Por Globb Security

Uno de los mayores desafíos para el equipo de seguridad de TI es administrar y clasificar la avalancha de alertas de seguridad que se producen todos los días. La búsqueda de falsos positivos lleva una cantidad considerable de tiempo, lo que aumenta la presión sobre las TI y los recursos humanos, y tiene un impacto en los costos. Sin embargo, lo que está en juego es importante. La incapacidad de detectar infecciones activas podría tener consecuencias financieras mucho más graves.

Las alertas están ahí para informar sobre problemas que requieren atención especial. Pero cuando son constantes y una gran parte de ellas falsas, el riesgo aumenta ya que puede que no tengamos cuidado. Dada la creciente afluencia de alertas, no es sorprendente que los equipos estén insensibilizados. Están tan abrumados con información constante y notificaciones que identificar amenazas reales se ha convertido en algo similar a buscar agujas en un pajar.

Así, las empresas que manejan miles de alertas a diario necesitan, más que nunca, reducir el ruido y confiar en soluciones confiables, capaces de detectar todas las amenazas, incluso las más sofisticadas.

Una avalancha de alertas

La incapacidad de las soluciones antivirus para identificar los últimos malware y amenazas ha generado una nueva industria de tecnologías de alerta, que van desde productos de detección de intrusos y cajas negras desplegadas en la red hasta anomalías imprecisas.

Alrededor de este diluvio interminable de alertas relacionadas con infecciones, compromisos, incidentes y violaciones de seguridad, se ha desarrollado una industria de herramientas para la consolidación de alertas, correlación, análisis de Big Data… Esta escalada de información inevitablemente aumenta la carga de trabajo de los equipos que ya tienen poco tiempo y personal para lidiar con estas amenazas. Recordemos que para el año 2022 habría un déficit de 1,8 millones de profesionales de ciberseguridad. En este sentido, la desensibilización de las alertas se suma al agotamiento de los recursos y los presupuestos.

Sin embargo, ¿qué opciones existen? Si un dispositivo no está adecuadamente protegido, no hay más alternativa que reunir tantas tecnologías como sea posible con la esperanza de que una de ellas active una alerta suficientemente precisa para evitar que la infección se propague a nuestros sistemas internos. Este enfoque cumple con los principios de las mejores prácticas: monitoreo continuo, vigilancia y capacidad de recuperación.

Riesgos de un extremo de la cadena al otro

Entre la alternativas a este problema encontramos la posibilidad de acabar con las alertas basada en indicadores de compromiso y optar por alertas mejor dirigidas, basadas en lo que realmente está sucediendo en el entorno y no en conjeturas.

Las alertas generadas por los indicadores de compromiso se basan simplemente en eso, indicadores, por lo que cuantas más fuentes de indicadores, mayor es el riesgo de desensibilización. En este tipo de análisis, cada paso de la cadena conlleva un riesgo de diagnóstico. Y es que, si se produce algún fallo, estaríamos ante un posible incidente de seguridad. Sin embargo, hay demasiadas alertas para ser revisadas, por lo que tomarse el tiempo necesario para determinar si una alerta basada en un indicador de compromiso es una amenaza real, es prácticamente imposible.

Noviembre-diciembre 2017