Una investigación alarmante revela el estrés y las tensiones que experimenta el equipo de seguridad cibernética promedio a diario. Tantos como 70% de los equipos informar sentirse abrumado emocionalmente por las alertas de seguridad. Esas alertas llegan con un volumen, una velocidad y una intensidad tan altos que se convierten en una fuente extrema de estrés. Tan extremo, de hecho, que la vida hogareña de las personas se ve afectada negativamente. La sobrecarga de alertas es mala para quienes trabajan en ciberseguridad. Pero es aún peor para todos los que dependen de la ciberseguridad.
Este es un problema gigantesco en la industria, sin embargo, pocas personas lo reconocen, y mucho menos lo abordan. Cynet pretende corregir eso en esta guía (descarga aquí), comenzando por arrojar luz sobre la causa del problema y el alcance total de sus consecuencias y luego ofreciendo algunas formas en que los equipos de seguridad lean pueden sacar a sus analistas del océano de falsos positivos y llevarlos de vuelta a la orilla. Incluye consejos sobre cómo reducir las alertas mediante la automatización y comparte orientación para las organizaciones que están considerando subcontratar su detección y respuesta gestionadas (MDR). La guía también comparte cómo los equipos de seguridad pueden desenredar la red de herramientas de seguridad necesarias para la automatización.
Solucionar la sobrecarga de alertas
Los equipos de seguridad de todos los tamaños deben reducir la cantidad de alertas que encuentran y refinar la forma en que responden a las alertas para tomar medidas antes de que comience el daño. A continuación, se incluyen las tácticas cubiertas en la guía que los equipos de seguridad, especialmente los lean, pueden usar para reducir y responder a miles de alertas.
1 — Considere subcontratar a MDR: La externalización de la detección y respuesta administradas (MDR) es una buena opción si necesita escalar rápidamente y no tiene los recursos. Los MDR pueden ayudar a reducir el estrés y devolverle tiempo a su equipo. Otra consideración es el costo. También deberá invertir tiempo en encontrar un MDR que sea adecuado para su negocio. Como muestra la guía, la subcontratación puede ser absolutamente una ventaja. Pero nunca es una solución completa.
2 — Cree estrategias para reducir las alertas: Comienza con la estrategia. Mire su tecnología existente y asegúrese de haber optimizado su configuración y que sus herramientas estén calibradas. En última instancia, no se trata tanto de reducir las alertas como de cómo ha configurado a su equipo para responder.
Por ejemplo, busque formas de agilizar la investigación de alertas que no puede eliminar o agregar. Una forma es correlacionar las alarmas con actividades conocidas, como cuando la instalación de un parche planificado desactiva las herramientas de seguridad a granel a medida que el sistema se recicla. En cualquier otro momento, el equipo de seguridad querría saber que las herramientas de seguridad se desconectan, pero hay una explicación simple durante la aplicación de parches. Calibrar las herramientas para «silenciar» las alertas durante los eventos conocidos o los horarios programados le dará al equipo de seguridad más tiempo para concentrarse en las emergencias reales.
3 — Introducción a la respuesta automática: Incluso los equipos de seguridad más reducidos pueden hacer frente a las amenazas si utilizan la automatización. La automatización permite que los equipos de seguridad respondan a las alertas a escala rápidamente. Pero uno de los mayores desafíos con la automatización es saber cómo configurarla correctamente en primer lugar.
Una de las desventajas de la respuesta automática que debemos tratar de evitar ocurre cuando una respuesta automática, particularmente del tipo impulsado por el aprendizaje automático, bloquea tanto el tráfico malicioso como el legítimo. Estas instancias impredecibles pueden ser molestas para el equipo de seguridad y para los usuarios de toda la organización. Los problemas también pueden ser difíciles de deshacer si las acciones realizadas por la automatización no se han documentado cuidadosamente en el camino. La guía también sugiere nuevas formas de resolver este problema.
4 — Utilizar herramientas que faciliten la automatización: Configurar la automatización no es un ‘paseo por el parque’ debido a la abundancia de soluciones de seguridad y TI que deben integrarse (por ejemplo, IPS, NDR, EPP, firewalls, filtrado de DNS y más). La clave es saber cómo poner todas estas herramientas en un solo lugar, y la guía sugiere nuevas formas de hacerlo.
Si desea obtener más información y aprender a detener la sobrecarga de alertas, descarga la guía aquí.
