseguridad, cada segundo cuenta. Sin un almacenamiento de alto rendimiento que ofrezca velocidades de ingesta y procesamiento rápidas, incluso las mejores herramientas de seguridad, y los equipos de detección de ciberamenazas que las utilizan, se verán limitadas.
Las organizaciones dependen de los registros de seguridad para detectar, responder y recuperarse de las ciberamenazas. Sin embargo, estos registros solo son útiles si capturan datos completos y los procesan con la suficiente rapidez para detectar amenazas en tiempo real.
Sin embargo, la mayoría de los registros presentan lagunas de datos, lo que permite que las amenazas se cuelen. ¿Y el motivo? La infraestructura de almacenamiento.
A continuación, te explico cómo un almacenamiento lento u obsoleto debilita tu ciberresiliencia y cómo puedes solucionarlo.
¿Qué es la visibilidad de datos?
En términos generales, la visibilidad de datos consiste en saber dónde se encuentran. En el contexto de mantener un entorno de TI seguro, la visibilidad de datos se refiere al análisis de seguridad. Esto significa tu capacidad para detectar anomalías, identificar amenazas y detenerlas en tiempo real antes de que se agraven.
Quizás te preguntes: ¿No son para eso los registros de seguridad? Sí, pero aquí es donde muchos fallan…
Registros de seguridad: La primera línea de defensa, si son lo suficientemente rápidos
Los registros de seguridad son tu primera línea de defensa. Se utilizan para rastrear la actividad del sistema con el fin de detectar anomalías, contener amenazas y servir como evidencia forense crucial. Sin embargo, su eficacia depende de la calidad e integridad de tus datos y de la rapidez con la que los proceses.
El desafío radica en que las ciberamenazas modernas se mueven rápidamente, con tiempos de ruptura promedio de tan solo 48 minutos.
El tiempo de ruptura es el tiempo entre el inicio de sesión de un atacante como usuario normal con credenciales «adquiridas» y la elevación de sus privilegios al nivel de administrador. Una vez que un atacante se convierte en administrador, se vuelve extremadamente difícil de detectar. Para empeorar las cosas, los tiempos de fuga son cada vez más cortos. Un ataque duró 27 minutos. Si los equipos de seguridad carecen de registros en tiempo real, los atacantes pueden propagarse por tus sistemas sin que nadie se dé cuenta.
Los registros lentos te obligan a reaccionar ante los daños en lugar de prevenirlos. Y aquí es donde entra en juego tu infraestructura de almacenamiento…
Almacenamiento: Un cuello de botella ignorado para el rendimiento de los registros
Imagina un enorme almacén lleno de mercancía de alto valor. La empresa cuenta con seguridad: puertas cerradas, cámaras y guardias patrullando la zona las 24 horas. Pero una noche, un grupo de ladrones encuentra la manera de entrar.
Usan credenciales de empleados robadas para entrar al edificio y luego se visten con uniformes de limpieza para camuflarse. Sin ser detectados, desactivan las alarmas y desbloquean las puertas.
Los ladrones tienen una ventaja: las cámaras graban solo cada 30 minutos y los guardias no patrullan con la frecuencia suficiente. Para cuando alguien se da cuenta de que algo puede ir mal, ya han cargado un camión lleno de mercancías y se han marchado.
Esto ilustra la gran cantidad de almacenamiento que existe actualmente.
Si la velocidad de ingesta (recopilación) y procesamiento es demasiado lenta, no se recibe información completa en tiempo real, lo que genera lagunas de datos.
Entonces, tu equipo de búsqueda de amenazas puede detectar anomalías demasiado tarde, como, por ejemplo, que los guardias de seguridad reciban una alerta por un movimiento sospechoso demasiado tarde, y lleguen después de que se hayan vaciado los estantes.
El 75% de las organizaciones presentan puntos ciegos
Según una encuesta de Flexera de 2024, un asombroso 75% de los líderes de TI considera que su organización presenta brechas de visibilidad en su ecosistema de TI. Estos puntos ciegos generan graves riesgos de seguridad, y el problema se agrava a medida que los entornos de datos se vuelven más complejos.
Algunos de los principales desafíos para la visibilidad de los datos incluyen:
- Volumen de datos abrumador: Los equipos de seguridad no pueden seguir el ritmo del crecimiento exponencial de los datos.
- Sistemas fragmentados y silos: Los registros desconectados crean puntos ciegos donde se esconden las amenazas.
- Una infraestructura lenta retrasa la detección: Si el procesamiento de los registros tarda demasiado, los equipos de seguridad no pueden reaccionar con la suficiente rapidez.
Claro que puede actualizar sus herramientas de seguridad, pero incluso las mejores herramientas son limitadas sin un almacenamiento de alto rendimiento.
Por qué sus puntos ciegos podrían empeorar
Los ciberataques son cada vez más frecuentes y complejos, por lo que debes procesar más datos que nunca. Esto exige mayor capacidad y velocidad de almacenamiento. Cuando el almacenamiento no da abasto, te enfrentas a una decisión difícil:
- Recopilar registros de seguridad de más fuentes, pero procesar los datos con mayor lentitud.
- Procesar los datos rápidamente, pero recopilar registros de seguridad de menos fuentes.
Ninguna de las dos opciones es ideal, ya que ambas generan brechas de datos, lo que aumenta la vulnerabilidad de la organización.
Recuerda que las anomalías suelen comenzar como pequeñas actividades: un inicio de sesión inusual, un acceso inesperado al sistema o una escalada de privilegios. Si estas señales de advertencia no se detectan de inmediato, los atacantes tienen más tiempo para penetrar en sus sistemas y causar mayores daños.
Pero no tiene por qué ser así.
Desbloqueando el poder de la detección de anomalías en tiempo real
Solo un almacenamiento escalable y de alto rendimiento permite una verdadera visibilidad de los datos. Poder visualizar anomalías en tiempo real permite a su equipo de ciberamenazas detectar brechas antes de que ocurran, lo que facilita una mayor ciberresiliencia.
Retomando la analogía del almacén, así es como podría ser tener visibilidad completa de los datos:
- Las cámaras detectan al instante una cara desconocida en la entrada y envían imágenes de inmediato a los guardias de seguridad.
- Si los ladrones entran, las cámaras y los sensores detectan al instante cualquier actividad inusual, señalan la ubicación exacta y alertan a los guardias.
- Los guardias de seguridad intervienen antes de que se produzca el robo.
Cómo está diseñado Pure Storage para ofrecer una visibilidad real de los datos
Todos sus datos residen en el almacenamiento. Sin embargo, a menudo se pasa por alto hasta que surge un problema.
Un descuido importante es el uso que muchas organizaciones hacen de unidades de estado sólido (SSD) convencionales, que no están diseñadas para las exigencias de la ciberseguridad moderna. Las SSD convencionales carecen de la velocidad y el ancho de banda necesarios para procesar datos de todas las fuentes y correlacionarlos con la suficiente rapidez como para proporcionar una visibilidad completa de los datos.
La arquitectura de Pure Storage supera estas limitaciones para ofrecer una visibilidad real de anomalías. Los módulos DirectFlash® (DFM) de Pure Storage® eliminan los cuellos de botella tradicionales del almacenamiento al:
- Proporcionar acceso directo al almacenamiento NAND, evitando controladores externos lentos
- Ingerir y correlacionar datos de seguridad a velocidad de línea, maximizando la información en tiempo real
- Permitir una visibilidad completa de los datos para los equipos de seguridad, de modo que las amenazas se detecten a tiempo
Con las inigualables velocidades de ingesta y procesamiento de Pure Storage, tus equipos de detección de ciberamenazas no se quedan atrás. Detienen las amenazas antes de que ocurran.
