So l u c i o n e s
Fatiga por alertas de seguridad Cinco pasos para tomar mejores decisiones, más rápido
Los equipos de seguridad siguen enfrentándose a
En el último año, las empresas se han estado enfren-
una importante fatiga por el continuo bombardeo
procedentes de sistemas, plataformas y aplicaciones
de alertas de alta prioridad. El creciente panorama de las amenazas y la naturaleza cada vez más dinámica de las operaciones de TI son los principales responsables de esta escalada. La única manera de superarla es introducir inteligencia para añadir contexto y facilitar la priorización y el triaje.
tando a una nueva avalancha de datos de seguridad dispares sobre el estado de la red, las posibles amenazas y los comportamientos sospechosos. Todo un reto para todos los equipos de los centros de operaciones de seguridad (SOC) y de respuesta a incidentes (IR), a la hora de abordar los impactos en las operaciones de seguridad, la gestión de vulnerabilidades y la respuesta a incidentes. Para ello, muchas organizaciones están incorporando más fuentes de datos —tanto de amenazas como de vulnerabilidades— e invirtiendo en herramientas de detección analítica de comportamientos. Desafortunadamente, esto no está conduciendo a una mejor toma de decisiones. Por el contrario, está enterrando al personal bajo los datos, lo que reduce la capacidad para tomar decisiones debido a la fatiga de las alertas. Para facilitar una toma de decisiones mejor y más rápida, las organizaciones deberían seguir estos cinco sencillos pasos. 1. Priorizar antes que nada. Separar lo probable de lo posible, a través del contexto, permite a los analistas distinguir las alertas con una prioridad más alta. Esto se aplica no solo a la respuesta a incidentes, sino a todas las alertas críticas. La capacidad de anteponerse proporciona a los analistas el respiro necesario para centrarse en las alertas de mayor importancia. 2. Obtener el contexto. El triaje de alertas reduce la fatiga y ayuda a priorizarlas a partir del riesgo que conllevan, lo cual se logra al incorporar una adecuada información contextual. Uno de los mejores medios para obtener este contexto es agregar y autentificar los indicadores de seguridad internos (de compromiso y datos de eventos) con la inteligencia de amenazas externa. Lamentablemente, muchas empresas incorporan la inteligencia sobre amenazas después de clasificar un suceso como sospechoso: una oportunidad perdida, ya que la inteligencia sobre amenazas proporciona un contexto valioso mucho antes de que se considere inseguro. El contexto adecuado ayuda a los equipos del SOC y del IR a separar lo posible de lo probable. Por ejemplo, una alerta de actividad saliente anómala, procedente del servidor de desarrollo de un banco, posiblemente es peligrosa y requiere una investigación más profunda, in-
52 //
MARZO 2021
