Tres de cada cuatro organizaciones (70%) tienen problemas para atender el volumen de alertas generadas por las herramientas de análisis de ciberseguridad, lo que pone en duda la gestión eficaz de las tareas de emergencia por parte de los centros de operaciones de seguridad (SOC), según el Informe de Investigación ESG de Kaspersky, “La modernización del SOC y el papel del XDR”.
Según las empresas entrevistadas para este informe, el gran volumen de alertas que se reciben repercute en la administración de los equipos, que deberían centrarse en tareas más estratégicas e importantes, pero acaban enfocándose en actividades repetitivas y estresantes que podrían automatizarse, por ejemplo, el registro de los problemas de seguridad en línea y el análisis de los informes para corregir las vulnerabilidades.
Esta situación se detectó cuando un tercio de las empresas (34%) afirmó que sus equipos de ciberseguridad están saturados de alertas o de resolución de emergencias, y no tienen tiempo suficiente para ocuparse de la estrategia de seguridad y la mejora de los procesos, lo que representa un riesgo para las organizaciones.
“De acuerdo con nuestra experiencia, la mayoría de las alertas implican situaciones de seguridad para las que ya existen soluciones, por lo que todo el proceso puede ser automatizado con una buena solución EDR. Esto permitirá a los profesionales cualificados de los centros de operaciones enfocarse en la búsqueda proactiva de amenazas complejas que se esconden en la red. Además de aumentar la eficacia operativa de este equipo, la empresa en su conjunto estará más protegida”, explica Claudio Martinelli, director general para América Latina en Kaspersky.
Asimismo, el directivo recomienda el uso de servicios externos que puedan mejorar la productividad del equipo, como los canales de información sobre amenazas. “Estos servicios funcionan como la fuente de noticias que utilizamos para mantenernos informados sobre temas de interés. Sólo que, en lugar del anuncio de nuestra banda favorita, estas fuentes hablan de nuevas estafas en línea y los detalles de cómo reconocerlas y bloquearlas. Esta información puede integrarse con las soluciones de protección del SOC, garantizando que el proceso sea 100% automático”, agrega Martinelli.
Para agilizar el trabajo de estos centros y evitar la saturación de alertas, Kaspersky recomienda los siguientes hábitos de seguridad para las empresas:
● Organiza los turnos en tu centro de operaciones de seguridad para evitar la sobrecarga de trabajo del personal y asegúrate de que todas las tareas clave se distribuyen entre los colaboradores: supervisión, investigación, arquitectura e ingeniería de TI, administración y gestión general del SOC.
● Evita sobrecargar al equipo con tareas rutinarias, ya que hacerlo puede provocar el agotamiento de los analistas del SOC. Algunas prácticas, como los traslados internos y la rotación, pueden ayudar a organizarlo.
● Utiliza servicios de inteligencia de amenazas aprobados que permitan la integración de inteligencia legible para máquinas en sus controles de seguridad existentes, como un sistema SIEM, a fin de automatizar el proceso de clasificación inicial y generar suficiente contexto para decidir si la alerta debe investigarse inmediatamente.
● Libera a tu SOC de las tareas rutinarias de detección y clasificación de alertas, utiliza un servicio de detección y respuesta, cuya eficacia haya sido probada, como Kaspersky Managed Detection and Response. Éste combina tecnologías de detección basadas en IA, con la amplia experiencia en detección de amenazas y respuesta a incidentes de unidades profesionales, incluido el Equipo Global de Investigación y Análisis (GReAT) de Kaspersky.
