Los profesionales de la seguridad, a menudo la primera línea de defensa de una organización, están agotados. ¿El motivo? Con frecuencia, la sobrecarga de datos.
La criba de un gran volumen de alertas (algunas duplicadas en distintas herramientas) dificulta la identificación y mitigación de las amenazas más críticas y acuciantes para la organización. A pesar de las buenas intenciones de las alertas de seguridad, un estudio reciente concluyó que el 68 % de los profesionales de la seguridad admitían haber reducido el volumen de alertas de determinadas funciones, mientras que el 49 % desactivaron por completo las alertas que recibían en gran volumen.
La relajación de estos protocolos de seguridad reduce la carga de tener que investigar cada alerta. Sin embargo, también se abren las vulnerabilidades de seguridad y aumenta la posibilidad de riesgos. Las consecuencias pueden ser desastrosas. Una alerta no detectada puede causar una fuga de datos, aumentar el coste de la corrección del ataque o abrir la puerta a nuevos ataques.
Como señala IBM en su informe 2021 Cost of a Data Breach, ya se tarda aproximadamente 212 días en identificar una fuga de datos y otros 75 días en contenerla, una cifra que probablemente no dejará de aumentar si no se pone remedio.
Existen dos razones críticas de la fatiga de los profesionales de la seguridad. En primer lugar, muchas organizaciones han migrado, parcial o totalmente, a la informática en la nube. Esta infraestructura híbrida puede ser compleja de configurar, gestionar y proteger contra un número cada vez mayor de amenazas. Y no todos los productos de seguridad funcionan en ambos entornos (local y en la nube), lo que obliga a las organizaciones a adoptar soluciones adicionales para proteger a sus usuarios y sus datos.
En segundo lugar, a medida que las organizaciones siguen añadiendo productos de seguridad a su conjunto de soluciones, estas recopilan un mayor volumen de datos de supervisión. Estos datos son esenciales para comprender a qué amenazas se enfrenta la organización y mitigarlas, pero pueden presentar una cantidad abrumadora de datos para analizar.
Otros factores complican esta fatiga de la supervisión de alertas:
En una encuesta realizada por el Ponemon Institute, los encuestados indicaron un índice de falsos positivos del 20-50 %, lo que impide a los responsables de la seguridad hacerse una idea precisa de las amenazas a las que se enfrenta su organización.
Los productos específicos no funcionan juntos para optimizar el volumen y la calidad de los datos que se envían. Esto puede dificultar la evaluación de la postura de seguridad de una organización y el análisis de las amenazas cuando aparecen. Las herramientas tradicionales de supervisión de la seguridad, ya operen a nivel de servidor, sistema, aplicación o red, suelen depender en exceso de procesos manuales para el seguimiento y la resolución de los incidentes. Al mismo tiempo, muchas herramientas de seguridad en la nube no están diseñadas para la escala o la complejidad de los entornos híbridos.
Como los registros suelen estar aislados en el hardware y software, no pueden ofrecer un contexto que tenga en cuenta toda la infraestructura de una organización. La identificación y corrección de un ataque puede llevar mucho tiempo y la criba del gran volumen de datos técnicos suponer un desafío.
Con las herramientas equivocadas, se priorizan todos los eventos. Esto supone una carga para los responsables de la seguridad, que deben identificar manualmente cuál es la amenaza más urgente. Las herramientas adecuadas son aquellas que les permiten priorizar automáticamente los datos que reciben, e identificar patrones de ataque y la evolución de otros riesgos de seguridad en sus organizaciones, todo ello sin pérdida de tiempo ni de valiosos recursos.
Cuando el equipo de seguridad está demasiado cansado para seguir el ritmo de las alertas, analizar los datos de registro y gestionar las herramientas de supervisión, los riesgos para la organización aumentan.
Para combatir la fatiga de la supervisión de la seguridad es necesario algo más que adoptar la herramienta de seguridad "perfecta". Requiere un replanteamiento de la seguridad de la red.
En lugar de intentar compaginar soluciones específicas (que no están diseñadas para la integración, para eliminar las alertas duplicadas o para ofrecer una visibilidad integral), un plano de control único permitiría a los responsables de la seguridad gestionar fácilmente sus herramientas de seguridad y de supervisión. Gracias a la gestión de las funciones de detección y mitigación de amenazas desde el mismo lugar, las organizaciones pueden resolver vulnerabilidades de seguridad y obtener más visibilidad y control.
Podrás mejorar igualmente las funciones de detección de amenazas con:
El registro es más útil cuando la seguridad tiene una imagen clara y concisa de las amenazas a las que se enfrenta su organización. Los equipos pueden mejorar los datos de registro implementando una o más de las siguientes funciones:
Análisis de eventos y causas raíz basado en inteligencia artificial: entender qué ocurre antes, durante y después de un incidente
Análisis predictivo: identificación de los puntos débiles de la infraestructura que es necesario resolver antes de que se produzca un incidente.
Detección y respuesta de la red: eliminación de los silos entre DevOps, los microservicios y las integraciones basadas en API para obtener una visión integral del ciclo de vida de la seguridad de los datos
Creación de una línea base de comportamiento: catalogación de las acciones y los comportamientos esperados e inesperados
Algunas partes del proceso de detección de amenazas requerirán una intervención manual. Sin embargo, la automatización de los procesos siempre que sea posible (idealmente, pasos tácticos y repetibles de investigación y análisis) puede reducir la carga de trabajo global a la que se enfrentan los responsables de la seguridad en la detección de amenazas. Por ejemplo, es más rápido establecer un flujo de trabajo automatizado para explorar los dispositivos de punto final o las cuentas de correo electrónico que configurar cada vez la exploración desde cero.
Verifica y optimiza periódicamente las herramientas existentes de supervisión de la seguridad para asegurarte de que funcionan de la forma prevista.
En lugar de reducir el umbral de seguridad, las organizaciones pueden disminuir la complejidad de la red consolidando la seguridad en una única plataforma. Con ello, reforzarán su postura de seguridad, eliminarán vulnerabilidades de seguridad y proporcionarán un entorno más propicio para que los profesionales de la seguridad se centren en las amenazas críticas.
Consolida los servicios de seguridad esenciales e impleméntalos desde el perímetro de la red con Cloudflare One, una plataforma de red como servicio Zero Trust. El panel de control único de Cloudflare permite a los responsables de la seguridad anticiparse a las nuevas amenazas con análisis visualizados, registros detallados y notificaciones personalizadas, todo ello fácilmente configurable y administrable.
Desarrolladas sobre una vasta red global que aprovecha la información de millones de propiedades para identificar y mitigar mejor las amenazas, las organizaciones se benefician de una seguridad integrada de forma nativa que mejora a medida que crece la red de Cloudflare.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Por qué el 68 % de los profesionales de la seguridad están reduciendo las alertas de seguridad
Cómo los productos específicos de seguridad contribuyen a la sobrecarga y al desgaste de datos
Recomendaciones para reducir la fatiga de la supervisión de la seguridad
La eliminación de alertas duplicadas y la supervisión son un aspecto importante de la seguridad Zero Trust. Para entender cómo encajan en la transformación Zero Trust más amplia, obtén el informe Guía de implementación de Zero Trust .