Tres errores importantes en las operaciones de seguridad

En un seminario web reciente, el fundador y director ejecutivo de Swimlane, Cody Cornell, habló sobre cuatro causas principales de operaciones de seguridad insostenibles: un volumen sin precedentes de ataques, fatiga de alertas, herramientas de respuesta anticuadas y falta de personal cualificado en ciberseguridad. Para afrontar estos desafíos, las organizaciones han intentado implementar diversos métodos de seguridad, algunos eficaces y otros que, en realidad, pueden ser más perjudiciales que beneficiosos.

En el seminario web titulado “Automatización de operaciones de seguridad,”, Cornell exploró tres errores que las organizaciones generalmente cometen con respecto a sus métodos para superar estos desafíos y se explican a continuación.

1. Centrarse en la priorización de alertas, en lugar del 100 por ciento de las alertas

Muchas empresas recurren a un método de priorización para identificar las alarmas en las que deben trabajar y en qué orden. Sin embargo, el problema con este enfoque es que, considerando el enorme volumen de alarmas que reciben, las organizaciones solo pueden gestionar una parte de ellas manualmente. Esto deja muchas alarmas sin respuesta. Además de ser una mala práctica generalizada, al dejar eventos sin gestionar en el entorno de red sin atender, esto puede suponer riesgos de auditoría y tener consecuencias imprevistas para las organizaciones.

Como explicó Cornell, para cuando una organización finalmente llega a sus alertas de baja prioridad, habrá experimentado un tiempo de permanencia extremadamente largo. En otras palabras, el tiempo transcurrido entre la detección de la actividad sospechosa en la red y el tiempo de respuesta a la alerta será demasiado largo. Esto reduce la capacidad de la organización para contener la amenaza desde el principio.

“Para atender la cantidad de alertas que vemos y aumentar la capacidad de nuestros equipos para responder a las alarmas, buscamos maneras de amplificar, optimizar y agilizar la forma en que las organizaciones responden a todos los eventos y actividades de seguridad”, afirmó Cornell. Hoy en día, la priorización de alertas simplemente no es suficiente.

2. Ignorar la mitad del ciclo de vida de las operaciones de seguridad: respuesta a incidentes

En la actualidad, las organizaciones utilizan una serie de tecnologías de detección modernas para identificar alarmas, actividades y tareas de seguridad, desde análisis del comportamiento del usuario hasta gestión de eventos e información de seguridad (SIEM), detección y respuesta de puntos finales (EDR) y herramientas de inteligencia sobre amenazas.

Muchas organizaciones han invertido mucho en este tipo de herramientas de detección durante las últimas dos décadas; sin embargo, parece estar ocurriendo un cambio de paradigma: las organizaciones se están dando cuenta de que es la fase final del ciclo de vida (la respuesta a incidentes) la que necesita madurar. Para las organizaciones que ignoren o no se den cuenta de la necesidad de operaciones sofisticadas de seguridad de backend, las consecuencias probablemente serán graves.

3. Confiar en herramientas de respuesta anticuadas y/o manuales

No es raro ver organizaciones que aún utilizan herramientas de respuesta obsoletas, como documentos de bloc de notas, hojas de cálculo o sistemas de tickets obsoletos, para resolver amenazas. O bien, algunas organizaciones aún utilizan acciones de línea de comandos para cada alerta.

Estas herramientas y mecanismos todavía existen para estas organizaciones simplemente porque eso es lo que su personal de primera línea está condicionado a saber y hacer. Las investigaciones han demostrado que En promedio, las organizaciones gestionan más de 10 000 eventos de seguridad al día, lo que podría equivaler a unas imposibles 333 horas de trabajo diarias. Es evidente que los procesos manuales y arcaicos son poco realistas y causarán más perjuicios que beneficios.

Al mismo tiempo, el número de personas capaces de gestionar las alertas y tareas de seguridad según lo requerido es reducido, y contratar a este personal capacitado puede resultar costoso para las organizaciones. Es evidente que esto representa un gran desafío para las organizaciones hoy en día.

¿Desea obtener más información sobre las mejores prácticas de seguridad operacional o una alternativa eficaz a estos métodos potencialmente peligrosos? Acceda al reciente seminario web de Swimlane:“Automatización de operaciones de seguridad."”