La ciberseguridad no funciona.
Más concretamente, la detección y respuesta a los ataques híbridos de está fallando. Según un informe de IBM de 2022, el 83% de las organizaciones sufren múltiples brechas cada año. Está claro que se necesita desesperadamente un nuevo enfoque. Pero, contrariamente a la tendencia actual, añadir más herramientas que generen más alertas no es la respuesta. (Fuente: IBM Security Cost of a Data Breach Report 2022).
Ahogarse en un diluvio de alertas
En el informe 2023 State of Threat Detection de Vectra, los analistas de SOC suelen medir la eficacia de una herramienta en función de si señala un evento de amenaza y activa una alerta.
Pero, como sector, ¿es ése el estándar al que queremos atenernos cuando los equipos de los SOC se ven desbordados por casi 4.500 alertas procedentes de numerosas herramientas cada día?
¿Quién tiene tiempo o equipo para gestionar un volumen de alertas tan ridículo?
A nadie.
Sí, el trabajo de su equipo SOC es proteger el entorno de TI híbrido, pero ahogar a sus analistas en miles de alertas que no pueden atender NO es la forma de cumplir ese mandato.
Los analistas de SOC no confían en sus herramientas
En ese mismo informe, al 97% de los analistas les preocupa perderse un suceso que pasa desapercibido entre dos tercios de alertas de seguridad que nunca tendrán tiempo de revisar en un día determinado.
Esta crisis de confianza no sólo es inaceptable, sino también insostenible. Cómo puede cualquier equipo SOC hacer su trabajo con volúmenes tan altos de señales, alertas y falsos positivos?
Es una fórmula para el desastre tanto para los analistas de los SOC como para las empresas híbridas que intentan proteger.
La desaparición de los analistas SOC
Y por cierto, "desastre" no es una hipérbole. Como se señalaba en un post anterior, el 67% de los analistas de SOC se plantean abandonar o están abandonando activamente el sector, lo que explica el persistente déficit mundial de 3,4 millones de trabajadores de seguridad altamente cualificados.
Esos niveles de abandono y déficit de analistas se atribuyen a una carga de trabajo diaria cargada de estrés y frustración.
Pero también habla de una crisis de confianza de los analistas de seguridad en relación con todo el paradigma de la ciberseguridad. Si no redefinimos cómo medimos la eficacia de las herramientas de seguridad, la integridad de su entorno informático seguirá deteriorándose a medida que aumenten los volúmenes de alertas y los analistas continúen abandonando el sector en masa.
Ya está aquí un enfoque más inteligente
Nuestra investigación sugiere que su equipo SOC puede mejorar la situación evitando herramientas que sólo dificultan el análisis y aumentan su carga de trabajo. Además, sigue siendo necesario encontrar una forma de evaluar el uso de las herramientas para la visibilidad de las amenazas, la precisión de la detección y la eficacia de los analistas.
Un primer paso inteligente sería cambiar la forma en que los analistas miden la eficacia. Actualmente, la mayoría mide la madurez de los SOC a través de factores como la reducción del tiempo de inactividad (65%), el tiempo de detección, investigación y respuesta (61%), las brechas evitadas (61%) y el número de incidencias atendidas (60%).
Pero, ¿son realmente útiles o incluso pertinentes estas mediciones si los ataques y las infracciones invisibles siguen siendo la norma?
Concéntrese en lo que puede controlar
Como industria, seguir por el mismo camino de proliferación y fracaso de herramientas no es el camino a seguir; no hace más que alimentar la misma espiral de más que nos ha puesto en este aprieto.
Un segundo paso hacia el éxito es centrarse en lo que se puede controlar, no en lo que no. Por ejemplo, no puede controlar la superficie de ataque de su organización. Seguirá creciendo y cambiando con las inversiones digitales. Tampoco puede controlar cuándo, dónde o cómo intentarán los atacantes traspasar sus defensas.
Pero usted puede controlar la señal y los problemas de agotamiento que afectan cada día a sus analistas SOC.
¿Cómo pueden alcanzarse estos objetivos clave?
Las inigualables ventajas de la claridad de la señal
Hay que empezar por redefinir qué es -y qué no es- una seguridad eficaz. Detectar miles de posibles amenazas no sirve de nada si no se puede distinguir lo urgente de lo benigno.
Pero, ¿identificar y priorizar rápidamente los ataques mediante una señal integrada que ofrezca claridad sobre los ataques más urgentes en toda la superficie de ataque?
Eso cambia las reglas del juego.
Las ventajas de esta claridad de señales son innegables. Cuanto más eficaz sea la señal de ataque, más ciberresistente, eficiente y eficaz será el SOC y mejor podrá defender a la organización. Además, la mejora de los índices de éxito contribuirá a frenar el flujo de analistas del sector.
La claridad de las señales empieza por las herramientas de la pila tecnológica. Creemos que los proveedores de seguridad deben ser responsables de la eficacia de su señal, no sólo de los volúmenes de alerta que generan. También deberían rendir cuentas por la falta de visibilidad de la superficie de ataque de sus herramientas, la precisión de la detección y el impacto negativo que estos fallos tienen en la productividad de los analistas.
Mientras tanto, para saber más sobre Vectra y la claridad de la señal integrada, pásese por aquí y vea un camino claro hacia el futuro.