esenfrdeitptru

El problema de la fatiga y el agotamiento por las alertas de las múltiples herramientas de seguridad en la nube

AS-022-2022

Fecha: 21/Mar/2022

Resumen:

Orca Security publicó un informe de una investigación sobre la fatiga por las alertas de seguridad en la nube pública . La encuesta, realizada entre más de 800 profesionales de TI en cinco países y diez industrias, encontró que el 55 % de los encuestados usa tres o más proveedores de nube y el 57 % tiene cinco o más herramientas de seguridad en la nube .

La introducción de la supervisión de registros (por ejemplo, SIEM), firewall y tecnologías AV hace más de dos décadas proporcionó herramientas valiosas para que los equipos de TI fueran alertados sobre comportamientos de red sospechosos conocidos. Sin embargo, a medida que pasa el tiempo y la transformación digital está en un nivel récord. Las tecnologías subyacentes que respaldan a los equipos de seguridad en su operación diaria no han cambiado.

Ahora es más difícil distinguir entre el comportamiento benigno y malicioso, ya que los ataques se han vuelto más sofisticados, a menudo utilizan conjuntos de herramientas legítimas del sistema operativo, y son más difíciles de detectar entre el comportamiento regular de la red. El problema no es que todo comportamiento sospechoso sea un comportamiento malicioso, ni mucho menos. Como resultado, lo que se suponía que debía proporcionar una visión útil de la actividad de la red se ha convertido en la pesadilla de muchos profesionales de la seguridad.

Resultados clave.

El número de alertas de seguridad en la nube y los falsos positivos sigue aumentando.

  • De los encuestados, el 59% dice que recibe más de 500 alertas de seguridad en la nube por día. Casi el 40% recibe más de 1.000 alertas al día.
  • Diariamente, el 79% tiene abiertas más de 500 alertas de seguridad en la nube.
  • El 81% de los encuestados dice que más del 20% de las alertas son falsos positivos.

Los equipos de seguridad pierden el tiempo, se vuelven insensibles por las alertas de falsos positivos y experimentan fricción y agotamiento organizacional.

Cuantas más herramientas de seguridad, mayor tasa de falsos positivos y fatiga por las alertas.

  • Según el informe, más del 57 % de los encuestados tiene cinco o más herramientas de seguridad en la nube pública.
  • Aquellos con 10 o más herramientas de seguridad en la nube tienen un 67 % más de probabilidades de recibir más de 1000 alertas por día que aquellos con 5 o menos herramientas.
  • Más del 50 % de los profesionales de la seguridad con al menos 10 herramientas en sus entornos de nube reciben un 40 % o más de alertas de falsos positivos.
  • Casi el 70 % de los equipos de seguridad con más de 10 herramientas sufren fatiga de alertas en comparación con el 57 % de los equipos con menos de 5 herramientas.

Recomendaciones:

Considerar lo siguiente:

  • Vulnerabilidades importantes: la mayoría de los sistemas heredados son buenos para encontrar vulnerabilidades, pero eso es todo. Ningún equipo de seguridad quiere más vulnerabilidades. Lo que sí quieren es el contexto y el riesgo  asociado con las vulnerabilidades más críticas. Esto incluye las vulnerabilidades más riesgosas basadas en la explotabilidad, el posible riesgo y el impacto en la organización y la operación del negocio.
  • Validación ética: la única forma de saber realmente qué vulnerabilidades priorizar es emular las tácticas y técnicas reales que los atacantes del mundo real utilizan para explotar su red. Los sistemas heredados carecen de la capacidad de realizar reconocimientos, olfatear, falsificar, descifrar, inyectar malware de forma inofensiva, moverse lateralmente y escalar privilegios, y exfiltrar datos. Al exponer las redes a acciones adversarias reales, los equipos obtienen una vista completa de la operación de ataque para proporcionar una verdadera evaluación de su resistencia contra los ataques.
  • Volver a probar las capacidades: con la evaluación de vulnerabilidades heredadas, los equipos de TI a menudo tienen dificultades para comprender si los cambios que han realizado han mejorado la seguridad o causado daños colaterales a la red. Con una herramienta de validación de seguridad, los equipos de seguridad pueden volver a probar su entorno inmediatamente y compararlo con la línea de base para garantizar una protección completa.
  • Eficacia de los controles de seguridad: una vez más, la vulnerabilidad como objetivo se queda corta, lo que deja a los equipos de seguridad con las manos vacías para tomar una acción con poca confianza para responder a la pregunta de la preparación contra un ataque. Con el cambio continuo en la infraestructura de TI y la evolución sofisticada del adversario, los controles de seguridad deben validarse para asegurarse de que funcionan según lo previsto y están configurados correctamente.

La validación de seguridad automatizada cambia el paradigma, y con eso el juego. Permitir que los equipos de seguridad se adelanten a la curva de vulnerabilidad centrándose en las vulnerabilidades que más importan puede exponer la verdadera causa raíz del problema. Esto les ayuda no solo a lidiar mejor con el ciclo continuo de parches por posible riesgo comercial, sino también a combatir la fatiga de la vulnerabilidad.

Referencias:

https://www.helpnetsecurity.com/2022/03/18/cloud-security-alert-fatigue/