Socio destacado: La integración de Threat Stack y Squadcast optimiza las alertas con mayor contexto.
Threat Stack ahora es F5 Distributed Cloud App Infrastructure Protection (AIP). Comience a utilizar Distributed Cloud AIP con su equipo hoy mismo .
Esta es una colaboración de publicación invitada entre Squadcast y Threat Stack
Es común que los profesionales de seguridad se vean inundados de alertas, especialmente a medida que los entornos de nube continúan escalando a un ritmo rápido. De hecho, en una encuesta reciente de SecOps , el 83 por ciento de los profesionales informaron tener problemas con la fatiga de alertas. Sin embargo, el contexto es el rey, y con las herramientas e integraciones adecuadas, es fácil ajustar sus alertas para generar información más inteligente que lo ayude a tomar decisiones más informadas y actuar más rápido.
En Threat Stack, reconocemos lo importante que es brindar las alertas más significativas a los profesionales de la ciberseguridad que trabajan para reducir los KPI clave como MTTK (tiempo medio de conocimiento) y MTTR (tiempo medio de respuesta). A través de asociaciones como con Squadcast , una plataforma de respuesta a incidentes (IR), podemos brindarles a los usuarios de Squadcast las reglas líderes en la industria de Threat Stack, brindándoles información valiosa obtenida del riesgo en tiempo real y la detección de anomalías basada en ML con contexto enriquecido. También nos asociamos con proveedores líderes de nube pública como AWS para integrarnos perfectamente en su entorno de nube, eliminando las complicaciones de alternar entre diferentes plataformas.
Con estas asociaciones e integraciones entre Squadcast y Threat Stack, los clientes pueden agregar sus alertas en distintos niveles de gravedad para comprender mejor el riesgo dentro de su entorno.
Por qué es importante la observabilidad de pila completa
Cualquier persona familiarizada con la infraestructura de la nube comprenderá la necesidad de monitorear sus sistemas para identificar y responder de cerca a los riesgos. Los sistemas son objetivos cada vez más dispares, complejos y lucrativos para los ciberdelincuentes. Por lo tanto, es esencial contar con herramientas que puedan ayudar a monitorear e identificar y remediar rápidamente los problemas de forma activa.
Por ejemplo, una empresa con infraestructura en AWS puede utilizar herramientas nativas como AWS CloudWatch para fines de monitoreo básico. Sin embargo, el monitoreo básico tiene sus límites y los equipos de seguridad deben aprovechar herramientas dedicadas adicionales que brinden observabilidad, es decir, capacidades avanzadas para el monitoreo y una mayor visualización de los entornos.
Threat Stack permite la observabilidad completa de la pila al recopilar telemetría enriquecida de las cargas de trabajo en la nube, incluidas las capas de infraestructura y aplicação , lo que permite a los equipos de seguridad descubrir actividades sospechosas rápidamente.
La monitorización avanzada permite alertas de seguridad contextuales.
Abordar rápidamente los incidentes de seguridad y cumplimiento es fundamental para el éxito del negocio SaaS moderno actual. Si un sitio web o servicio no funciona aunque sea por un minuto, puede causar potencialmente una pérdida significativa de ingresos, daños a la reputación de la marca y desconfianza entre los clientes.
Aquí es donde entra en juego la combinación de plataformas IR modernas como Squadcast y la capacidad de observación de Threat Stack. En caso de incidente, los eventos detallados de Threat Stack se pueden enviar a los respectivos usuarios a través de Squadcast.
Cuando Threat Stack detecta un riesgo y/o anomalía de seguridad, actúa como fuente de alerta y lo envía a Squadcast. Aprovechando las mejores prácticas de ingeniería de confiabilidad del sitio (SRE), Squadcast agrega y envía estas alertas al ingeniero de guardia. Sin embargo, los equipos de SRE y Seguridad solo actúan después de que se hayan informado dichos incidentes.
Puede haber varios equipos responsables de diferentes componentes de la infraestructura. Y como Squadcast se integra de forma nativa con varias herramientas de monitoreo de rendimiento de aplicação (APM), registro y seguimiento de errores, puede notificar al equipo apropiado enrutando alertas de manera inteligente y ayudándolos a colaborar en tiempo real para lidiar con incidentes dentro de Squadcast.
Combinando el poder de Squadcast y Threat Stack
Para comprender completamente la profundidad de la integración de Squadcast + Threat Stack , tomemos el ejemplo anterior de un cliente cuya infraestructura está en AWS. En ese escenario, Threat Stack Cloud Security Platform® observa las distintas capas de las infraestructuras modernas para detectar una amplia variedad de comportamientos dentro de su entorno. Combinadas con AWS CloudWatch, estas soluciones permiten monitorear la infraestructura/pila de aplicação y rastrear indicadores de nivel de servicio (SLI) y objetivos de nivel de servicio (SLO). Si se infringe un SLO, se envían alertas a la plataforma Squadcast.
En pocas palabras, siempre que hay una alerta en la plataforma Threat Stack, se señala el webhook configurado para Squadcast y se crea un incidente. De manera similar, si Threat Stack envía más de una alerta, la plataforma Squadcast puede organizar y agrupar las alertas (deduplicación) , proporcionando contexto completo a los usuarios que trabajan en la resolución del incidente. Exploremos por qué esto es beneficioso.
Cuatro beneficios de integrar plataformas de monitorización en la nube y respuesta a incidentes
Tiempo de recuperación más rápido: El primer paso hacia una gestión óptima de incidentes es agregar contexto relevante a los incidentes a medida que se detectan. Es posible agregar etiquetas a las cargas útiles de incidentes que pasan de Threat Stack a Squadcast para que las alertas sean más contextualizadas. Ejemplos de dichas etiquetas son la prioridad del incidente , la gravedad del incidente , el nombre del entorno , etc., que proporcionan un mayor contexto para los ingenieros de seguridad cuando reciben una alerta, lo que ayuda a iniciar una respuesta más rápida al incidente y, en última instancia, reduce el MTTR.
Mayor transparencia en los incidentes: Como regla general, una mayor transparencia no solo da como resultado un mejor proceso de gestión y respuesta a incidentes sino que, lo que es más importante, aumenta la confianza entre los miembros del equipo. Esto les ayuda a solucionar mejor lo que salió mal antes de planificar los siguientes pasos para resolver el problema.
Juntos, Threat Stack y Squadcast permiten un enfoque holístico para la gestión de incidentes a través de una transparencia total en el riesgo y capacidades de respuesta en tiempo real, todo lo cual minimiza la fricción en el ciclo de vida de la respuesta a incidentes. Asimismo, con una mejor colaboración y transparencia, la confiabilidad general de los sistemas y servicios de TI críticos mejora significativamente.
Autopsias sin culpa: Muchos incidentes se pueden rectificar rápidamente con herramientas como automatización de infraestructura, libros de ejecución, indicadores de funciones, control de versiones y entrega continua para mantener a su equipo informado con chatops y páginas de estado . Si bien estas acciones son beneficiosas para solucionar la situación en cuestión, no aportan mucho valor para ayudar a los equipos de seguridad a comprender qué falló y por qué. Pero comprender esto es un paso crucial para prevenir que ocurran situaciones similares en el futuro y garantizar que los equipos desarrollen una cultura en torno a revisiones post mortem de incidentes sin culpa. También debe tenerse en cuenta que brindarles una forma fácil y automatizada de capturar información sobre incidentes y publicar el informe final con listas de verificación y plantillas reutilizables podría hacer que las reuniones post mortem de incidentes sean menos terribles.
Información granular sobre confiabilidad: La función de informes y análisis de Squadcast revelará el desempeño del equipo al reconocer y resolver alertas y ayudará a identificar áreas de mejora. Puede ayudar a los equipos a visualizar y analizar la distribución de incidentes entre los servicios durante un período de tiempo específico y el estado de cada servicio.
Con el creciente número de incidentes, surgirán muchos patrones que duplicarán los problemas frecuentes. Puede realizar análisis de datos exploratorios utilizando representaciones gráficas y comprender más sobre los incidentes pasados. Estos datos también se pueden exportar filtrándolos en función de las etiquetas que llevan los incidentes, como etiquetas de gravedad, fuente de alerta, estado, fecha y hora, etc.
En conclusión, combinar el poder de Threat Stack y Squadcast lo ayudará a detectar y responder rápidamente a los riesgos de seguridad y cumplimiento en sus cargas de trabajo en la nube, lo que hará una enorme contribución para reducir los KPI como MTTK y MTTR.
Si está interesado en unificar estas dos herramientas, los equipos de soporte de Squadcast y Threat Stack están disponibles para ayudarlo a alcanzar el éxito. Si tiene otras prácticas recomendadas para compartir o desea recibir ayuda con la configuración de la integración de Threat Stack/Squadcast, no dude en comunicarse con el equipo de soporte de Squadcast.
Threat Stack ahora es F5 Distributed Cloud App Infrastructure Protection (AIP). Comience a utilizar Distributed Cloud AIP con su equipo hoy mismo .