Los equipos de ciberseguridad de todo el mundo se enfrentan a un volumen cada vez mayor de alertas de seguridad. Esto dificulta la correcta valoración y clasificación de las amenazas, lo que provoca que, en ocasiones, los recursos no sean asignados en función del riesgo que suponen. Realmente, el exceso de alertas “fatiga” a los analistas de los SOC, tal como muestra el Incident Response Survey de SANS publicada en 2018, dónde un 74% de los profesionales reconoció haber respondido al menos a un falso positivo durante el año anterior. Un problema real para las organizaciones.

Este hecho se suma a la escasez de profesionales de la ciberseguridad, que se acerca a los 3 millones a nivel mundial, lo que abruma a los equipos de seguridad informática y que fácilmente puede resultar en pasar por alto las señales de un posible ataque. Este dato puede tener importantes consecuencias para las empresas, tales como brechas de seguridad no detectadas o alta rotación del personal, entre otros.

Tecnología de automatización y servicios avanzados para una mayor eficiencia_

En este contexto, destaca lo que se denomina en la industria como “fatiga de seguridad”, descrita como “cansancio o renuncia” ante las medidas de protección necesarias. Un estado que sufren los analistas de los Centros de Operaciones de Seguridad (SOCs, en inglés) y que les impide responder con agilidad y precisión ante los ataques. Los equipos de ciberseguridad tienen que asumir demasiadas tareas, en especial los responsables de seguridad informática – estar atentos a nuevas amenazas, proteger el perímetro, anticiparse a los ataques, conseguir que el resto de los empleados de la compañía sigan los protocolos de actuación, etc. –. Esta carga tan alta de trabajo hace que las verdaderas amenazas, como la actualización constante de los sistemas operativos ante exploits que aprovechen una vulnerabilidad en nuestra red para colarse en ella, o las nuevas tácticas de ataque Living off the Land,  dejen de ser atendidas de manera efectiva, poniendo en riesgo la seguridad de la propia compañía.

Muchos responsables de seguridad ignoran alertas de seguridad en su jornada laboral porque, de manera previa, éstas habían desembocado en un falso positivo, haciéndoles emplear tiempo en algo que no era realmente un peligro. De esta manera, priorizan otras tareas u avisos, y eso puede desembocar en que se produzca un ataque que ponga en jaque a la organización.

María CamposVP de Cytomic

Reducción y filtración de alertas, el primer paso_

Pero, ¿cómo se puede poner freno al peligro que esta fatiga puede representar para la empresa? En primer lugar, la prioridad de los analistas de los SOCs debe ser el de reducir alertas que generen falsos positivos, así como filtrar todos los ataques confirmados (tanto de malware conocido como del que no).

Una vez asumida esa necesidad, lo siguiente es reducir los esfuerzos en las operaciones de seguridad y aumentar la automatización de las mismas. Como mínimo, se deben automatizar aspectos como la priorización y triaje de alertas, y las tareas repetitivas (generación de informes o recogida de información de contexto, por ejemplo).  A partir de aquí, cuanto más avancen las organizaciones hacia la automatización mayor será la reducción de la gestión manual, consiguiendo minimizar el tiempo medio de descubrimiento y respuesta a los atacantes.

Actualmente existen herramientas que ayudan a eliminar la fatiga de alerta y acelerar el conocimiento de los equipos. Gracias a ellas, las organizaciones pueden reducir la ventaja asimétrica de los ciberatacantes sobre las soluciones de seguridad existentes para endpoints. Cytomic ofrece soluciones y servicios de ciberseguridad que se integran perfectamente con las herramientas y prácticas de cada organización. De esta manera, respondemos específicamente a las necesidades en ciberseguridad de los clientes del segmento Enterprise.