Según el último estudio de ESG, ‘Modernización SOC y el Rol de XDR’, comisionado por Kaspersky, casi tres cuartas partes (70%) de las empresas participantes confirmaron tener dificultades a la hora luchan por mantenerse al día con el volumen de alertas generadas por las herramientas de análisis de seguridad. Esto desemboca en una falta de recursos en importantes tareas estratégicas y dirige a la empresa hacia un proceso de automatización y externalización de procesos.
El problema con la gestión eficaz de las tareas de emergencia a través de un centro de operaciones de seguridad (SOC) se hace evidente: según el estudio sobre el “Estado de SecOps y automatización de 2020”, realizado por Dimensional Research, el 83% del personal de ciberseguridad sufre de agotamiento debido al estado de alerta continuado.
Sumado al volumen de alertas, su amplia variedad es otro problema para el 67% de las organizaciones, según el estudio dirigido por ESG. Esto dificulta el trabajo del analista SOC a la hora de focalizarse en las tareas más importantes y complejas. En una de cada tres empresas (34%), los equipos de ciberseguridad están sobrecargados de alertas y problemas de seguridad urgentes y no tienen tiempo suficiente para poder emplearlo en implementar la estrategia y los procesos.
El estudio de ESG también concluye que las empresas no relacionan el problema con una falta de empleados – un 83% cree que su SOC tiene suficiente personal para proteger una empresa de su tamaño – sino que se debe a la necesidad de automatizar los procesos y utilizar servicios externos. La razón principal para utilizar servicios subcontratados es permitir al personal más tiempo para centrarse en iniciativas más estratégicas, en lugar de emplear el tiempo en tareas de operaciones de seguridad (55%).
“Los analistas SOC se dedican a “apagar fuegos” en lugar de a buscar proactivamente amenazas complejas y evasivas en la infraestructura. Reducir el número de alertas, automatizando su consolidación y correlación con las cadenas de incidencia y acortar su tiempo de respuesta deberían convertirse en las tareas prioritarias para mejorar la efectividad del SOC en las organizaciones. Para conseguirlo, pueden contar con soluciones de automatización y servicios expertos externos”, comenta Yuliya Andreeva, Senior Product Manager en Kaspersky
Para mejorar el trabajo del SOC y evitar la fatiga por alertas, Kaspersky aconseja a las empresas tener en cuenta algunos consejos:
- Organizar los turnos de trabajo en el SOC para evitar la sobrecarga de trabajo de la plantilla y asegurar que todas las tareas clave están distribuidas de forma equitativa en el equipo: monitorización, investigación, arquitectura IT e ingeniería, administración y gestión SOC en general.
- Sobrecargar a la plantilla con tareas rutinarias puede conllevar un desgaste en los analistas SOC. Algunas prácticas, como las rotaciones y transferencias internas, pueden ayudar a evitarlo.
- Utilizar servicios de inteligencia de aquellas amenazas que permita la integración de inteligencia legible por máquina en sus controles de seguridad existentes, como un sistema SIEM, para automatizar el proceso inicial de triaje y generar suficiente contexto para decidir si la alerta debería ser investigada de forma inmediata.
- Para ayudar a liberar su SOC de las tareas de alerta de triaje rutinarias, utiliza la detección programada y un servicio de respuesta, como el Kaspersky Managed Detention and Response. Este servicio combina tecnologías de detención basada en AI con amplia experiencia en búsqueda de amenazas y respuesta de incidencias de manos de unidades profesionales, incluida Kaspersky Global Research & Analysis Team (GReAT).