Los entornos en la nube están empeorando el problema de sobrecarga de alerta de seguridad


Las compañías dicen que la automatización ayuda a aliviar la carga, pero la mayoría tiene un largo camino por recorrer para alcanzar la implementación completa, según una nueva encuesta.

sumologic-automation.jpg

Una nueva encuesta encargada por Sumo Logic descubrió que la mayoría de las compañías han comenzado a automatizar el triaje de alertas de seguridad, pero la mayoría están al comienzo de esta transformación.

Imagen: Sumo Logic

Según un nuevo estudio, los esfuerzos de automatización lentos y un aumento en los entornos de nube están intensificando la crisis de sobrecarga de alerta para los equipos de seguridad.

Los «2020 State of SecOps and Automation«El informe encontró que la infraestructura de TI está cambiando más rápido de lo que los equipos de seguridad pueden adaptarse a las nuevas demandas. Sumo Logic encargó la encuesta 427 de profesionales de seguridad de TI que realizó Dimensional Research.

VER: Calendario editorial Premium de TechRepublic: políticas de TI, listas de verificación, kits de herramientas e investigación para descargar (TechRepublic High quality)

Las grandes empresas informan hasta 1,000 alertas de seguridad por día, y el 86% de los encuestados están preocupados por el agotamiento, los altos niveles de estrés y el riesgo de fuga entre los equipos de seguridad, debido al volumen diario de alertas. Las empresas más grandes están progresando con la automatización de algunas de las respuestas a las alertas de seguridad, pero solo el 3% informa de la automatización completa.

Los profesionales de seguridad enumeraron estas cinco razones principales para el aumento de alertas:

  • Cambios constantes en el tipo de amenazas que deben bloquearse: 67%
  • Nuevas herramientas para monitorear amenazas: 60%
  • Crecimiento de las aplicaciones y servicios que los equipos de TI ofrecen a las partes interesadas del negocio: 57%
  • Un aumento en la infraestructura de la nube: 55%
  • Crecimiento en los puntos finales de los usuarios, incluidos los dispositivos móviles: 52%

Los entornos en la nube son una fuente importante de alertas en basic. El setenta y cinco por ciento de los encuestados dijo que las infraestructuras en la nube generan más alertas de seguridad que los entornos locales.

Para hacer frente a este diluvio de alertas, los equipos de seguridad están utilizando la automatización, pero la mayoría se encuentra en las primeras etapas del proceso. El sesenta y cinco por ciento de las empresas solo ha automatizado parcialmente el procesamiento de alertas de seguridad, mientras que solo el 5% no ha implementado ninguna automatización del flujo de trabajo de alertas. Las empresas más avanzadas en el camino de la automatización son más capaces de abordar las alertas de seguridad el mismo día en que ocurren en comparación con las empresas que están parcialmente automatizadas. El sesenta y cinco por ciento de las compañías altamente automatizadas dijeron que pudieron responder a todas o la mayoría de las alertas el mismo día en que fueron recibidas, mientras que solo el 34% de las compañías automáticas parciales o no pudieron responder tan rápido.

El setenta y cinco por ciento de los encuestados dijeron que tendrían que contratar entre tres y más de 10 analistas adicionales para abordar todas las alertas de seguridad el mismo día en que se reciben.

La encuesta también preguntó a los profesionales de seguridad sobre cómo funcionan las soluciones existentes de gestión de incidentes y eventos de seguridad (SIEM). Los encuestados dijeron que las principales frustraciones con las soluciones SIEM existentes son:

  • El alto número de alertas: 43%
  • La complejidad de la operación: 40%
  • No hay suficiente contexto para las investigaciones de amenazas: 37%
  • Falta de visibilidad de amenazas en entornos locales y en la nube: 33%

Además, las empresas que utilizan diferentes soluciones SIEM para plataformas en la nube y redes locales tienen más probabilidades de informar una falta de visibilidad de amenazas en ambos entornos. El ochenta y cuatro por ciento de los encuestados dijo que una plataforma SIEM nativa de la nube ayudaría con este problema.

Los miembros del equipo de seguridad enumeraron el triaje de alertas automatizado con información procesable y contenido listo para usar para obtener un valor rápido como las dos nuevas características que ayudarían más con la gestión de alertas.

Metodología

Dimensional Investigate envió esta encuesta a una foundation de datos independiente de profesionales de seguridad de TI, y 427 personas completaron la encuesta. Todos los participantes tenían la responsabilidad directa de las operaciones de seguridad en una organización con una inversión significativa en una nube pública y al menos 1,000 empleados. Los participantes incluyeron una combinación de niveles de trabajo, regiones, tamaños de empresas e industrias.

Ver también



Enlace a la noticia first