El estado de alerta constante está llevando a los analistas de seguridad a otro estado: el de la fatiga generalizada, lo que resulta en alertas ignoradas, mayor estrés y miedo a soltar alertas que resultan en incidentes. El hallazgo se encuentra en el estudio “La voz de los analistas: mejora de los procesos del centro de operaciones de seguridad a través de tecnologías adaptadas”, desarrollado por IDC para FireEye y publicado hoy. La encuesta se realizó con 300 analistas y gerentes de seguridad usando sus propios recursos y servicios administrados, y encontró que los profesionales se están volviendo menos productivos debido a la fatiga de las alertas.
vea eso
La baja inversión ayudó a atacar el éxito en Brasil, muestra una investigación
Las alertas excesivas y la sobrecarga son causas de estrés en los profesionales
Los analistas de seguridad continúan sintiendo la presión del aumento de las alertas, y pasan casi la mitad del tiempo en falsos positivos:
- Los falsos positivos crean una “fatiga de alerta”: los encuestados indicaron que el 45% de las alertas son falsos positivos, lo que hace que el trabajo interno de los analistas sea menos eficiente y ralentiza el flujo de trabajo. Para gestionar la sobrecarga de alertas en SOC, el 35% del personal admite que ignora las alertas
- Los MSSP dedican aún más tiempo a examinar falsos positivos e ignoran más alertas: los analistas de MSSP han indicado que el 53% de las alertas que reciben son falsos positivos. Al mismo tiempo, el 44% de los analistas de proveedores de servicios gestionados dijeron que ignoran las alertas cuando la cola se llena mucho, lo que puede provocar una infracción que involucre a varios clientes.
El miedo a los incidentes perdidos (FOMI) está afectando a la mayoría de los analistas y gerentes de seguridad:
- A medida que los analistas enfrentan más desafíos para administrar las alertas manualmente, su preocupación por perder un incidente también aumenta: el 75% de los analistas están preocupados por perder incidentes; El 25% está “muy” preocupado por la pérdida de incidentes
- Este miedo afecta a los gerentes de seguridad incluso más que a sus analistas: más del 6% informó haber perdido el sueño por temor a perder incidentes
Los analistas piden soluciones SOC automatizadas para resolver FOMI
- Menos de la mitad de los equipos de seguridad corporativa utilizan herramientas para automatizar las actividades de SOC: solo el 43% utiliza tecnologías de inteligencia artificial y aprendizaje automático; El 46% utiliza Security Orchestration and Response Automation (SOAR), el 45% utiliza SIEM (software de gestión de eventos e información de seguridad), el 45% realiza búsquedas de amenazas y otras funciones de seguridad. Además, solo el 40% de los analistas utilizan tecnologías de inteligencia artificial y aprendizaje automático asociadas con otras herramientas.
- Para administrar los SOC, los equipos de seguridad necesitan soluciones automatizadas avanzadas para reducir la fatiga de las alertas y mejorar el éxito, centrándose en tareas más calificadas como la búsqueda de amenazas y las investigaciones cibernéticas: al clasificar las actividades más adecuadas para la automatización, la detección de amenazas fue la más alta (18 por ciento) en la lista de deseos de los analistas, seguida de inteligencia de amenazas (13 por ciento) y detección de incidentes (9 por ciento).
Con agencias internacionales
Fuente: https://www.cisoadvisor.com.br/alerta-causa-fadiga-e-queda-de-produtividade-de-equipes-no-soc/?rand=59052
