Olivier Le Moal - stock.adobe.co
Cómo abordar y prevenir la fatiga de alertas de seguridad
La afluencia de falsos positivos en las alertas de seguridad puede llevar a los profesionales de la seguridad informática a pasar por alto las amenazas reales. Aprenda a evitar la fatiga de alertas de seguridad y a evitar sus posibles consecuencias.
La mayoría de las organizaciones cuentan con una serie de medidas de ciberseguridad defensivas, como firewalls, sistemas de detección y prevención de intrusiones, antivirus y otras herramientas de seguridad para puntos finales que registran, analizan e informan sobre miles de eventos cada hora. Aunque son esenciales para detectar y prevenir las amenazas, estos productos dan lugar a una avalancha incesante de alertas que los equipos de seguridad deben priorizar e investigar para discernir si las amenazas son graves.
Cada alerta requiere una cantidad significativa de recursos humanos cualificados que, para la mayoría de los equipos de seguridad, son escasos. Esto hace que los encargados de este trabajo estén sobrecargados y que las verdaderas alertas de ataque se pierdan entre el ruido de los falsos positivos.
El problema de la fatiga de las alertas de seguridad
Casi la mitad de los encuestados en un estudio de Critical Start señalaron que el 50 % de las alertas o más son falsos positivos. Para hacer frente a esta fatiga de alertas, el 57 % de los encuestados dijo que ajustan características o umbrales de alerta específicos para reducir el volumen de alertas, mientras que otro 39 % simplemente ignora ciertas categorías de alertas.
Estos dos enfoques pueden tener consecuencias desastrosas. Un ejemplo notable de lo que ocurre cuando se ignoran las alertas es la violación de datos de Target de 2013, en la que se robaron 40 millones de registros de tarjetas. A pesar de las numerosas alertas que advertían del desarrollo del ataque, Target no reaccionó a tiempo porque alertas similares eran habituales y el equipo de seguridad las clasificó incorrectamente como falsos positivos.
A medida que los datos y las infraestructuras informáticas de las organizaciones se extienden por la nube, el número de alertas no hará sino aumentar y agravar la situación. Es un problema difícil para los CISO. Estaría bien contratar más ayuda para analizar todas las alertas, pero esto no es una opción para la mayoría. La única opción plausible es reducir el número de alertas que sus equipos deben inspeccionar.
Cómo abordar y prevenir la fatiga de las alertas de seguridad
Los productos de seguridad que disparan miles de alertas diarias que nunca se investigan o se descartan casualmente como falsos positivos no aportan ningún valor a las operaciones de seguridad. Este escenario solo crea oportunidades para perder alertas importantes porque el personal no tiene suficiente tiempo para revisarlas.
Reducir el número de alertas disminuye la posibilidad de falsos positivos y mejora la precisión de las alertas: Todas las alertas que sí se generen contendrán información procesable para ayudar al equipo de seguridad a investigarlas, incluyendo detalles sobre la cadena de eventos que conducen a una alerta. Sin embargo, es muy difícil crear reglas que reduzcan los eventos anómalos y las amenazas a un número manejable de alertas, especialmente en los sistemas de seguridad que cubren todas las actividades de los usuarios.
Afortunadamente, las empresas pueden tomar algunas medidas para contrarrestar el diluvio de alertas. El uso del aprendizaje automático y de la IA se ha promocionado durante mucho tiempo como el futuro de la detección de patrones de comportamiento que se desvían de la norma, incluso de forma sutil. Sin embargo, hasta hace poco, estas tecnologías han tenido dificultades para frenar la oleada de alertas. Los productos disponibles hoy en día automatizan muchas tareas que antes se realizaban manualmente, elevando a los humanos solo las alertas procesables. La IA también puede aprender patrones de falsas alertas para ayudar a los administradores a ajustar mejor sus productos en el futuro.
También existen nuevos enfoques basados en la nube para ayudar a compensar la sobrecarga de alertas que se concentran en producir menos alertas –pero más significativas– basadas en su contexto.
Los servicios gestionados también pueden ser fundamentales para evitar la fatiga de las alertas y proporcionar un mayor contexto a las mismas. Critical Start, FireEye y Palo Alto Networks ofrecen servicios que priorizan y presentan una alerta contextualizada. Estas alertas incluyen detalles como la causa raíz, toda la cadena de ataque, las entidades implicadas y una evaluación de daños que incluye gráficos fáciles de digerir. Con la información sobre un problema potencial presentada en este formato, los analistas de seguridad pueden analizar y responder correctamente a las alertas.
Por supuesto, los equipos de seguridad no son los únicos que deben lidiar con las alertas de seguridad diarias. En un día normal, es probable que los empleados de todos los niveles reciban algún tipo de alerta para evitar abrir un archivo adjunto de correo electrónico sospechoso, para no hacer clic en un sitio web potencialmente malicioso o para no compartir sus contraseñas. Las defensas perimetrales deberían impedir que la mayor parte del tráfico entrante malicioso llegue a los usuarios finales, pero los empleados deben ser conscientes de la amenaza para no ser víctimas de las amenazas que consiguen eludir los mecanismos de seguridad. Los programas de concienciación sobre seguridad educan a los usuarios sobre cómo evaluar y utilizar la información recibida en las notificaciones de correo electrónico o de texto que reciben regularmente, y cómo evitar las amenazas maliciosas.
La fatiga de las alertas de seguridad es tan difícil porque la tecnología no puede eliminar por completo el error humano. Pero eliminar las alertas inútiles y hacer que las necesarias sean más significativas puede evitar que los equipos de seguridad se vean abrumados con alertas que finalmente se pasan por alto o se ignoran por completo.