El exceso de alertas 'fatiga' a los analistas de los SOC

  • Actualidad

Los equipos de ciberseguridad de todo el mundo se enfrentan a un volumen cada vez mayor de alertas de seguridad lo que, unido a la escasez de profesionales en este ámbito y el exceso de tareas que asumen, está provocando lo que se denomina "fatiga de alerta". Esto les impide responder con agilidad y precisión ante los ataques, advierte Cytomic.

El número cada vez mayor de alertas de seguridad dificulta la correcta valoración y clasificación de las amenazas, lo que provoca que, en ocasiones, los recursos no sean asignados en función del riesgo que suponen.  De hecho, según el Incident Response Survey de SANS publicada en 2018, un 74% de los profesionales reconoció haber respondido al menos a un falso positivo durante el año anterior.

Si a esto le sumamos que la escasez de profesionales de la ciberseguridad, que se acerca a los 3 millones a nivel mundial, y que los equipos asumen demasiadas tareas, el resultado es que los analistas de los Centros de Operaciones de Seguridad (SOC) sufren “fatiga de alerta”, según explica la unidad Enterprise de Panda Security, Cytomic. Sus expertos dicen que “les impide responder con agilidad y precisión ante los ataques”.

En su opinión, tienen una carga de trabajo muy elevada con labores como estar atentos a nuevas amenazas, proteger el perímetro, anticiparse a los ataques, conseguir que el resto de los empleados de la compañía sigan los protocolos de actuación, etc. Esto podría ser causa de que las verdaderas amenazas, como la actualización constante de los sistemas operativos,  dejen de ser atendidas de manera efectiva, poniendo en riesgo la seguridad de la propia compañía.

Los consejos del especialista
Según explica Cytomyc, que dispone de herramientas avanzadas  para reducir los riesgos asociados a esta “fatiga”, la prioridad de los analistas de los SOCs debe ser reducir las alertas que generen falsos positivos, así como filtrar todos los ataques confirmados.

Una vez asumida esa necesidad, lo siguiente es reducir los esfuerzos en las operaciones de seguridad y aumentar la automatización de las mismas. Como mínimo, se deben automatizar aspectos como la priorización y triaje de alertas, y las tareas repetitivas (generación de informes o recogida de información de contexto, por ejemplo). A partir de aquí, cuanto más avancen las organizaciones hacia la automatización mayor será la reducción de la gestión manual, consiguiendo minimizar el tiempo medio de descubrimiento y respuesta a los atacantes.