Los desafíos que enfrentan los equipos de operaciones de seguridad

En la mayoría de las organizaciones, lo único que las separa de una filtración de datos que podría resultar en enormes pérdidas financieras es el equipo de operaciones de seguridad (SecOps). Diariamente, se encargan de identificar, clasificar y remediar un número creciente de ciberamenazas, lo que hace esenciales los procesos eficientes y repetibles. Esto se vuelve cada vez más difícil a medida que el volumen de amenazas continúa creciendo.

Para ponerlo en perspectiva, la Instituto AV-TEST Se registran más de 390.000 nuevos programas maliciosos cada día. Sin embargo, la mayoría de los grupos de SecOps se ven obstaculizados por la escasez de profesionales capacitados y procesos ineficaces e irrepetibles para gestionar la respuesta a incidentes.

La escasez de mano de obra en SecOps se está volviendo particularmente aguda. Prensa de la península (un proyecto de la Escuela de Periodismo de Stanford) afirma que más de 209.000 puestos de trabajo en ciberseguridad en EE. UU. están actualmente vacantes. Y las vacantes han aumentado 74% en los últimos cinco años. Simplemente contratar más personal para afrontar el mayor riesgo no es una opción viable en este mercado laboral.

La escasez de habilidades también se ve agravada por el aumento creciente de la carga de trabajo diaria de los profesionales de SecOps. Un estudio reciente... Estudio de Ponemon muestra que, cada semana, el equipo promedio de SecOps recibe cerca de 17 000 alertas. Por lo tanto, una organización con cinco analistas de seguridad dedicados, por ejemplo, requeriría que cada uno revisara cerca de 3400 alertas por semana. En la mayoría de las organizaciones, esto no es posible con los procesos y herramientas existentes, lo que las obliga a clasificar qué alarmas reciben atención. Otro Ponemon Un estudio revela que solo el 29 % de todas las alertas se investigan. Y el mismo estudio muestra que el 681 % de las organizaciones dedica una cantidad considerable de tiempo a la búsqueda de falsos positivos.

Así pues, si bien SecOps no solo pasa por alto un porcentaje sustancial de amenazas potenciales, la mayoría de las veces, las que se investigan representan un esfuerzo desperdiciado. Una razón importante es que muchas herramientas antimalware existentes simplemente no proporcionan suficiente contexto e información para una respuesta adecuada a incidentes, lo que requiere una intervención e investigación manual que requiere mucho tiempo. Según la encuesta, 82% de las herramientas antimalware actuales ni siquiera proporcionan el nivel de riesgo potencial de cada incidente, lo que relega la responsabilidad de la clasificación de alarmas al analista.

La falta de personal disponible, sumada a una carga de trabajo insostenible, exige un mejor enfoque para que el equipo de SecOps pueda operar con eficacia. Automatizado. orquestación de seguridad yrespuesta a incidenteses la respuesta. La capacidad de ejecutar procesos y flujos de trabajo predefinidos sin intervención manual proporciona la escalabilidad necesaria para afrontar el alto volumen de amenazas existentes y futuras. Y para aquellos incidentes que requieren un enfoque práctico, el acceso inmediato a todos los detalles de los eventos de seguridad, con información relevante sobre amenazas, es fundamental para una respuesta eficiente a incidentes. Estas dos capacidades forman la base de un "mejor proceso" que los equipos de operaciones de seguridad deben mantener ante la escasez de personal y la creciente presencia de amenazas.