El 44% de las alertas de seguridad en las empresas no se investiga

¿Cómo afrontan las empresas las alertas de seguridad? La mayoría son investigadas, pero datos de Cisco demuestran que un 44% de dichas no lo son. ¿El motivo? Detrás parece estar el alto volumen de indicadores de alerta a los que se enfrentan los equipos de seguridad, que deben elegir qué alertas investigar y cuáles no.

Según Kaspersky, la alerta inicial suele ser la correcta, hasta el punto de que un 72 % de los objetos sospechosos resultan ser maliciosos.

En el caso de los dominios web la proporción de peticiones analizadas que llegan a ser maliciosa ses de un 86 %. Esto baja para los archivos, con un 61% de los hashes clasificados como peligrosos, lo que habla de la dificultar de distinguir archivos legítimos de aquellos que son maliciosos.

“Los analistas de seguridad de las organizaciones rara vez cometen errores cuando sospechan que una alerta plantea un riesgo para la seguridad y que podría necesitar más investigación”, valora Anatoly Simonenko, director del grupo de gestión de productos de soluciones tecnológicas de Kaspersky, que dice que, “para poder acelerar la respuesta a incidentes y las capacidades forenses, los analistas necesitan disponer rápidamente de una visión global de la amenaza. El acceso a la información sobre amenazas proporciona precisamente eso, un ahorro de tiempo y esfuerzo a los equipos de seguridad, que suelen carecer de personal suficiente”.

Buena parte de las consultas que realizan los investigadores de seguridad, según Kaspersky, son sobre con qué recursos se comunican los endpoints de la red, lo que permite tomar una decisión los accesos o su denegación.