En la última década, ha habido una desconexión cada vez mayor entre los analistas de primera línea y la alta dirección en TI y ciberseguridad. Los desafíos bien documentados que enfrentan los analistas modernos giran en torno a un gran volumen de alertas, falsos positivos, poca visibilidad de los entornos técnicos y que los analistas dedican demasiado tiempo a tareas manuales.
El impacto de la fatiga de alerta y los falsos positivos
Los analistas están abrumados con alertas. El efecto en cadena de esto es que los analistas fatigados corren el riesgo de perderse detalles clave en los incidentes y, a menudo, realizan tareas de clasificación manuales que consumen mucho tiempo solo para terminar copiando y pegando un comentario de cierre genérico en una alerta de falso positivo.
Es probable que siempre haya falsos positivos. Y muchos dirían que un falso positivo es mejor que un falso negativo. Pero para que se puedan tomar medidas proactivas, debemos acercarnos al centro del incidente. Eso requiere profundizar en cómo los analistas llevan a cabo el proceso de clasificación e investigación.
Plataforma de respuesta SHQ para clasificación e investigación
Un proceso de clasificación típico suele ser manual y aprovecha a los analistas para realizar búsquedas de registros individuales en busca de información contextual. A partir de esta información, comienzan a reconstruir una historia de lo ocurrido y proporcionan una idea de la escala de riesgo general.
El Plataforma de respuesta SHQ utiliza Inteligencia Artificial (IA) para la correlación de registros, extrayendo información de diferentes fuentes y visualizándola en una sola página de incidente. A partir de esto, los datos críticos se presentan en una línea de tiempo clara y los artefactos se actualizan en el portal automáticamente.
Al tener los datos más importantes presentados en un solo lugar, un analista investigador puede eliminar el ruido y permanecer en una interfaz. Ya no necesitan alternar entre múltiples fuentes de registros ni realizar búsquedas SIEM manuales para recopilar los registros relevantes y luego comprender la historia de un incidente de seguridad.
 |
| Figura 1: Gráfico de incidentes, Plataforma de respuesta SHQ ©2024 SecurityHQ |
La función de línea de tiempo también permite a un analista investigar la lógica detrás de una alerta o desencadenante de un caso de uso. Esto se muestra con los indicadores de compromiso (IoC) relevantes, que se pueden bloquear automáticamente utilizando herramientas integradas de back-end.
Plataforma de respuesta a incidentes para partes interesadas de alto nivel
Los analistas abrumados y abrumados por los falsos positivos es algo endémico. El jefe de operaciones globales de SOC en SecurityHQ, Deodatta Wandhekar, lo expresó mejor al explicar que:
Hay que considerar cómo cerrar esta brecha, con un enfoque claro en los objetivos comerciales y el apetito por el riesgo, manteniendo al mismo tiempo un nivel de detalle técnico.
Registro de riesgos para colaboración y estrategia
SecurityHQ integrado Registro de riesgo permite a analistas y líderes empresariales trabajar juntos para impulsar actividades de mitigación, utilizando la perspicacia técnica del personal operativo para informar decisiones comerciales estratégicas.
Esto permite a los analistas desempeñar un papel en la dirección de un programa de ciberseguridad. Al tener un nivel de propiedad técnica, se fomenta un enfoque más colaborativo entre los analistas operativos y el personal directivo. También permite a los analistas que alguna vez estuvieron sobrecargados de trabajo ver claramente los frutos de su trabajo reflejados en prácticas comerciales más amplias.
Próximos pasos
SeguridadHQ Como socio consultor y como propietario de dicha plataforma, contribuye a desarrollar una mejor relación entre la gerencia y los analistas al proporcionar un registro de riesgos intuitivo y amigable para los ejecutivos.
A partir de aquí, centrarse en enfoques proactivos y hojas de ruta en lugar de simplemente «extinguir incendios» y cerrar incidentes dentro de un Acuerdo de Nivel de Servicio (SLA) crea la oportunidad de lograr un cambio significativo en una empresa.
Para más información, Habla con un experto aquí. Si sospecha de un incidente de seguridad, reportar un incidente aquí.
Nota: Este artículo fue escrito por Tim Chambers, gerente senior de seguridad cibernética de SecurityHQ.
