A medida que continúa el impulso hacia la digitalización, los equipos de SOC de empresas híbridas se están dando cuenta de que plantea grandes riesgos, así como grandes recompensas.
Por el lado positivo, la digitalización mejora la eficiencia operativa, los márgenes e incluso puede ayudar a aumentar la cuota de mercado. Pero también significa una superficie de ataque ampliada y mayores riesgos de amenazas, la base de lo que llamamos la "espiral de más".
Aun así, las empresas deben digitalizarse o desaparecer, por lo que resulta útil un rápido desglose de algunos retos clave.
Una superficie de amenazas en rápida expansión
La digitalización añade capas a la arquitectura y los procesos de su empresa, lo que crea una superficie de ataque mucho más compleja y en rápida expansión que es más difícil de defender. Invita a más ataques, señales y ruido, por lo que las amenazas a menudo pasan desapercibidas en una avalancha de alertas.
Por eso, proteger un entorno informático dinámico es mucho más difícil que en 2021.
Si le parece que está solo en esta ardua batalla, no lo está. En una encuesta reciente, el 63% de los equipos SOC de empresas híbridas afirman que su superficie de ataque se ha ampliado "significativamente" en tan solo los últimos dos años.
El Big Bang de la proliferación de herramientas
Si la creciente superficie de ataque y la proliferación de amenazas invisibles no fueran suficientes para poner a prueba las capacidades de su equipo, la explosión de nuevas herramientas puede sin duda llevar a sus analistas más allá de su ancho de banda.
Claro, los proveedores prometen que añadir más herramientas a su arsenal es la solución. Pero las herramientas suelen estar aisladas, por lo que no se comunican entre sí. Además, pueden requerir una supervisión constante y solaparse unas con otras en cuanto a cobertura, por lo que acabas teniendo más volumen de señales y alertas y menos visibilidad que antes.
En resumen, en lugar de añadir precisión y eficacia a su trabajo, añadir herramientas puede introducir nuevos niveles de complejidad y frustración.
Galaxias de nuevos puntos ciegos
Cada día, su equipo dedica más tiempo a ponerse al día con miles de nuevas señales y alertas generadas por nuevas herramientas. De hecho, un equipo SOC medio recibe casi 4.500 alertas al día, de las que un asombroso 67% nunca se analizan. Sencillamente, no hay tiempo para hacerlo. Esta avalancha constante de alertas, combinada con la falta de contexto de las señales, se traduce en un enorme aumento de los puntos ciegos.
Pero usted y todos sus conocidos del sector ya lo saben. En la misma encuesta, el 71% de los analistas de SOC admiten que es probable que la organización en la que trabajan se haya visto comprometida, solo que no saben dónde ni cuándo.
Hablando de estar cegado por la ciencia.
Una tasa de agotamiento astronómica
No es de extrañar que los equipos SOC estén experimentando un elevado nivel de agotamiento de los trabajadores y escasez de personal. Algunas estimaciones cifran el déficit en 3,4 millones de trabajadores cualificados en todo el mundo. La elevada tasa de agotamiento está directamente relacionada con el estrés diario derivado de la escasa eficacia de las señales y las largas jornadas de trabajo sin resultados satisfactorios. Esto crea un círculo vicioso de exceso de trabajo, mayor estrés y dimisión.
Las estadísticas al respecto son alarmantes. Alrededor de la mitad de los trabajadores del sector de la seguridad están pensando en "dejarlo tranquilamente", y cerca de un tercio citan el estrés constante, el agotamiento o el impacto del trabajo en su salud mental como motivos para abandonar el sector.
La espiral de más es real.
Eclipsar el problema con disonancia cognitiva
La encuesta también señalaba que al 97% de los analistas de SOC les preocupa perderse un suceso de seguridad relevante porque queda sepultado bajo una avalancha de alertas. Casi el 40 % afirmó que el ruido añadido de las herramientas también era un problema.
Y, sin embargo, la mayoría de los analistas de SOC encuestados califican sus herramientas de "eficaces" en general, aunque admiten que sólo ofrecen un 75% de visibilidad de su entorno de TI. (Analizaremos la crisis de confianza de los analistas SOC en nuestro próximo post).
El camino a seguir
Mientras tanto, la respuesta corta es que hay que descartar lo que no funciona y adoptar lo que sí. O mejor aún, invertir en soluciones que encajen en una estrategia híbrida más amplia y que estén diseñadas para ayudar a los equipos a afrontar los retos actuales, no sólo para crear más trabajo y ruido. Simplemente hay demasiadas herramientas aisladas que envían señales de detección dispares a los analistas del SOC. Los atacantes híbridos prosperan en esta complejidad, lo que les facilita infiltrarse, mezclarse y progresar dentro de una organización sin ser vistos.
Para empezar a ganar, los equipos SOC necesitan pensar y moverse a la velocidad y escala de los atacantes híbridos. En lugar de pensar en términos de superficies de ataque individuales, necesitan verlo como un atacante híbrido, como una gran superficie de ataque.
Pero sin visibilidad en toda la infraestructura de TI, desde la OT a los endpoints y más allá, hasta los entornos cloud , su empresa híbrida simplemente no podrá detectar ni siquiera los signos más comunes de un ataque, como el movimiento lateral, la escalada de privilegios o el secuestro de cuentas cloud .
Por eso, la Inteligencia de Señales de Ataque de Vectra proporciona a los equipos SOC de todo el mundo una claridad de señales, un triaje de amenazas y una respuesta a amenazas automatizada e impulsada por IA sin rival. Vectra le ayuda a romper la espiral de más deteniendo las amenazas que más importan.
Vea cómo funciona la plataforma Vectra AI o consulte el Informe completo sobre el estado de la detección de amenazas para obtener más información.