El 44% de las alertas de seguridad empresariales no se investigan

  • Endpoint

Resulta difícil para los investigadores distinguir los archivos legítimos de los maliciosos sin consultar con la inteligencia de amenazas adecuada. En general, los investigadores suelen estar más interesados en saber con qué recursos se comunican los puntos finales de su red.

Los expertos de Kaspersky han analizado las estadísticas de las solicitudes recibidas en el Kaspersky Threat Intelligence Portal, y han descubierto que, cuando los investigadores de seguridad solicitaron detalles adicionales de un objeto sospechoso, en el 72% de los casos resultó ser malicioso y podía poner en riesgo la seguridad corporativa si no se investigaba.

De media, el 44% de las alertas de seguridad que afrontan las organizaciones no se investigan. La razón puede estar en el gran volumen de señales de advertencia entrantes que los equipos de seguridad luchan para hacer frente por completo. Por lo tanto, los analistas deben elegir cuidadosamente qué alertas deben investigar y cuáles no merecen su atención. En esta situación, es útil tener un marco que lo ayude a tomar la decisión.

Las estadísticas del Kaspersky Threat Intelligence Portal muestran que la mayoría de alertas de objetos que resultaron ser maliciosos están relacionadas con la web, incluyendo dominios (86%), direcciones IP (75%) y URL (73%). Esta cifra cae ligeramente para los archivos, ya que el 61% de los hash se clasificaron como peligrosos. Esto implica que es más difícil para los investigadores distinguir los archivos legítimos de los maliciosos sin consultar con la inteligencia de amenazas adecuada.

En general, los investigadores suelen estar más interesados en saber con qué recursos se comunican los puntos finales de su red: el 41% de las solicitudes totales se incluyen en esta categoría. Con información sobre la reputación de la dirección IP y los sitios web y archivos asociados, los equipos de seguridad pueden tomar una decisión si deben denegar el acceso a este recurso o bloquear cualquier comunicación con él. Además, el 31% de las solicitudes se referían a una categoría de hash de archivo, lo que significa que los analistas buscan información adicional sobre el archivo (por ejemplo, distribución geográfica, popularidad y conexiones con otros objetos) en sus investigaciones.

“Como muestran nuestras estadísticas, los analistas de seguridad en las organizaciones rara vez cometen errores cuando sospechan que una alerta representa un riesgo de seguridad y podría necesitar más investigación. Sin embargo, no se trata solo de verificar las hipótesis. Para poder acelerar su respuesta a incidentes y sus capacidades forenses, los analistas necesitan ver el panorama general de una amenaza rápidamente. El acceso a la inteligencia de amenazas proporciona exactamente eso, lo que en última instancia ahorra tiempo y esfuerzo para los equipos de seguridad con poco personal", explica Anatoly Simonenko, director del Grupo de Technology Solutions Product Management en Kaspersky.