¿Qué es la telemetría?

Aunque no se encuentra entre los temas más apasionantes del mundo de la informática y la InfoSec, podría decirse que hay menos temas que sean tan importantes para determinar la salud de los dispositivos y, en mayor medida, para garantizar la seguridad de sus endpoints, que la telemetría.

En esta serie de blogs, este héroe anónimo destaca las diversas necesidades, usos y funcionalidades que hacen posible los datos telemétricos. Los próximos artículos de esta serie se centrarán más en ella:

• Recolección y almacenamiento
• Alertas y reportes automatizados
• Automatización y correlación completas

¿Qué es la telemetría?

Piense en cada inicio de sesión autenticado, comandos ejecutados, procesos realizados, etc. En pocas palabras, la mayoría de los cambios que se producen en un dispositivo se recopilan en registros detallados:

• Las acciones realizadas
• Los programas afectados
• La información de diagnóstico
• Los servicios de sistemas utilizados
• Los sellos de fecha y hora

Estos datos son, entre otros, una gran variedad de datos útiles registrados que proporcionan una ventana a su endpoint Mac para determinar las estadísticas vitales de salud y seguridad actuales que hablan directamente del estado operativo, funcional, técnico y de seguridad de las apps y los datos contenidos en su Mac.

¿Por qué es crítica la telemetría?

Para ejemplificar la importancia de los datos telemétricos, quizá sea más fácil considerarlos como si fueran nuestras propias estadísticas vitales. Por ejemplo, vamos al médico y nos sacan una muestra de sangre, que se procesa para determinar si hay algún problema relacionado con la salud. Factores como ciertas formas de enfermedad o la escasez o acumulación de vitaminas y minerales indican que algo no funciona en nuestro organismo y puede ser necesaria una intervención médica para corregirlo antes de que genere algo mucho más preocupante.

Lo mismo puede decirse de los datos telemétricos, salvo que se refieren a la salud general de su flota de dispositivos Mac. Es la culminación de los datos recolectados de diversas fuentes y subsistemas de los dispositivos Mac que dibujan el panorama del estado de salud de sus endpoints y, basándose en ellos, dan un informe de los flujos de trabajo de remediación que deben adoptarse para corregir los problemas identificados:

• Mitigar el riesgo
• Mantener los datos seguros
• Reforzar la privacidad del usuario
• Mantener el cumplimiento

"Si no puedes medirlo, no puedes mejorarlo." —Lord Kelvin

¿Cómo funciona la telemetría?

Armados con el "qué"what y el "por qué"why, abordamos ahora cómo funciona la telemetría proporcionando algunas situaciones en las que la recolección y el análisis de datos granulares de telemetría son imprescindibles para:

• identificar las amenazas a la seguridad
• la resolución de incidentes de seguridad
• cumplir la reglamentación

a la que su organización puede estar sujeta o pertenecer a la industria a la que corresponda su organización, por lo que podría estar sujeta a supervisión gubernamental.

Defensa e investigación de amenazas

Como ya se ha mencionado, la información sobre la salud de los dispositivos proporciona a los equipos de IT y de seguridad los detalles necesarios para defender mejor sus endpoints, ya que los datos de telemetría ofrecen una visión granular de las partes del sistema que requieren reparación. Puede tratarse de algo tan sencillo como una app que no esté actualizada o de algo más importante, como una actualización de seguridad crítica de macOS que aplique el parche a una vulnerabilidad con un alto índice de gravedad.

Sin disponer de estos datos enriquecidos que brinda la telemetría, los administradores no tendrían la visibilidad en su flota para remediar de forma proactiva una amenaza de este tipo. Esto deja desprotegidos a los dispositivos afectados y en riesgo de ser explotados por agentes nocivos, y potencialmente peores.

Del mismo modo, supongamos que ocurrió el ejemplo de vulnerabilidad sin parchar que utilizamos anteriormente y el dispositivo fue vulnerado desafortunadamente, lo que propició que se viera comprometido. El usuario puede informar que le ocurre algo raro a su Mac, pero los administradores se verán en apuros para entender exactamente qué ocurre y por qué ocurre. Estos son dos datos fundamentales que se necesitan cuando se clasifica un problema para determinar los siguientes pasos.

Este es otro momento decisivo para los datos de telemetría porque, con ellos, los administradores tienen las respuestas a esas preguntas y podrán rastrear cómo se produjo la vulnerabilidad y el camino hasta la situación actual del sistema. Con estos datos, se pueden ejecutar flujos de trabajo de remediación para purgar la amenaza, remediar la vulnerabilidad y restaurar la funcionalidad del Mac del usuario —mitigando la amenaza— y ahorrando tiempo en el proceso, que es un bien crucial durante cualquier ataque.

Cumplimiento regulatorio

Antes nos hemos referido al cumplimiento, más concretamente a la supervisión gubernamental de las industrias altamente reguladas. Algunos ejemplos serían la atención a la salud, la tecnología financiera y la educación. Dependiendo de la ubicación de su empresa, pueden aplicarse determinadas leyes locales, estatales, federales y/o regionales. Del mismo modo, los países con los que su empresa haga negocios también pueden estar sujetos a los requisitos regulatorios de esas regiones, como el Reglamento General de Protección de Datos de la Unión Europea (GDPR) y sus protecciones de privacidad del usuario, que son legalmente exigibles para cualquier organización que recolecte información de identificación personal (PII) de ciudadanos europeos, sin importar si su organización tiene presencia física en Europa.

De hecho, muchas políticas de seguridad del gobierno en torno a la supervisión regulatoria exigen la telemetría para demostrar que las organizaciones están tomando medidas activas para cumplir la reglamentación. La directriz general es: si no puede verificar que sus datos estaban protegidos, entonces no lo estaban.

No se equivoque, los datos telemétricos por sí solos no equivalen a observar un cumplimiento. En cambio, si su organización ha implementado los controles y políticas adecuados para garantizar la seguridad de los tipos de datos que cumplan las normas, junto con los controles y equilibrios necesarios para mantener el cumplimiento, los datos de telemetría enriquecidos lo reflejarán cuando se recolecten y se utilicen para verificar el cumplimiento con los reguladores durante las auditorías.

Seguro de ciberseguridad

Con las crecientes amenazas a la seguridad y el aumento de los riesgos, no es de extrañar que el seguro de ciberseguridad sea una opción popular entre las organizaciones que eligen el aplazamiento del riesgo como parte de su estrategia de seguridad. Dicho esto, la reciente preocupación por el endurecimiento de las políticas de las aseguradoras "basado en parte en la frecuencia, gravedad y costo de los ciberataques", según la CNBC, significa que puede resultar más difícil para las organizaciones obtener un seguro cibernético o las limitaciones de la cobertura pueden obligar a las organizaciones a enfrentarse a un mayor escrutinio durante el proceso de suscripción.

Esto último indica un posible cambio que obliga a que las aseguradoras exijan la verificación de las estrategias de mitigación del riesgo implementadas y mantenidas activamente para obtener y/o conservar la cobertura. No es distinto de lo que ocurre con las compañías de seguros de otros sectores, por ejemplo, los seguros para automóviles y el hogar, que incluyen disposiciones que obligan a los propietarios a actuar con la debida diligencia en el mantenimiento de sus vehículos y viviendas ya que, de no hacerlo, la cobertura podría ser anulada. La telemetría, en este caso, verifica esa debida diligencia en nombre de la organización, aportando pruebas de que se han implementado los controles y políticas de seguridad necesarios, de acuerdo con los requisitos del seguro.

Yendo un paso más allá, supongamos que su organización tiene un seguro cibernético y, por desgracia, es víctima de un ciberataque. Puede que esté pensando, ¿cómo puede ayudarle entonces la telemetría cuando el daño ya está hecho?

Pues bien, los datos telemétricos siguen siendo fundamentales para las investigaciones internas y delictivas, como ya se ha mencionado. Además, desempeña un papel esencial a la hora de reunir pruebas para una reclamación de seguro cibernético con el fin de determinar qué ocurrió, cómo ocurrió y, potencialmente, quiénes son los agentes nocivos, sobre todo a medida que aumenta la concientización en torno a las amenazas internas y lo devastadores que pueden llegar a ser este tipo de ataques. Por último, los datos de telemetría ayudan a los profesionales forenses digitales a extraer detalles importantes para la investigación de mecanismos de datos aparentemente insignificantes.

Jamf Protect es telemetría (y mucho más)

Jamf Protect es una seguridad de endpoints diseñada específicamente para Mac. Ya lo sabe.

Pero, ¿sabía que la profunda visibilidad que proporciona en su flota Mac se sustenta e informa directamente a partir de los datos telemétricos que recolecta activamente de cada endpoint administrado?

¡Así es! Como Jamf Protect monitorea constantemente los endpoints Mac en busca de amenazas, esta y toda la actividad genera entradas en los datos de registro (telemetría). Esto se envía a través del agente de Jamf Protect a la consola basada en la nube, o a su solución preferida de administración de eventos e información de seguridad (SIEM) (encontrará más información al respecto en el segundo blog de esta serie).

Al recibir estos datos, los profesionales de IT y seguridad pueden aprovecharlos para monitorear y detectar amenazas desconocidas proactivamente en las computadoras con macOS de sus entornos. Y con la actualización de la versión 3.6.0.727 del agente, se dispone de nuevas funcionalidades para los modos Proteger telemetría y Proteger implementación sin conexión.

El primero se ha tratado a lo largo de este blog y continuará en futuras entregas de esta serie. Mientras que el último incorpora gran parte del conjunto de características de flujo de datos de la adquisición anterior de Jamf, ¡Compliance Reporter es para todos los clientes de Jamf Protect!