Los responsables de seguridad están aceptando por fin la realidad del panorama actual de las amenazas. Esto significa adoptar una mentalidad posterior a la violación que se centra cada vez más en la detección y la respuesta. Sin embargo, admitir que ahora se trata de un caso de “cuándo”, no de “si”, es diferente a montar una respuesta eficaz de operaciones de seguridad (SecOps). Construir un Centro de Operaciones de Seguridad (SOC) es solo la mitad de la batalla. Como hemos demostrado anteriormente, también se necesitan las herramientas adecuadas, o sus analistas se verán abrumados con alertas que no podrán priorizar.
¿Cómo de grave es el desafío actual para los equipos SOC? Según nuevas estadísticas de Trend Micro , la proliferación de herramientas ha alcanzado proporciones épicas, con consecuencias potencialmente graves para el riesgo cibernético y la salud mental de los analistas de operaciones de seguridad.
Más herramientas, más problemas
Según nuestro estudio global de SecOps, las organizaciones trabajan con una media de 29 soluciones de supervisión de la seguridad. Las empresas más grandes lo tienen aún peor: las que tienen más de 10.000 empleados tienen una media de casi 46 herramientas de monitorización. La proliferación de herramientas de este tipo es una forma segura de reducir la eficacia de su equipo de SecOps. Puede llevar a:
- Gastos administrativos adicionales, ya que hay que gestionar cada herramienta por separado.
- Lagunas de seguridad y detección.
- Esfuerzo desperdiciado/duplicado cuando las herramientas se solapan.
- Costes adicionales de licencias.
- Costes adicionales asociados a la formación de los profesionales de SecOps en las diferentes interfaces de usuario.
- Sobrecarga de alertas.
Descubrimos que más de la mitad (51 %) de las organizaciones ya no utilizan muchas de sus herramientas de supervisión porque están anticuadas, no se pueden integrar, no son de confianza o porque carecen de los conocimientos necesarios para ponerlas en funcionamiento. En realidad se trata de un paso en la dirección correcta: las organizaciones deberían racionalizar sus conjuntos de herramientas. Pero es necesario un enfoque más estratégico si las organizaciones quieren maximizar la eficacia de los equipos de operaciones de seguridad.
¿Qué opciones hay?
De todos los impactos negativos de la proliferación de herramientas, la sobrecarga de alertas es uno de los más críticos. Significa que los analistas son incapaces de filtrar el ruido de los falsos positivos y los incidentes de baja gravedad para dar prioridad a las señales que importan. El resultado es que las infracciones graves pasan inevitablemente desapercibidas, lo que permite a los actores de las amenazas permanecer mucho más tiempo del que deberían dentro de las redes objetivo. De hecho, hoy en día se tarda una media de 287 días en identificar y contener una filtración de datos, según IBM.
Los equipos de operaciones de seguridad necesitan una única fuente de información para trabajar correctamente. Esto significa datos de múltiples capas (endpoints, correo electrónico, servidores, redes e infraestructura en la nube) a los que se aplica un análisis inteligente para correlacionar y priorizar las alertas. Puede hacerse internamente o subcontratarlo a un proveedor experto. De hecho, el 92 % de los encuestados afirma haber considerado los servicios gestionados para la detección y la respuesta.
Sea como sea, este es el tipo de enfoque que permite ofrecer una detección y respuesta eficaz a las amenazas en el SOC o en las SecOps. Las plataformas como Trend Micro Vision One trabajan para minimizar el riesgo cibernético y proporcionar una base estable sobre la que construir la transformación digital.
Las organizaciones que buscan el crecimiento del negocio en la nueva era post-pandémica harían bien en tomar nota.
José de la Cruz
Director de Trend Micro Iberia
