Los equipos de ciberseguridad de todo el mundo se enfrentan a un volumen cada vez mayor de alertas de seguridad. Esto dificulta la correcta valoración y clasificación de las amenazas, lo que provoca que, en ocasiones, los recursos no sean asignados en función del riesgo que suponen. Tal es así que, según el Incident Response Survey de SANS publicada en 2018, un 74% de los profesionales reconoció haber respondido al menos a un falso positivo durante el año anterior.
Este hecho se suma a la escasez de profesionales de la ciberseguridad, que se acerca a los 3 millones a nivel mundial, tal y como apunta el estudio “Cybersecurity Workforce Study 2018” de ISC2. Este dato puede tener importantes consecuencias para las empresas, tales como brechas de seguridad no detectadas o alta rotación del personal, entre otros.
En este contexto, Cytomic, unit of Panda Security, destaca lo que se denomina en la industria como “fatiga de alerta”, un estado que sufren los analistas de los Centros de Operaciones de Seguridad (SOCs, en inglés) y que les impide responder con agilidad y precisión ante los ataques. Los equipos de ciberseguridad tienen que asumir demasiadas tareas, en especial los responsables de seguridad informática – estar atentos a nuevas amenazas, proteger el perímetro, anticiparse a los ataques, conseguir que el resto de los empleados de la compañía sigan los protocolos de actuación, etc. –. Esta carga tan alta de trabajo hace que las verdaderas amenazas, como la actualización constante de los sistemas operativos ante exploits que aprovechen una vulnerabilidad en nuestra red para colarse en ella, o las nuevas tácticas de ataque Living off the Land, dejen de ser atendidas de manera efectiva, poniendo en riesgo la seguridad de la propia compañía.
“Muchos responsables de seguridad ignoran alertas de seguridad en su jornada laboral porque, de manera previa, éstas habían desembocado en un falso positivo, haciéndoles emplear tiempo en algo que no era realmente un peligro. De esta manera, priorizan otras tareas u avisos, y eso puede desembocar en que se produzca un ataque que ponga en jaque a la organización”, señala María Campos, VP de Cytomic.
Reducción y filtración de alertas, el primer paso
Pero, ¿cómo se puede poner freno al peligro que esta fatiga puede representar para la empresa? En primer lugar, la prioridad de los analistas de los SOCs debe ser el de reducir alertas que generen falsos positivos, así como filtrar todos los ataques confirmados (tanto de malware conocido como del que no).
Una vez asumida esa necesidad, lo siguiente es reducir los esfuerzos en las operaciones de seguridad y aumentar la automatización de las mismas. Como mínimo, se deben automatizar aspectos como la priorización y triaje de alertas, y las tareas repetitivas (generación de informes o recogida de información de contexto, por ejemplo). A partir de aquí, cuanto más avancen las organizaciones hacia la automatización mayor será la reducción de la gestión manual, consiguiendo minimizar el tiempo medio de descubrimiento y respuesta a los atacantes.
“Hoy en día es esencial contar con herramientas que aborden el problema de la fatiga y ayuden a las organizaciones a reducir la ventaja asimétrica de los ciberatacantes sobre las soluciones de seguridad existentes para securizar los endpoints. Cytomic ofrece a las organizaciones soluciones especializadas para responder a las necesidades más avanzadas en ciberseguridad de los clientes del segmento Enterprise, y que requieran de análisis e investigación de amenazas avanzadas, con equipos de respuesta a incidentes profesionalizados, así como MSSPs o MDRs”, añade Campos.
