¿Por qué el enfoque actual de las operaciones de seguridad no es sostenible?
- Seguridad
©Freepik
Hay una serie de factores que impiden a los equipos de los SOC proteger con eficacia de los ciberataques a sus organizaciones, y que ha resumido Vectra AI en un informe. Para el especialista en detección y respuesta frente a ciberamenazas basadas en IA, una superficie de ataque en constante expansión, combinada con la evolución de los métodos de los atacantes y el aumento de la carga de trabajo de los analistas, provoca a una espiral viciosa que merma la eficacia de las operaciones de seguridad.
Vectra AI acaba de publicar las conclusiones de su Informe de Investigación sobre el Estado de la Detección de Amenazas 2023, un documento que evidencia que los equipos de operaciones de seguridad (SecOps) tienen que a sus empresas de ciberataques cada vez más sofisticados y rápidos, pero que "la complejidad de las personas, los procesos y la tecnología que tienen a su disposición está haciendo que la ciberdefensa sea cada vez más insostenible".
El estudio sostiene que están en una "espiral viciosa" que surge de la combinación de una superficie de ataque en constante expansión, la evolución de las técnicas de los ciberdelinuentes y el aumento de la carga de trabajo de los analistas.
Esta investigación, que son fruto de una encuesta realizada entre 2.000 analistas de SecOps, se detiene en el análisis de las razones por las que el enfoque actual de las operaciones de seguridad no es sostenible. Según sus datos, el triaje manual de alertas cuesta a las organizaciones 3.300 millones de dólares al año sólo en Estados Unidos, y los analistas de seguridad tienen que detectar, investigar y responder a las amenazas con la mayor rapidez y eficacia posibles, al mismo tiempo que se enfrentan al reto de una superficie de ataque cada vez mayor y a miles de alertas de seguridad diarias. En este sentido, el 63% afirma que el tamaño de su superficie de ataque ha aumentado en los últimos tres años; de media, los equipos de los SOC reciben 4.484 alertas diarias y dedican casi tres horas al día a clasificarlas manualmente, y los analistas son incapaces de tratar el 67% de las alertas diarias recibidas. Además, el 83% señala que las alertas son falsos positivos.
Por otro lado, a pesar de que la mayoría de los encuestados reconocen que sus herramientas son eficaces, la combinación de puntos ciegos y un alto volumen de falsos positivos impide a las empresas y a los equipos de sus SOC contener con éxito el ciberriesgo. "Sin visibilidad en toda la infraestructura de TI, las organizaciones no son capaces de identificar ni siquiera los signos más comunes de un ataque, como el movimiento lateral, la escalada de privilegios y el secuestro de ataques en la nube", asegura el informe.
En relación con ello, también afirma que al 97% de los analistas de los SOC les preocupa perderse un evento de seguridad relevante porque está "enterrado" bajo una avalancha de alertas, y que el 41% cree que la sobrecarga de alertas es la norma porque los proveedores temen no señalar un suceso que podría resultar importante.
Otro dato importante es que el 38% afirma que las herramientas de seguridad se compran como un ejercicio para cumplir los requisitos de conformidad, y el 47% desearía que los miembros del equipo de TI les consultaran antes de invertir en nuevos productos.
