Analista de fatiga: lo mejor nunca descansa


Puede que no lo digan, pero sus analistas superiores están exhaustos.

Cada día, más y más dispositivos se conectan a sus redes empresariales, creando una vía cada vez mayor para ataques de suplantación de identidad (SO) y ataques de phishing. Mientras tanto, la cantidad de amenazas, algunas de las cuales son lo suficientemente poderosas como para cojear ciudades enteras, está aumentando aún más rápido.

Si bien la mayoría de las empresas tienen un cuadro capaz de analistas junior, la mayoría de los sistemas EDR (Endpoint Detection and Response) de hoy en día los dejan atónitos. La naturaleza sorprendentemente compleja del program EDR típico requiere años de experiencia para operar con éxito, lo que significa que no importa cuán dispuestos estén a ayudar los analistas más «ecológicos», todavía no tienen el conjunto de habilidades necesarias para clasificar eficazmente las amenazas.

Lo que es peor, si bien estas «soluciones» requieren los mejores resultados, no siempre ofrecen el mejor rendimiento a cambio. Si bien sus analistas más experimentados deberían abordar las principales amenazas, muchas veces están atrapados vadeando a través de una panoplia de falsos positivos, problemas que no son amenazas o que no vale la pena investigar. Y si bien están atados a eso, también deben enfrentar los casos de falsos negativos: amenazas que se escapan de las grietas, evitando potencialmente la detección, mientras que los más adecuados para abordarlos están ocupados tratando de trabajar a través del ruido. Este problema se ha agravado tanto que algunos departamentos de TI están implementando sistemas MDR sobre sus paquetes EDR, lo que aumenta la complejidad de la protección de los puntos finales de su empresa y aumenta aún más los niveles de estrés de los empleados.

Con la esperanza de medir el verdadero impacto de la «fatiga del analista» en los SOC e identificar posibles soluciones, Forrester Consulting realizó un estudio por encargo en nombre de McAfee en marzo de 2019 para ver qué efectos estaban teniendo los EDR actuales en las empresas e intentar reconocer El potencial de soluciones. Forrester encuestó a los responsables de la toma de decisiones sobre tecnología de seguridad, desde los gerentes que enfrentan amenazas directas hasta aquellos en el C-suite que ven soluciones de seguridad a nivel macro en relación con las necesidades financieras de su empresa y el nivel de tolerancia al riesgo. Los encuestados provenían de EE. UU., Reino Unido, Alemania o Francia, y trabajaban en una variedad de industrias en compañías que variaban en tamaño desde 1,000 hasta más de 50,000 empleados.

Cuando se les preguntó acerca de sus objetivos de seguridad de punto final, las tres respuestas principales de los encuestados: mejorar las capacidades de detección de seguridad (87%), aumentar la eficiencia en el SOC (76%) y cerrar la brecha de habilidades en el equipo de SecOps (72%), todas apuntadas limitaciones en muchos EDR actuales. Investigaciones posteriores revelaron que si bien el 43% de los responsables de la toma de decisiones de seguridad consideran que la detección automatizada es un requisito crítico, solo el 30% considera que sus soluciones actuales satisfacen completamente sus necesidades en esta área.

Si bien los problemas descubiertos eran innumerables, los resultados también sugirieron que una única solución podría mejorar una variedad de estos problemas. La introducción de programas EDR que incorporan la Investigación Guiada podría aumentar la eficiencia al permitir que los analistas junior ayuden en la identificación de amenazas, liberando así a analistas más experimentados para abordar las amenazas detectadas y enfocarse solo en los problemas más complejos, lo que lleva a un aumento en las capacidades de detección. Mientras tanto, la experiencia práctica que obtendrían los analistas junior frente a las amenazas de EDR en la vida actual aumentaría tanto su eficiencia personal como su nivel de habilidad, ayudando a eliminar las brechas de habilidades presentes en algunos departamentos.

Para obtener más información sobre los problemas y las posibilidades en el panorama precise de EDR, puede leer el estudio completo «Empoderar a los analistas de seguridad mediante la investigación guiada de EDR» haciendo clic en aquí.





Enlace a la noticia initial