El volumen de alertas de seguridad fatiga a las empresas

Kaspersky y ESG han colaborado en un nuevo estudio: ‘Modernización SOC y el Rol de XDR’, en el que se concluye que el70% de las empresas participantes confirmaron tener dificultades al tratar de mantenerse al día con las alertas generadas por las herramientas de análisis de seguridad. Esto supone una falta de recursos en importantes tareas estratégicas y dirige a la empresa hacia un proceso de automatización y externalización de procesos.

El problema con la gestión de tareas es una evidencia en el estudio sobre el “Estado de SecOps y automatización de 2020”, realizado por Dimensional Research, donde se confirma que el 83% del personal de ciberseguridad sufre de agotamiento debido al estado de alerta continuado.

Según el estudio de ESG, la amplia variedad de alertas dificulta el trabajo del analista SOC a la hora de focalizarse en las tareas más importantes y complejas. Aunque tampoco se relaciona este problema con una falta de empleados, sino con la necesidad de automatizar procesos y utilizar servicios externos.

Yuliya Andreeva, Senior Product Manager en Kaspersky, comenta: “Los analistas SOC se dedican a “apagar fuegos” en lugar de a buscar proactivamente amenazas complejas y evasivas en la infraestructura. Reducir el número de alertas, automatizando su consolidación y correlación con las cadenas de incidencia y acortar su tiempo de respuesta deberían convertirse en las tareas prioritarias para mejorar la efectividad del SOC en las organizaciones. Para conseguirlo, pueden contar con soluciones de automatización y servicios expertos externos”.

Kaspersky recomienda seguir estos consejos para evitar el trabajo del SOC y evitar la fatiga por alertas:

• Organizar los turnos de trabajo en el SOC para evitar la sobrecarga de trabajo de la plantilla y asegurar que todas las tareas clave están distribuidas de forma equitativa en el equipo: monitorización, investigación, arquitectura IT e ingeniería, administración y gestión SOC en general.
• Sobrecargar a la plantilla con tareas rutinarias puede conllevar un desgaste en los analistas SOC. Algunas prácticas, como las rotaciones y transferencias internas, pueden ayudar a evitarlo.
• Utilizar servicios de inteligencia de aquellas amenazas que permita la integración de inteligencia legible por máquina en sus controles de seguridad existentes, como un sistema SIEM, para automatizar el proceso inicial de triaje y generar suficiente contexto para decidir si la alerta debería ser investigada de forma inmediata.
• Para ayudar a liberar su SOC de las tareas de alerta de triaje rutinarias, utiliza la detección programada y un servicio de respuesta, como el Kaspersky Managed Detention and Response. Este servicio combina tecnologías de detención basada en AI con amplia experiencia en búsqueda de amenazas y respuesta de incidencias de manos de unidades profesionales, incluida Kaspersky Global Research & Analysis Team (GReAT).