Dominando la Tormenta de Alertas – El Proceso de Gestión de Alertas de Seguridad
Conseguir una hipoteca para una vivienda puede ser una experiencia abrumadora debido a la gran cantidad de papeleo que hace falta. Entre la enorme cantidad de páginas que requieren su firma y sus iniciales, es fácil perder de vista los detalles que está aceptando. Aquí es donde interviene un abogado de cierre para guiarle y aclararle las dudas. En el actual mundo digital, a menudo firmamos apresuradamente numerosos acuerdos, desde alquileres de coches y cuotas de gimnasios, hasta formularios de consentimiento médico. Y lo hacemos sin examinar la letra pequeña, lo cual puede tener consecuencias desastrosas.
Piense en las alertas de seguridad como en esa letra pequeña al final de un acuerdo contractual que queremos pasar por alto. Ante una avalancha de registros de seguridad, resulta difícil discernir el significado de cada alerta. Aunque muchas pueden indicar actividades rutinarias o incluso generar falsas alarmas, la verdadera narrativa sólo surge cuando se correlacionan múltiples eventos. Al igual que cuando se unen los puntos de una imagen más amplia, la comprensión de los eventos de seguridad en su contexto más amplio puede revelar patrones y amenazas ocultas. A menudo, sólo cuando se correlacionan adecuadamente los sucesos se descubre con claridad la existencia de una amenaza.
La fatiga debida a las alertas
Durante años, el enfoque predominante de la ciberseguridad ha sido reactivo, de manera que sólo la aparición de una nueva amenaza provocaba la adquisición de una nueva herramienta de seguridad. Pero todas estas herramientas generan alertas, y el resultado final es que el personal informático y de seguridad se ve abrumado por un flujo constante de avisos y eventos de seguridad, lo que provoca la aparición de fatiga. Según un informe de 2021 realizado por International Data Corporation (IDC), la fatiga debida a las alertas está pasando factura.
- Por término medio, los profesionales de la seguridad dedican 30 minutos a tratar cada alerta legítima, mientras que se pierden otros 32 minutos en las falsas alarmas.
- En las empresas de 500 a 1.499 trabajadores, el 27% de las alertas se ignoran o no se investigan.
- Para las empresas con entre 1.500 y 4.999 empleados, esta cifra aumenta al 30% y desciende ligeramente al 23% para las empresas con 5.000 o más miembros en plantilla.
Fragmentación de las herramientas
Una de las razones por las que las organizaciones reciben tantas alertas es porque éstas son generadas por múltiples herramientas. También conocida como desbordamiento de herramientas, la fragmentación de herramientas es un fenómeno que describe una situación en la que una organización despliega múltiples herramientas y soluciones de seguridad, a menudo de distintos proveedores, sin una estrategia global o integrada. Un mayor número de herramientas se traduce en un mayor número de paneles de control que el personal debe consultar y en un mayor número de políticas que gestionar. Además del ingente número de alertas generadas, la fragmentación de herramientas también da lugar a un solapamiento de funcionalidades, una mayor complejidad y deficiencias en la estrategia de seguridad de la organización. Al final, los altos directivos se preguntan por qué no obtienen la rentabilidad deseada de sus inversiones en ciberseguridad.
Los costos no contabilizados de las alertas de seguridad
La seguridad tiene un precio. Invertir en herramientas y controles de seguridad, y contratar a expertos en ciberseguridad, puede ser una gran carga para su presupuesto. Sin embargo, no proteger adecuadamente su empresa puede acarrear costos derivados por los tiempos de inactividad, las multas por incumplimiento y los posibles litigios. Además, bajo la superficie se esconden costos adicionales que a menudo pasan desapercibidos. El costo de responder a las alertas día tras día pasa factura a la empresa en forma de ineficacia, tiempos muertos y rotación de empleados. Sin una automatización avanzada, la supervisión de la seguridad es una tarea ardua con implicaciones a largo plazo que erosionan la cuenta de resultados.
El proceso de las alertas de seguridad
Entonces, ¿cuál es el origen de estas alertas incesantes? No es algo sencillo. Las alertas de seguridad eficaces son el resultado de un proceso meticuloso y estructurado. Una alerta puede generarse por múltiples eventos. Entre ellos, una métrica prescrita, una coincidencia detectada con la inteligencia sobre amenazas o una anomalía fuera de lo normal. Las alertas generadas deben contextualizarse para comprender la naturaleza de las amenazas detectadas. Las alertas son entonces agregadas y correlacionadas por algún tipo de sistema de inteligencia para relacionar diferentes eventos entre sí. Una vez que se identifica correctamente una amenaza priorizada, se envía una notificación a un equipo de seguridad para una posible verificación humana. En ese momento, el equipo de ciberseguridad puede tomar las medidas adecuadas para mitigar la amenaza.
Consolidación de proveedores
Un enfoque estratégico para frenar el desbordamiento de herramientas empieza por racionalizar su cartera de proveedores. Según una encuesta de Gartner de 2022, el 75% de las organizaciones están intentando consolidar sus proveedores de seguridad. La motivación principal no es económica, ya que el 65% de las organizaciones mencionaron la mejora de su postura de seguridad como motivación, mientras que sólo el 29% lo hicieron para reducir el gasto en licencias. La simplificación de su entorno de seguridad reduce los múltiples puntos vulnerables que suele introducir la complejidad, lo que dificulta su aprovechamiento por parte de los hackers.
Inteligencia sobre amenazas
La inteligencia sobre amenazas es considerada la piedra angular de la ciberseguridad. Dota a los equipos de seguridad de la previsión necesaria para identificar y atajar las amenazas prioritarias antes de que perturben las operaciones. Este conocimiento es fundamental para filtrar las alertas insignificantes, reducir significativamente los falsos positivos y ahorrar tiempo y recursos. Al clasificar los comportamientos de los usuarios y alinear las tácticas de los adversarios con marcos como MITRE ATT&CK, los equipos obtienen una perspectiva más clara sobre cuáles son las amenazas que requieren atención inmediata y cuáles se pueden despriorizar.
Cómo puede ayudar un SOC
Muchas empresas no disponen de los recursos necesarios para formular una iniciativa eficaz en materia de inteligencia sobre amenazas, mientras que otras no saben a ciencia cierta qué significan todas esas alertas. Una solución viable a este problema es un centro de operaciones de seguridad (SOC), ejemplificado por CYREBRO. CYREBRO introdujo la primera infraestructura de SOC con el objetivo de ofrecer ciberseguridad de primer nivel a empresas de todos los tamaños para garantizar una respuesta rápida y eficaz a las ciberamenazas y su mitigación. Su combinación de automatización inteligente y profesionales de seguridad altamente experimentados, proporciona una solución MDR que alivia la carga de la fatiga generada por las alertas tanto en los sistemas de seguridad como en los que no lo son, como por ejemplo los registros de eventos de Windows y Microsoft 365. Las capacidades avanzadas de CYREBRO incluyen inteligencia sobre amenazas y búsqueda de amenazas, investigación forense y respuesta a incidentes, ofreciendo una solución integral de detección y respuesta.