En el mundo moderno altamente conectado, los equipos de operaciones de seguridad (SECOPS) pueden verse como la primera línea de defensa contra una marea cada vez más amplia de amenazas cibernéticas sofisticadas. Los enfoques que funcionaron bien en organizaciones más pequeñas o cuando se trata de amenazas simplistas ya no son suficientes a medida que las organizaciones crecen en tamaño y complejidad y los atacantes se vuelven más sofisticados. El resultado es que muchos equipos de seguridad están abrumados con alertas, con poco personal y en un modo constante de extinción de incendios. El resultado? El agotamiento de las operaciones y la fatiga operativa que no solo dañan a los empleados, sino que también aumentan el riesgo organizacional. Los líderes no pueden simplemente cambiar su enfoque y continuar escala y manteniendo las operaciones de seguridad; Necesitan una nueva forma de pensar en la estrategia de seguridad no como una solución temporal de cinta adhesiva, sino como un sistema dinámico que está vinculado al negocio. Por qué el agotamiento es un agotamiento del riesgo de seguridad no es solo un problema de recursos humanos, sino también un problema de seguridad. Es menos probable que un analista quemado note alertas importantes o configure sistemas de manera incorrecta, o renuncie por completo, tomando experiencia y conocimiento con él/ella. Una encuesta reciente (ISC) 2 Need reveló que más de la mitad de los profesionales de la seguridad han pensado en dejar sus trabajos en 2023 debido al estrés. Cuando lo hacen, puede costar más de seis cifras reemplazar incluso al personal calificado y, a menudo, puede tardar meses en reemplazarse. Ejemplo del mundo real: uno de esos ataques le ocurrió a un proveedor de atención médica de tamaño mediano en 2022, ya que su equipo de SecOPS pasó por alto una bandera roja en una vulnerabilidad en una puerta de enlace VPN. ¿Por qué? Con solo 6 analistas en los que estaban trabajando más de 10,000 alertas al día. El grupo estuvo en turnos de 12 horas operando durante semanas y finalmente, ganaron un punto ciego de fatiga de alerta. El costo de remediación para la organización y las multas regulatorias debido a ese parche único que se perdió se encontró con millones. El dilema de escala: por qué agregar más personas no es la respuesta La respuesta de muchas organizaciones a la creciente amenaza es agregar más analistas y este enfoque pronto alcanza los rendimientos decrecientes. Esto no es sostenible debido a la escasez de talento cibernético y cuando es posible contratar el proceso de incorporación lleva meses. Mientras tanto, los atacantes operan en horas, y no en cuartos. En lugar de escalar las operaciones de seguridad haciendo más, significa escalar procesos, tecnología y equipos haciéndolos más inteligentes, no solo más grandes. Las siguientes son cuatro estrategias para lograr esto. 1. Automatice donde duele la mayoría de la automatización no se trata de reemplazar a las personas. Pero sobre liberarlos de hacer cosas no valoras, cosas repetitivas. La implementación de soluciones de orquestación de seguridad, automatización y respuesta (SOAR) puede disminuir el manual manual, como el triaje de phishing o el desarrollo del usuario al automatizar las acciones y proporcionar más tiempo para tareas de seguridad basadas en habilidades, como la investigación de amenazas y la respuesta a incidentes. Ejemplo del mundo real: una cadena minorista internacional utilizó una alerta de phishing automatizada para responder a los incidentes. Antes de la automatización, los analistas tuvieron que validar manualmente cada correo electrónico sospechoso que tome un promedio de 20 minutos por caso. A medida que la automatización realizó los controles de primer nivel, el equipo disminuyó el triaje en un 90% dejando a los analistas el tiempo suficiente para trabajar en amenazas avanzadas y caza de amenazas. Pensamiento de liderazgo: la automatización no puede ser informal. Los errores automatizados a escala se pueden aumentar considerablemente, en lugar de optimizar, a través de la automatización ciega. Los puntos débiles dignos de automatización son tareas que son frecuentes, bien definidas y basadas en reglas, y los líderes deben usarlos como punto de partida. 2. Abrace la operacionalización de la inteligencia de amenazas La mayoría de las organizaciones tienen varias suscripciones de alimentación de amenazas, pero no las están incorporando a sus procesos cotidianos. Secops escalables significa operacionalizar el contexto de la inteligencia de amenazas a las alertas, priorizar las amenazas que son pertinentes para su negocio y alimentarlas en los libros de jugadas de detección y respuesta. Cuando los analistas tienen contexto a su alcance, evitan «alertar la persecución» y se centran en los riesgos reales. 3. Diseño para la elasticidad con servicios administrados, no todas las capacidades de seguridad tienen que residir internamente. Los sistemas híbridos que aprovechan la detección y la respuesta administradas (MDR) o los proveedores de seguridad nativos de la nube permiten a los equipos escalar en tiempos de alta alerta sin tener que exagerar. Ejemplo del mundo real: MDR se asocia en las herramientas y servicios administrados por crisis de vulnerabilidad log4j involucrados en la validación de parches y las actividades de escaneo de puntos finales en miles de dispositivos. Esta solución de goma fue útil cuando no abrumó a sus equipos internos con la pesada carga de un ataque mundial de día cero. Pensamiento de liderazgo de pensamiento: los servicios administrados no son externalizados de responsabilidad, se trata de adiciones intermitentes de capacidad sin pérdida de control. El modelo correcto es una combinación de experiencia externa con control interno a stand-up. 4. Construya una cultura de procedimientos de habilitación continua y las herramientas son importantes, pero el motor de escala real es el humano. Es completamente posible invertir en capacitación continua, simulación de amenazas y programas de salud mental para mantener a los equipos alertas y motivadas. Gire roles para evitar la monotonía. Realice ejercicios de equipo morado para el aprendizaje colaborativo. Proporcione tiempo estructurado para aumentar las herramientas de seguridad basadas en AI. Información de liderazgo de pensamiento: los equipos de seguridad de próxima generación no solo serán bomberos; Predecirán, prevenirán y se adaptarán. Esto necesita una cultura que recompensa la defensa proactiva, el intercambio de conocimientos, la innovación y no solo las tasas de cierre de boletos. Medir el éxito más allá de MTTR Hay una notable acumulación de medidas SecOPS que tienen un énfasis en el tiempo medio de detectar (MTTD) y tiempo medio de respuesta (MTTR). Aunque son importantes, no retratan la resiliencia del equipo. Considere agregar: la relación alerta al analista es la automatización minimizando el ruido? Tasa de giro del analista: ¿alguien renuncia? Cobertura del libro de jugadas: ¿el número de incidentes que se pueden administrar automáticos o semiautomáticos? Las métricas deben medir no solo la velocidad sino también la sostenibilidad. El futuro: Operaciones de seguridad nativas de AI El seguimiento es AI-Native SecOPS, en el que los modelos de aprendizaje automático pronostican ataques, detectan anomalías entre vectores e incluso protege automáticamente problemas menores. Pero la IA es un acelerador: los malos procesos con IA se romperán aún más rápido. Construya sobre bases sólidas y agregue inteligencia sobre él. Pensamiento final escalable sin Burn: no es cómo comprar el objeto más brillante en el mercado o cómo contratar para siempre. Es una cuestión de orquestación estratégica, una orquestación que implica una yuxtaposición de automatización, inteligencia y cultura, donde el efecto general puede aumentar el potencial del hombre y disminuir su carga cognitiva. Los ganadores de la organización como amenazas relacionadas con el ciber continúan adoptando nuevas formas no serán aquellos con el mayor número de personal comprometidos, sino aquellos que tienen las mejores mentes y las operaciones más viables.