La “fatiga de alerta”, un peligro para las organizaciones

Cytomic insta a combinar tecnología de automatización y los servicios avanzados para reforzar la eficiencia de los equipos de ciberseguridad.

Los equipos de ciberseguridad de todo el mundo se enfrentan a un volumen cada vez mayor de alertas de seguridad. Esto dificulta la correcta valoración y clasificación de las amenazas, lo que provoca que, en ocasiones, los recursos no sean asignados en función del riesgo que suponen.  Tal es así que, según el Incident Response Survey de SANS publicada en 2018, un 74% de los profesionales reconoció haber respondido al menos a un falso positivo durante el año anterior

Este hecho se suma a la escasez de profesionales de la ciberseguridad, que se acerca a los 3 millones a nivel mundial, tal y como apunta el estudio “Cybersecurity Workforce Study 2018” de ISC2. Este dato puede tener importantes consecuencias para las empresas, tales como brechas de seguridad no detectadas o alta rotación del personal, entre otros.

En este contexto, Cytomic, unit of Panda Security, destaca lo que se denomina en la industria como “fatiga de alerta”, un estado que sufren los analistas de los Centros de Operaciones de Seguridad (SOCs, en inglés) y que les impide responder con agilidad y precisión ante los ataques. Los equipos de ciberseguridad tienen que asumir demasiadas tareas, en especial los responsables de seguridad informática – estar atentos a nuevas amenazas, proteger el perímetro, anticiparse a los ataques, conseguir que el resto de los empleados de la compañía sigan los protocolos de actuación, etc. –. Esta carga tan alta de trabajo hace que las verdaderas amenazas, como la actualización constante de los sistemas operativos ante exploits que aprovechen una vulnerabilidad en nuestra red para colarse en ella, o las nuevas tácticas de ataque Living off the Land,  dejen de ser atendidas de manera efectiva, poniendo en riesgo la seguridad de la propia compañía.

“Muchos responsables de seguridad ignoran alertas de seguridad en su jornada laboral porque, de manera previa, éstas habían desembocado en un falso positivo, haciéndoles emplear tiempo en algo que no era realmente un peligro. De esta manera, priorizan otras tareas u avisos, y eso puede desembocar en que se produzca un ataque que ponga en jaque a la organización”, señala María Campos, VP de Cytomic.

Reducción y filtración de alertas, el primer paso

Pero, ¿cómo se puede poner freno al peligro que esta fatiga puede representar para la empresa? En primer lugar, la prioridad de los analistas de los SOCs debe ser el de reducir alertas que generen falsos positivos, así como filtrar todos los ataques confirmados (tanto de malware conocido como del que no).

Una vez asumida esa necesidad, lo siguiente es reducir los esfuerzos en las operaciones de seguridad y aumentar la automatización de las mismas. Como mínimo, se deben automatizar aspectos como la priorización y triaje de alertas, y las tareas repetitivas (generación de informes o recogida de información de contexto, por ejemplo).  A partir de aquí, cuanto más avancen las organizaciones hacia la automatización mayor será la reducción de la gestión manual, consiguiendo minimizar el tiempo medio de descubrimiento y respuesta a los atacantes. 

“Hoy en día es esencial contar con herramientas que aborden el problema de la fatiga y ayuden a las organizaciones a reducir la ventaja asimétrica de los ciberatacantes sobre las soluciones de seguridad existentes para securizar los endpoints. Cytomic ofrece a las organizaciones soluciones especializadas para responder a las necesidades más avanzadas en ciberseguridad de los clientes del segmento Enterprise, y que requieran de análisis e investigación de amenazas avanzadas, con equipos de respuesta a incidentes profesionalizados, así como MSSPs o MDRs”, añade Campos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.