Anteriormente, en nuestra serie de capítulos sobre la XDR, hablamos de cómo la XDR es una solución ciberresistente que puede adaptarse a los rápidos cambios del panorama de las amenazas. En la tercera parte de esta serie, analizaremos cómo la sobresaturación de datos ha provocado más problemas, en lugar de soluciones. Para ayudar a clasificar y dar sentido a estos datos en elementos procesables, la capacidad de una XDR para ver, comprender y actuar es fundamental.
Más datos, más problemas
Si el conocimiento es poder, los datos son el rey. Prácticamente todas las decisiones que se toman a escala de una organización se basan, al menos en cierta medida, en los datos. Los necesitamos para impulsar nuestros modelos estadísticos, para probar hipótesis y para abrir nuevos caminos en la innovación. Sin embargo, los datos por sí solos pueden ser un arma poco manejable.
Los datos, el alma de la red y, por extensión, de la ciberseguridad, alimentan las distintas soluciones de seguridad, la inteligencia sobre amenazas y los SIEM que, en última instancia, generan los informes y las recomendaciones de los que dependen los analistas. Contraintuitivamente, los equipos de seguridad tienen un problema mayor al tratar con demasiados datos que con muy pocos por varias razones:
- Demasiados falsos positivos
- Parálisis del análisis
- Falta de profesionales cualificados en ciberseguridad
Demasiados falsos positivos
Los falsos positivos de las soluciones tradicionales de detección y respuesta (D&R) abruman a los equipos de seguridad. Estos métodos tradicionales no separan el ruido de los datos útiles y no disciernen entre las alertas prioritarias y las incidentales, debido en gran parte a la baja fidelidad de los datos recogidos por SIEM y la gestión centralizada de registros (CLM). La situación ha mantenido a los equipos de seguridad a la zaga, respondiendo reactivamente a las amenazas en lugar de prevenirlas proactivamente. Idealmente, las alertas de seguridad deberían orientar eficazmente a los equipos de seguridad hacia acciones preventivas o correctivas.
Parálisis del análisis
Los equipos de seguridad están atascados en el análisis de alertas benignas y sin consecuencias, lo que impide su capacidad para actuar sobre las alertas que suponen amenazas reales. En una encuesta realizada por Frost & Sullivan en junio de 2021, el 70% de las organizaciones encuestadas con más de 500 empleados en Estados Unidos y Singapur tenían tiempos medios de detección de más de una semana. En la misma encuesta, el 90% de los encuestados tenían tiempos medios para responder de más de un día.
Teniendo en cuenta que algunos de los ataques más dañinos que se dirigen a las organizaciones, como el uso indebido de privilegios y la intrusión en el sistema, son los que más tiempo tardan en detectarse, los daños pueden acumularse rápidamente.
Falta de profesionales de la ciberseguridad
La grave carencia de ciberseguridad disponible es el problema más flagrante al que se enfrentan todas las organizaciones hoy en día, y es un problema de larga duración que ha afectado significativamente a la ciberseguridad de las organizaciones en su conjunto.
Incluso con los mejores datos disponibles, las organizaciones tendrán dificultades para adelantarse a las amenazas si no disponen de suficiente personal para realizar las tareas necesarias para dirigir un centro de operaciones de seguridad eficaz. En consecuencia, los analistas llevan muchos sombreros y pueden llegar a sentirse abrumados e ineficaces. Los responsables de seguridad han encontrado formas de resolver el problema de los datos. De hecho, según la encuesta de Frost & Sullivan, el 43% de los encuestados afirmó que el objetivo principal de sus planes para desplegar la XDR es tratar mejor los crecientes volúmenes de datos. La detección y respuesta ampliada, o XDR, es una solución de ciberseguridad relativamente incipiente que toma las capacidades del SIEM y las eleva a un nivel superior.
La XDR puede hacer frente a la parálisis de los datos
Los pilares de la XDR son la D&R en capas cruzadas, la analítica habilitada por la IA y la automatización. La recopilación de datos de los entornos de TI y OT, su normalización y la posterior correlación cumplen estas funciones. A continuación, se combinan la postura de seguridad y el entorno de amenazas. La calidad de la información obtenida mejora con la aplicación de la analítica. Se reduce el ruido general y los conocimientos son inmediatamente procesables. La intervención humana en tareas repetitivas se elimina aprovechando la automatización, lo que da a los equipos de seguridad el ancho de banda para trabajar en tareas de más alto nivel y mitigar una de las responsabilidades de seguridad más graves.
¿Es la XDR adecuada para su organización?
La XDR debe aprovecharse junto con una estrategia de ciberseguridad adecuada y un conjunto apropiado de herramientas existentes para maximizar su utilidad. Las organizaciones que piensen en aprovechar sus puntos fuertes deberían primero auditar su postura de seguridad y determinar si se beneficiarían de una mejor gestión y análisis de los datos. Además, los pocos proveedores que actualmente ofrecen XDR al mercado tienen formas ligeramente diferentes de hacerlo. En el caso de Hillstone Networks, un proveedor líder en el espacio de la seguridad de la red, la empresa se ha basado en su considerable experiencia para ofrecer una visión altamente contextualizada y una visibilidad completa a través de su plataforma XDR altamente integrable y completa.
(1)La crisis de competencias en ciberseguridad continúa por quinto año, Parálisis del análisis
Los equipos de seguridad están atascados analizando alertas benignas y sin consecuencias, lo que impide su capacidad para actuar sobre las alertas que suponen amenazas reales. En una encuesta realizada por Frost & Sullivan en junio de 2021, el 70% de las organizaciones encuestadas con más de 500 empleados en Estados Unidos y Singapur tenían tiempos medios de detección de más de una semana. En la misma encuesta, el 90% de los encuestados tenían tiempos medios para responder de más de un día.
Teniendo en cuenta que algunos de los ataques más dañinos que se dirigen a las organizaciones, como el uso indebido de privilegios y la intrusión en el sistema, son los que más tiempo tardan en detectarse,# los daños pueden acumularse rápidamente.
Perpetuado por la falta de inversión empresarial, ISSA, 2021.
Para saber más sobre cómo la parálisis del análisis y la fatiga de las alertas han reforzado la tasa de adopción de la solución XDR, acceda al whitepaper completo aquí.