¿Confía en su SIEM para ofrecer una detección de amenazas rentable, claridad de las señales y reglas y respuestas personalizadas para cada caso de uso, incluso cuando las superficies de amenazas se multiplican en cloud y decenas de ataques cifrados cloud híbrida se dirigen a su sistema cada día?
No lo hagas. No funciona. Pero eso ya lo sabías.
Como todas las herramientas, el SIEM es más valioso cuando se utiliza correctamente y en el contexto adecuado. En el complejo entorno actual de amenazas híbridas, es importante reconocer dónde destaca su SIEM y dónde no. En resumen, pedirle a su SIEM que funcione más allá de sus capacidades es imprudente y le impide obtener las ventajas, los resultados y el ROI que necesita de su inversión en SIEM.
El auge de la "angustia SIEM"
Ha habido un exceso de confianza en SIEM porque los equipos SOC saben que carece de cobertura y visibilidad, pero no se dan cuenta de que hay herramientas más adecuadas para resolver sus puntos débiles en la detección de amenazas y respuesta. Lo más probable es que usted esté más que familiarizado con el estrés derivado de tal ambigüedad en materia de seguridad. Llamamos "angustia SIEM" a esta dependencia excesiva de SIEM en el entorno de amenazas híbridas impulsado por la IA. A continuación encontrará 10 formas en las que los equipos SOC están pidiendo demasiado a su SIEM y, como resultado, están experimentando la angustia SIEM a diario.
1. Confiar exclusivamente en su SIEM para detectar, investigar y responder a los ataques.
Los SIEM se basan en reglas, pero los ataques avanzados suelen saltárselas. Este factor por sí solo crea una cascada de trabajo costoso, laborioso y, en última instancia, destructor de talento y moral para identificar nuevos ataques y escribir nuevas reglas específicas para abordarlos.
2. Esperar que su inversión en SIEM genere un ROI positivo.
Con los costes de desarrollo de casos de uso de SIEM disparándose (valga el juego de palabras), la relación tiempo-valor de su SIEM se está deteriorando. Por ejemplo, Splunk cuesta una media de 6.000 dólares por caso de uso, y el coste medio de los casos de uso de QRadar es de unos 12.500 dólares. Los costes medios anuales de mantenimiento por caso de uso son de unos 2.500 dólares al año, con unos costes totales de cientos de miles. En otras palabras, las posibilidades de que su inversión en SIEM genere un ROI positivo son escasas y nulas... y Slim acaba de abandonar la ciudad.
3. El volumen de casos de uso de SIEM está fuera de control.
El aumento del número de ciberataques avanzados eleva los costes de desarrollo y mantenimiento de los casos.
4. La carga de trabajo de nivel 1 del SOC se está disparando (o ya lo ha hecho).
En relación con el punto 3, su excesiva dependencia de su SIEM también significa que depende demasiado de la detección de amenazas basada en analistas (es decir, basada en humanos) para la categorización de verdaderos positivos, benignos positivos y falsos positivos. Eso es costoso y un mal uso del talento de su equipo.
5. Confiar en SIEM para agilizar los esfuerzos de su equipo para ajustar las reglas de detección y clasificar las alertas.
En relación con el punto 4, a medida que aumenta la superficie de ataque, también lo hace el volumen de datos que es necesario indexar, enriquecer y analizar. Esto significa más horas manuales para crear e implementar casos de uso y reglas, lo que complica el proceso.
6. Pensar que SIEM le ayudará con su escasez de personal cualificado.
Tener a su equipo inmerso en procesos laboriosos como la codificación manual de casos de uso o el análisis diario de miles de alertas disminuye la eficacia de su SIEM y desmoraliza a su equipo SOC. Como consecuencia, tendrá que volver a contratar y formar a los equipos de seguridad constantemente.
7. Esperar claridad de señal de su SIEM.
En la mayoría de los casos, su SIEM genera mucho ruido de señal. ¿Por qué? Porque simplemente no está diseñado para proporcionar señales precisas e integradas a través de sus superficies de ataque híbridas; está diseñado para recopilar datos. Un SIEM puede generar cientos de alertas al día y sólo puede reconocer señales o patrones de comportamiento a través de reglas de uso preexistentes. No puede detectar TTP de ataques nuevos o desconocidos ni exploits zero-day . Entre discernir las falsas alarmas y escribir nuevas reglas, usar sólo SIEM significa una batalla manual continua para su equipo.
8. Confiar en su SIEM para detectar rápidamente indicios de comportamiento de atacantes en su entorno.
A medida que las huellas cloud crecen exponencialmente, los atacantes sólo necesitan una única abertura para infiltrarse en los entornos y crear un medio de persistencia. Los atacantes híbridos son rápidos y ágiles, por lo que para que el SIEM mantenga el ritmo, sus ingenieros tendrían que crear manualmente reglas y correlaciones que predijeran cada movimiento de un atacante, y tener una regla para ello. ¿Suena imposible? Pues lo es.
9. Esperar que su SIEM pueda ofrecer detecciones personalizadas fáciles y rápidas para la cobertura posterior a la explotación.
SIEM hace un gran trabajo en la agregación de registros, pero tratar de configurar detecciones personalizadas dentro del SIEM para la cobertura post-explotación no produce resultados favorables y sí, añade costes.
10. Depender de tecnologías aisladas en su SIEM para comunicar y mejorar su cobertura.
Los equipos de los SOC están librando una ardua batalla contra un volumen cada vez mayor de amenazas, además de gestionar señales y alertas procedentes de numerosas herramientas aisladas que no se comunican entre sí. Es una fórmula para el desastre. La espiral creciente de más trabajo, más complejidad, riesgo y esfuerzo desperdiciado para su equipo SOC significa menos seguridad para su organización.
Pase de SIEM a Signal con Vectra AI
Hay una forma más inteligente de sacar el máximo partido a su SIEM y a su equipo SOC en cuanto a eficacia, costes y optimización del talento. La plataforma Vectra AI aumenta drásticamente el rendimiento de su SIEM con detección basada en análisis en lugar del enfoque manual basado en análisis, que cuesta tiempo, dinero y oportunidades perdidas para su equipo. Vectra AI aumenta la cobertura, prioriza las amenazas y proporciona una investigación centrada utilizando modelos de comportamiento y aprendizaje automático impulsados por IA que amplían la cobertura de detección.
Vectra AI también combina la telemetría de registros de la cloud, la inteligencia sobre amenazas y otras fuentes con metadatos de alta fidelidad disponibles en los paquetes recopilados para localizar los activos afectados. A diferencia de las soluciones basadas en SIEM, se mueve a través de los entornos con el ataque, alimentando a los analistas con inteligencia de seguridad procesable basada en comportamientos de la cloud y la red en tiempo real. Estas capacidades hacen que Vectra AI sea perfectamente adecuado para lograr muchos de los mismos casos de uso (además de un número significativo de nuevos) previstos anteriormente para el SIEM, con mayor eficacia y a un coste menor.
Para obtener más información sobre cómo sacar el máximo partido a su SIEM, consulte nuestros métodos de optimización SIEM y SOAR y le mostraremos cómo protegemos su infraestructura y agilizamos la detección y la respuesta.