¿Estás visitando desde Argentina?
Ingresá a Linware Argentina ⯈
Continuar en Linware Argentina ⯈
×
¿Qué estás buscando?
BUSCAR!
BLOG
Cumplimiento de la tala M-21-31: Superando los 3 principales desafíos
Publicada el 26/12/2023

Recientemente, la Oficina de Responsabilidad Gubernamental (GAO) de EE. UU. publicó un estudio que rastrea el progreso de las agencias federales de EE. UU. en el cumplimiento de los requisitos establecidos en OMB M-21-31 . Publicado en 2021, el memorando M-21-31 de la Oficina de Gestión y Presupuesto (OMB) proporcionó orientación y requisitos para las agencias federales con el fin de mejorar la visibilidad centralizada del registro de datos antes, durante y después de los incidentes de ciberseguridad. El memorando describía un modelo de madurez maderera con cuatro niveles (E0-3) para guiar a las agencias en su proceso de cumplimiento.

En el nuevo estudio, la GAO encontró que las agencias " han logrado avances en la preparación y respuesta a las amenazas cibernéticas ". Al mismo tiempo, sin embargo, el estudio señaló que 20 de las 23 agencias no cumplieron con la fecha límite de agosto de registro avanzado de eventos de nivel 3 (“EL3 avanzado”) del M-21-31 para rastrear, almacenar y administrar registros de eventos.

El estudio destacó tres desafíos que enfrentan las agencias mientras trabajan para cumplir con los requisitos de registro de eventos M-21-31: 

  1. Falta de personal

  2. Desafíos técnicos del registro de eventos

  3. Limitaciones en el intercambio de información sobre eventos cibernéticos

En esta publicación, analizaremos estos desafíos y compartiremos cómo hemos visto a los clientes federales abordarlos utilizando Elasticsearch®.

 

Uso de Elasticsearch para resolver los desafíos M-21-31

Varias agencias federales han estado utilizando la plataforma Elasticsearch para cumplir con los requisitos M-21-31 durante el año pasado, adoptando un enfoque unificado que incluye tanto el registro como la respuesta a amenazas. Con base en las experiencias de estas agencias utilizando Elasticsearch para M-21-31, recomendamos las siguientes formas de responder a los desafíos que la GAO señaló en el estudio.

1. Falta de personal

Las agencias federales están aprovechando la accesibilidad y la flexibilidad de Elasticsearch para automatizar tareas que requieren mucho tiempo y democratizar la información sobre los datos. En lugar de contratar más empleados o volver a capacitar a los equipos existentes, las agencias se están beneficiando del enfoque democratizado de Elastic® hacia los conocimientos y las capacidades accesibles integradas en la plataforma Elasticsearch. Algunas de las funcionalidades que ayudan a las agencias a abordar la brecha de habilidades: 

  • Vista consolidada de los datos: alinee equipos y roles en torno a conjuntos de datos comunes, proporcionando una vista unificada del rendimiento de la infraestructura y enriquecida con inteligencia sobre amenazas. Este acceso consolidado hace que sea más fácil y rápido consumir y actuar sobre datos e información, sin importar dónde se encuentren.

  • Visualizaciones de arrastrar y soltar : analice los datos de registro y de ciberseguridad a través de los paneles visuales e intuitivos de arrastrar y soltar de Elasticsearch . Estos paneles muestran información generada a partir del aprendizaje automático (ML) y las capacidades de IA de Elastic, lo que permite que todos accedan a esta información en tiempo real, en lugar de tener que esperar a un científico de datos con conocimiento o acceso especializado.

  • Capacidades de automatización: aproveche el poder del enfoque abierto de Elastic para implementar reglas de detección de seguridad perfeccionadas y compartidas por investigadores de amenazas de Elastic y miembros de la comunidad. Las agencias también están ahorrando tiempo al utilizar análisis centralizados y alertas para descubrir anomalías y amenazas. Aumente aún más las capacidades de su equipo con Elastic AI Assistant , que integra IA generativa para simplificar las tareas y ayudar a los usuarios a encontrar contexto e información para comprender anomalías y amenazas más rápidamente y acelerar la resolución de problemas.
 

2. Desafíos técnicos del registro de eventos

Uno de los obstáculos para el cumplimiento de los registros es no tener acceso a todos los datos de registro. Sin una visibilidad optimizada de todos los tipos y fuentes de datos, la capacidad de identificar con precisión amenazas y patrones es significativamente limitada. Muchas organizaciones enfrentan el desafío de los altos costos que implica administrar y almacenar grandes cantidades de datos de registro dispares. El enfoque de Elastic simplifica la ingesta y el análisis de datos, mientras que nuestros precios basados ​​en recursos brindan a los equipos la flexibilidad de pagar por lo que necesitan.

  • Ingesta de datos optimizada: la ingesta de diferentes tipos de datos de diferentes fuentes normalmente requiere múltiples herramientas y procesos (y altos costos). El uso de Elastic Agent para incorporar todos sus registros, métricas y seguimientos puede eliminar la dependencia de integraciones y complementos externos que pueden requerir que ceda el control de datos confidenciales.

  • Esquema unificado: para organizar y dar sentido a todos los tipos de datos ingeridos, Elastic utiliza un esquema de código abierto impulsado por la comunidad conocido como Elastic Common Schema o ECS. Esta estructura de datos común unifica todos los modos de análisis disponibles en Elastic, incluida la búsqueda, el desglose y la rotación, la visualización de datos, la detección de anomalías basada en aprendizaje automático, las reglas de detección y las alertas.
 

3. Limitaciones en el intercambio de información sobre eventos cibernéticos

M-21-31 pidió a las agencias que compartan datos de registro entre sí, “según sea necesario y apropiado, para acelerar los esfuerzos de respuesta a incidentes”. Tradicionalmente, compartir datos fuera de una agencia presentaba riesgos significativos para los datos que ya eran confidenciales, así como costos potenciales y el tiempo requerido para copiar datos o moverlos a una fuente central. 

Sin embargo, al utilizar Elasticsearch, las agencias pueden compartir datos de forma segura entre agencias, equipos y proyectos. De hecho, las agencias federales probablemente ya estén familiarizadas con los datos de ciberinteligencia proporcionados por CISA; Elasticsearch impulsa el CDM Dashboard de CISA , brindando a CISA visibilidad centralizada de los datos de ciberseguridad de más de 100 agencias cuando es necesario. CISA y otras agencias federales han confiado en Elasticsearch para:

  • Enfoque distribuido: con las capacidades de búsqueda y replicación entre clústeres de Elastic , las agencias pueden compartir de forma segura sus datos fuera de su agencia sin moverlos. Además de reducir el riesgo, el tiempo y los costos involucrados con el traslado de datos, este enfoque permite a cada agencia mantener el control de sus datos en su ubicación segura original.

  • Controles de privacidad de datos: trabajando de la mano con la búsqueda y replicación entre clústeres, la seguridad del control de acceso basado en roles y atributos (RBAC/ABAC) de Elastic le permite decidir quién en su agencia puede acceder a qué datos, hasta el nivel del documento. Estos permisos de seguridad se aplican localmente, donde residen los datos. Esto le permite crear políticas seguras de acceso a datos dinámicos para ciertos niveles de clasificación y áreas funcionales.

 

Comience: acelere el cumplimiento de la M-21-31

Obtenga más información sobre cómo Elastic puede brindar soporte integrado y rentable para el cumplimiento de M-21-31, desde capacidades de almacenamiento de registros, administración y ciberseguridad dentro de nuestra plataforma unificada impulsada por IA:

Ir al Blog