En mi último artículo, hablábamos del dilema de los defensores y citábamos los retos a los que se enfrentan los equipos de los centros de operaciones de seguridad a partir de los resultados de nuestro informe Estado de la detección de amenazas 2023, publicado recientemente. Para nosotros, los resultados eran de esperar teniendo en cuenta los temas comunes que hemos estado escuchando de los clientes, compañeros y profesionales de la seguridad en los últimos años, principalmente confirmando lo que sabíamos que era cierto: que la mayoría de los enfoques actuales para la detección de amenazas y la respuesta están rotos y he aquí por qué:
- Los equipos SOC reciben una media de 4.484 alertas al día, dos tercios (67%) de ellas se ignoran y el 83% son falsos positivos.
- Casi tres cuartas partes (71%) de los analistas admiten que la organización en la que trabajan puede haberse visto comprometida y aún no lo saben.
- A la mayoría (97%) de los analistas les preocupa perderse un suceso de seguridad relevante por haber quedado enterrado en una avalancha de alertas de seguridad.
- Sin embargo, el 90% de los analistas de SOC afirman que sus herramientas de detección y respuesta son eficaces.
No sé tú, pero ¿por qué la definición de eficaz se reduce a la capacidad de generar una alerta? Esa parece ser la vara de medir que utiliza el 90% de los analistas de SOC, a pesar de creer que ya están en peligro y de sentir verdadera ansiedad por perderse un ataque real. Preguntas desconcertantes - y para desenterrar algunas respuestas, Kevin Kennedy, SVP de Producto en Vectra AI y Matt Bromiley, Ingeniero Jefe de Soluciones en LimaCharlie e Instructor de SANS participaron en un reciente webinar con SANS donde lanzaron el guante: "Es hora de que los vendedores de seguridad se responsabilicen de la eficacia de su señal".
Nos sumergimos en la investigación y planteamos tres sencillas preguntas a Kevin, que representaba la voz del vendedor, y a Matt, que representaba la voz del profesional:
- Más superficie de ataque, más alertas, más falsos positivos: ¿cuál es el problema a resolver?
- Más puntos ciegos, más compromisos, más rotación: ¿por dónde empezar a abordar el problema?
- Más visibilidad, más detecciones, más señales: ¿qué es lo que hace que un analista SOC sea más eficaz en su trabajo?
A continuación figuran algunos momentos destacados de la conversación. Puede ver la conversación completa con Kevin y Matt, aquí.
P1: Más superficie de ataque, más alertas, más falsos positivos: ¿cuál es el problema a resolver?
Matt: "Creo que, en primer lugar, han ocurrido un par de cosas desde el punto de vista de las herramientas y la tecnología. Creo que si hacemos esta pregunta hace 4 o 5 años, los resultados habrían sido muy diferentes. La superficie de ataque, debería decir, la comprensión de la superficie de ataque, es algo que ha crecido en los últimos años. Creo que hemos aumentado nuestros conocimientos sobre nuestro entorno. Uno de los problemas es que (la ampliación de la superficie de ataque) no debería traducirse simplemente en añadir más cosas a la cola de alertas y ya nos las apañaremos. Creo que lo que ha ocurrido es que superficie de ataque y alertas se han convertido en sinónimos para algunas organizaciones y para algunos analistas de SOC.
Se trata de cómo las clasificamos (alertas). No quiero que mis aplicaciones vulnerables se reporten exactamente en la misma cola que reporta la escalada de privilegios o la ejecución de Mimikats o algo por el estilo. Yo lo vería casi como una cola de postura de seguridad frente a una cola de actividad real del adversario o algo por el estilo. Y esa clasificación podría aliviar la tensión en los SOC un poco sólo porque ya no tienes que pensar en una aplicación web vulnerable como algo de emergencia que hay que arreglar ahora mismo. Y ya sabes, cuando oímos algo así como 4.500 alertas al día - esas cifras son simplemente asombrosas (y) esto parece bajo en comparación con algunos de los SOC que estoy viendo que están apenas, apenas sosteniendo sus narices fuera del agua. Quién es el propietario de las alertas es otra parte del problema. ¿Quién es realmente responsable de arreglarlo? ¿Es la seguridad responsable de arreglarlo o es la seguridad responsable de seguirlo? Y muchas veces es lo segundo, pero lo confundimos con lo primero".
Kevin: "Creo que el problema es el enfoque. Si nos fijamos en cómo ha evolucionado, si retrocedemos 10 años, lo que había que hacer era introducir datos, escribir reglas y que diera la señal. Algunas organizaciones lo han conseguido, la mayoría no. Así que hemos visto esta evolución de la superficie de ataque y una herramienta dedicada a cada uno para (el propósito de) detección y respuesta. Hay EDR. Hay NDR, hay identidad. Hay detección y respuesta cloud . Así pues, todo es una solución puntual y prácticamente todas las herramientas optimizan la cobertura y, a menudo, la cobertura de bajo nivel. No piensan realmente en el ruido y ahí es donde están los incentivos desde el punto de vista del proveedor. Es una cobertura de bajo nivel debido a la forma en que se prueban y evalúan los productos. Ese es el impulso y la realidad. También es mucho más barato desarrollar una cobertura ruidosa de bajo nivel que perseguir a un individuo. Y así, simplemente inundas (a los analistas) con alertas, pero tienes cobertura. Habrá el falso positivo o la actividad maliciosa real si puedes encontrarla. Si marcas todas las ejecuciones remotas de código, vas a tener actividad maliciosa. También vas a conseguir que todos los administradores hagan su trabajo y te va a salir barato.
En realidad no está resolviendo el problema. Es contribuir al problema. Y esto se traslada a cosas como las pruebas. Así que, si nos fijamos en MITRE, asignamos todas nuestras detecciones a esos métodos. Creemos que es una biblioteca muy útil en el lenguaje. Si nos fijamos en las pruebas que hacen, principalmente centradas en EDRs, no hay ninguna consideración de falsos positivos. Es sólo un método malicioso. Se dispara en el entorno. Dicen ¿esto detectó o no?
No se comprueba si lo normal es disparar decenas de miles de alertas. Y si esa es la forma en que estás probando y evaluando, esa es la forma en que se establecen los incentivos, entonces vas a obtener productos que apoyen eso. Y entonces usted dice, de acuerdo ingeniería de seguridad, es su problema para encontrar la manera de hacer sentido. Estamos quemando a la gente con este enfoque. En primer lugar, creo que si estamos lanzando 4.500 alertas de media a los analistas, no hay mucho tiempo ni siquiera para usar sus habilidades creativas cuando tu tendencia va a ser: cierra esta alerta realmente rápido y pasa a la siguiente porque me están midiendo en: ¿he pasado por la cola y cuánto tiempo me ha llevado? Ese es el lugar equivocado. No permite que surja la creatividad. Lo más importante es crear espacio y tiempo para que los analistas utilicen su creatividad, dándoles lo que tienen que mirar, el contexto y los datos para tomar la decisión correcta de forma rápida y eficaz. Si es real, hay que detener el ataque. Así es como sacamos lo mejor de un analista".
P2: Más puntos ciegos, más compromisos, más rotación: ¿por dónde debemos empezar a abordar el problema?
Kevin: Creo que la rotación es el resultado, no el origen del problema. Creo que la forma de empezar a abordarlo es con una señal integrada que sea más precisa. Todo se reduce a cómo consolidar de dónde se obtiene la señal de ataque. Siempre se habla mucho de un único cristal que los gobierne a todos. Es una gran ambición, pero es muy poco probable que se consiga en un solo paso con muchos productos puntuales. Por lo tanto, hay que pensar en cómo consolidarse a lo largo del tiempo y responsabilizar a los proveedores de la calidad de la señal que proporcionamos. Si quieres saber quién está añadiendo valor, ejecuta un equipo rojo basado en tu modelo de amenaza y en tu adversario y comprueba si tus herramientas muestran que ha ocurrido y que lo sabías mientras estaba ocurriendo. Si somos capaces de obtener señales integradas y precisas, y ustedes nos hacen responsables de ello, eso contribuirá en gran medida a resolver algunos de estos problemas fundamentales."
Matt: "Y porque se centra en dar al SOC el poder de dar un paso atrás y decir, oye, sabes que los problemas que estoy viendo se derivan de uno o dos conjuntos de herramientas en el entorno. Espero que no haya una pregunta en la entrevista de salida de ninguna organización que diga, ya sabes, ¿qué herramienta fue la peor con la que tuve que lidiar? Siéntate y habla con tu equipo para obtener el valor que necesitamos de la pila que tenemos. Y abordarlo como un punto de contacto, obtener la opinión del equipo SOC. Para ahogarse en alertas todos los días y considerar la posibilidad de irse, creo que algunos de estos (dolores) también pueden ser tratados desde una perspectiva de gestión. No quieres perder a nadie del equipo porque tu entorno tiene nichos únicos que sólo tu equipo conoce. ¿Cuáles son nuestros puntos débiles como organización? Siéntate y ten esa charla: es una forma estupenda de empezar a abordar estas preocupaciones.
P3: Más visibilidad, más detecciones, más señales: ¿qué hace que un analista SOC sea más eficaz en su trabajo?
Matt: Junto con la idea del agotamiento también viene esa idea de que mi voz no importa. Ahogar a los analistas de SOC es lo que hay. Y es gracioso, estaba leyendo este hilo, en, un foro de discusión, creo que ayer o anteayer, donde alguien decía, mira - estoy quemado. Estoy acabado. Y eso es todo. Y es gracioso porque siguieron con, estoy pensando en cambiar de trabajo. Y la primera respuesta fue. Bueno, si estás quemado, ¿a dónde vas a ir? Cuando nos fijamos en la eficacia, ¿dónde puedo encontrar el mayor valor y eficiencia? Quiero hacerme eco de los sentimientos de Kevin aquí, que es Si hay un área donde sus herramientas no están siendo eficaces, quiero decir, el 44% regresó y dijo, sí, creemos que nuestro proveedor podría ser mejor, para usted, el 44%, ¿adivinen lo que están haciendo mañana? Usted está pidiendo a su proveedor responsable de las señales que le están enviando y entonces usted está usando eso como su movimiento hacia adelante.
Si quisiera clasificar la eficacia de los analistas SOC, no me fijaría en el número de tickets cerrados. No debería. Lo que quiero ver es si ayer tardamos dos horas en hacer esto y hoy hemos tardado una hora y 50 minutos. Acabas de ahorrar tiempo. Nos has ahorrado productividad. ¿Cómo lo has hecho?
Si tu objetivo es simplemente cerrar tantos tickets como puedas, entonces ahí es donde entra en juego tu parcialidad. Ahí es donde entra en juego tu falta de atención a los detalles y no estás utilizando todas esas cosas humanas en las que eres bueno, simplemente estás cerrando tickets porque ese es el incentivo en el que te basas. Parece que las cifras son casi opuestas a lo que esperábamos. Yo habría esperado más insatisfacción de la que vemos (en el informe).
Kevin: Creo que la eficacia de los analistas del SOC se basa en darles espacio y tiempo para ser creativos. Pero también está el momento de elegir (una herramienta). Trabajamos con muchos equipos SOC y la ingeniería de seguridad está en la línea sobre el criterio en torno a cómo elegir las herramientas. Mira cómo funciona con otras herramientas, para que puedas automatizar más. Fíjate en la calidad. Ejecuta un equipo rojo. Comprende tu modelo de amenazas.
Para llevar
A lo largo de esta conversación de una hora, llegamos a la conclusión de que el problema a resolver son las alertas, y no sólo el ruido de las alertas: cualquiera puede pretender reducir el ruido. El problema principal es el enfoque de las alertas. El uso de las alertas para medir. La propiedad de las alertas y la definición de lo que justifica una alerta. En cuanto a las prioridades a establecer, hablamos de señal integrada. La capacidad de consolidar y medir la eficacia de la señal. Asegúrate de que (los analistas del SOC) tienen voz para informar a la dirección y a los ingenieros de seguridad sobre la eficacia de esa señal, porque si es una señal ineficaz, tienes que decírselo a alguien. Hemos hablado de cómo los jefes de los SOC tienen que tocar el hombro de los analistas SOC para pedirles su opinión. ¿Qué se puede hacer para mejorar el trabajo?
¿Quieres saber más de Kevin y Matt? Escuche su conversación anterior, Romper con la espiral del "más" en seguridad - Por qué el único "más" que necesita la seguridad es más Attack Signal Intelligence, aquí.