El 45% de las alertas que reciben los analistas de seguridad son falsos positivos
- Endpoint
Los analistas de seguridad son cada vez menos productivos debido a la "fatiga de alertas" generalizada, lo que conduce a alertas ignoradas, mayor estrés y temor a incidentes perdidos. Menos de la mitad de los equipos de seguridad utilizan herramientas para automatizar las actividades del SOC.
|
Recomendados: Crowdstrike Falcon Complete, detección y respuesta gestionada Leer Threat Hunting Report 2020: así son las campañas de intrusiones hoy en día Leer |
FireEye ha publicado los resultados de una encuesta realizada a analistas y responsables de seguridad de proveedores y directores de servicios de seguridad internos y gestionados (MSSP), que concluye que los analistas de seguridad son cada vez menos productivos debido a la presión del aumento de las alertas. Para mejorar la satisfacción y la eficacia del trabajo, el informe también revela las principales actividades que los analistas consideraron que serían las mejores a automatizar para asegurar mejor sus Centros de Operaciones de Seguridad (SOC).
Mientras que los analistas y los responsables de seguridad de TI reciben miles de alertas cada día, los encuestados indicaron que el 45% de las alertas son falsos positivos, lo que ralentiza y resta eficiencia a sus flujos de trabajo. Para administrar la sobrecarga de alertas en el SOC, el 35% de este grupo asegura que ignora las alertas.
Por su parte, los analistas de los MSSP indicaron que el 53% de las alertas que reciben son falsos positivos. Mientras tanto, el 44% de los analistas de los proveedores de servicios administrados dijeron que ignoran las alertas cuando su cola se llena demasiado, lo que podría conducir a una brecha que involucre a varios clientes.
A medida que los analistas experimentan más desafíos en la gestión manual de alertas, su preocupación por perderse un incidente también aumenta: tres de cada cuatro analistas están preocupados por los incidentes perdidos, y uno de cada cuatro se preocupa "mucho" por los incidentes perdidos. Este miedo a los incidentes perdidos afecta más a los directores de seguridad que a sus analistas, y de hecho, más del 6% afirman perder el sueño debido al temor a incidentes perdidos.
"Los analistas de seguridad están siendo abrumados por una avalancha de falsas alertas positivas de soluciones dispares, mientras que cada vez están más preocupados de que puedan ignorar una verdadera amenaza", señala Chris Triolo, vicepresidente de Éxito del Cliente en FireEye. "Para resolver estos desafíos, los analistas están pidiendo herramientas avanzadas de automatización, como la detección y respuesta extendidas, que pueden ayudar a reducir el miedo a incidentes perdidos mientras fortalecen la postura de ciberseguridad de su SOC".
Los encuestados compartieron las principales herramientas que utilizan para investigar alertas, mostrando que menos de la mitad utiliza inteligencia artificial y tecnologías de aprendizaje automático (43%), herramientas de automatización y respuesta de orquestaciones de seguridad (SOAR) (46%), software de información de seguridad y gestión de eventos (SIEM) (45%), Threat Hunting (45%) y otras funciones de seguridad. Además, sólo dos de cada cinco analistas utilizan tecnologías de inteligencia artificial y aprendizaje automático junto con otras herramientas.
