El panorama de la ciberseguridad está en constante evolución, y los centros de operaciones de seguridad (SOC) están sintiendo la presión de mantenerse por delante de los atacantes cada vez más sofisticados. Numerosos SOC luchan por mantener el ritmo del volumen de amenazas de seguridad, y solo continúan creciendo. Según un informe reciente, el 71% de los profesionales de SOC están preocupados por la falta de ataques reales enterrados bajo un inmenso número de alertas. Esto demuestra que las herramientas diseñadas para ayudar y detectar estas amenazas, a veces pueden abrumarlas en su lugar. Si bien la introducción de soluciones con IA ha provocado optimismo en algunos círculos, muchos profesionales de seguridad todavía están atascados con una sobrecarga de herramientas, fatiga alerta y desconfianza del proveedor. Entonces, ¿qué se puede hacer para reducir la carga y garantizar que los equipos se centren en ataques reales en lugar de perderse en el ruido? Los mayores desafíos de SOC: demasiadas herramientas, muy poco tiempo, los SOC hoy enfrentan un gran dilema: más herramientas no necesariamente significan una mejor seguridad. Se informa que el 71% de los equipos de SOC tienen más de 10 herramientas en su lugar, mientras que el 45% depende de más de 20 herramientas para la detección y respuesta de amenazas. A pesar de esto, muchos sienten que su postura de seguridad no ha mejorado proporcionalmente. El problema principal no es necesariamente la cantidad de herramientas, sino la naturaleza desarticulada de estas soluciones. Muchas de estas herramientas operan en silos, lo que requiere que los equipos de SOC pasen un tiempo valioso saltando entre interfaces e interpretando diferentes conjuntos de datos. Esta fragmentación no solo aumenta la carga de trabajo, sino que también contribuye a alertar el ruido, una fuente importante de frustración para los profesionales. De hecho, los equipos de SOC reciben un promedio de 3,832 alertas por día, pero comprensiblemente, el 62% de esas alertas se ignoran debido al gran volumen. Casi la mitad de los profesionales de SOC creen que las herramientas en las que confían pueden ser más un obstáculo que una ayuda para detectar ataques reales. AI y automatización: más que un rayo de esperanza en medio de estos desafíos, muchos equipos de SOC buscan cada vez más herramientas con AI para obtener ayuda. De hecho, el 75% de los profesionales dicen que la IA ha reducido su carga de trabajo durante el año pasado, y el 89% planea usar más herramientas de IA en el próximo año. El potencial de la IA radica en su capacidad para reducir el ruido al proporcionar una señal de ataque precisa: los equipos de SOC que se identifican y priorizan ataques reales. Esto es particularmente importante dado que los equipos de SOC están lidiando con miles de alertas sobre posibles eventos de amenazas todos los días. Sin embargo, mientras la adopción de IA está en aumento, todavía hay optimismo cauteloso dentro de la industria. Casi el 46% de los profesionales se preocupan de que agregar más herramientas de IA pueda crear más trabajo, destacando la necesidad de que los proveedores demuestren y prueben un valor real. Los profesionales de seguridad no necesitan más herramientas; Necesitan una mejor señal: señal que opera el flujo de trabajo, en lugar de complicarlo. Responsabilidad del proveedor: tiempo para un enfoque de asociación Una parte significativa de la frustración entre el SOC está dirigida a los proveedores de seguridad. Los profesionales de la seguridad creen que los proveedores no se responsabilizan por las limitaciones de sus herramientas. Específicamente, el 62% de los encuestados creen que los proveedores los inundan con alertas inútiles para evitar la responsabilidad en caso de violación, alegando que hicieron su parte para detectar y alertar. Para que los equipos de SOC realmente tengan éxito, necesitan soluciones que prioricen la claridad de la señal de ataque sobre la cantidad de detección de amenazas. Los proveedores deben avanzar en el plato y ofrecer herramientas que se centren en ofrecer inteligencia de señal de ataque significativa y procesable en lugar de equipos abrumadores con alertas excesivas. El objetivo final del SOC es ver y detener los ataques, simplemente detectar y alertar sobre miles de amenazas potenciales dificulta el objetivo. El camino a seguir para SOC se encuentra en la integración y la consolidación. Alejarse de las herramientas de detección y respuesta aisladas hacia una plataforma integrada de detección y respuesta especialmente diseñada es un enfoque. Las soluciones de detección y respuesta extendida (XDR), que combinan datos de varias fuentes en una señal de ataque integrada, son una forma de agilizar las operaciones y reducir la fatiga alerta. Además, la IA es una pieza crítica del rompecabezas, pero no debe verse como una bala de plata. En cambio, debe implementarse estratégicamente, con un enfoque en mejorar la eficiencia y la eficacia de SOC. A medida que la IA se vuelve más frecuente, es esencial que los equipos de SOC entiendan lo que realmente hace la IA, con métricas reales que demuestran lo que significa para su estrategia general. A medida que el panorama de amenazas continúa evolucionando, los equipos de SOC deben aprender a navegar por su expansión y exigir más responsabilidad de sus proveedores. Acerca del autor Mark Wojtasiak es vicepresidente de investigación y estrategia en Vectra AI. A Mark le apasiona la investigación y la estrategia de seguridad, con 27 años de experiencia en TI. Se le puede comunicar en línea en LinkedIn, X y en el sitio web de nuestra empresa https://www.vectra.ai/. URL de publicación original: https://www.cyberdefensemagazine.com/empowering-the-soc-stop-stop-detecting-potential-threats-start-signaling-real-attacks/
Etiqueta: Revista CyberDefense
Las identidades digitales continúan proliferando en todas las organizaciones modernas y son un objetivo significativo para los malos actores. Las identidades robadas y las credenciales de acceso privilegiadas representan la mayoría de las violaciones de datos. De hecho, las identidades y los sistemas que los administran a menudo se encuentran entre las primeras áreas donde se realizan intentos de violación. La gestión del creciente número de identidades es cada vez más complejo, en parte debido a las diferentes soluciones de gestión de acceso de identidad (IAM) que la mayoría de las organizaciones tienen hoy en día. Las soluciones tradicionales que comprenden la gestión de la identidad incluyen todo, desde Gobernanza y Administración de Identidad (IGA) hasta la gestión de acceso privilegiado (PAM), Active Directory como un servicio (ADAA) y un único inicio de sesión (SSO). Estos tienden a estar aislados y no permiten a las organizaciones priorizar la gestión de la identidad en función del riesgo. La aplicación de análisis a la actividad de todas estas soluciones para cerrar la brecha entre soluciones dispares reducirá el riesgo y mejorará los controles para todas las soluciones. Hacerlo mejorará la postura de seguridad de identidad, pero requiere un enfoque innovador para la gestión de la identidad con una mentalidad de riesgo y un análisis de superposición rica para informarla. Desafíos con el enfoque heredado de la gestión de la identidad Según el informe de Investigaciones de violaciones de datos de Verizon, el 68% de las infracciones involucran un elemento humano no malicioso, como una persona que es víctima de un ataque de ingeniería social o comete un error. Métodos como el compromiso de la cuenta, la ingeniería social, el phishing y las credenciales robadas suelen ser los primeros pasos en cualquier cadena de ataque. La seguridad de la identidad es esencial; La reducción del riesgo de estos eventos disminuye sus posibilidades de incumplimiento (con prevención, predicción, detección y respuesta) y las repercusiones de costos de una violación, que están aumentando. El costo de IBM de un informe de violación de datos encontró que el costo global de una violación de datos se elevó a $ 4.88 millones en 2024, un aumento del 10% respecto al año anterior. Es difícil gestionar esta función sin una forma efectiva de integrar los aspectos separados y la telemetría de la gestión de identidad y acceso. La forma en que una superposición de análisis de identidad puede ayudar a un enfoque de gestión de identidad basado en el riesgo tiene como objetivo proteger las identidades y sistemas de los usuarios de las amenazas de ciberseguridad, combinando las mejores prácticas, herramientas y procesos para encontrar y mitigar las amenazas basadas en la identidad. El uso de Identity Analytics proporciona una nueva capacidad de vanguardia para unir todo esto. Es un enfoque basado en el riesgo y basado en el valor que aprovecha las últimas tecnologías para agregar o conectar los puntos con cuentas de identidad y acceder a los derechos a un nivel granular. Un enfoque holístico como este ayuda con la optimización de costos. La combinación de todos estos elementos le permite obtener una vista general de 360 grados que muestra quién tiene acceso a qué. Esto crea un retorno de la inversión (ROI) de múltiples maneras. Primero, este enfoque le permite ver qué no se está utilizando, pero por el cual está pagando los costos de licencia de software. Esto ayuda a reducir los costos de identidad innecesarios. En segundo lugar, este enfoque hace que el proceso de cumplir con los requisitos de cumplimiento sea más eficiente. Por ejemplo, muchas grandes empresas se someten al proceso de certificación Sarbanes-Oxley (SOX) 404. Reciben un informe trimestral que enumera todo el acceso que las personas tienen y deben certificarlo. Estos derechos pueden ser muy crípticos, y hay mucho estampado de goma sin comprender lo que está detrás del acceso en esa lista. Eso es un gasto derrochador en recursos que podrían centrarse en iniciativas más estratégicas. Identity Analytics puede brindar a las organizaciones basadas en el riesgo y a la certificación de IA/ML, lo que le dice a un propietario de un negocio cuándo alguien en un grupo de pares tiene acceso inusual. Puede revocar este acceso o tener un rastro de papel sólido de roca de una excepción aprobada. El ROI masivo es posible aquí, ya que puede reducir el tiempo que lleva el cumplimiento, mejorar el cumplimiento y posiblemente incluso reducir las multas. Otra área potencial para el costo y el ahorro de tiempo es el aprovisionamiento. Con un enfoque de análisis de identidad, el proceso de certificación de acceso se simplifica y se acumula utilizando el aprendizaje automático y la automatización incluso antes de que comience el proceso de aprovisionamiento. En muchas empresas, cuando una nueva persona se encuentra a bordo, su gerente solicita el mismo acceso que su predecesor tenía. Eso puede parecer sensato, pero el nuevo empleado puede no necesitar los mismos permisos y acceso, lo que significa que su equipo pasará un tiempo y recursos valiosos otorgando acceso extraño. Muchas compañías no utilizan la automatización para este proceso, por lo que puede tomar hasta un mes o más para aprovechar completamente a alguien. Eso funciona con mucho tiempo perdido. Un mejor enfoque es limitar inicialmente y reducir el acceso demasiado privilegiado para que coincida con el grupo de pares y luego solo asignar privilegios adicionales por razones específicas y documentadas. Una solución de análisis de identidad puede ayudar con esto; Esto no solo reduce la superficie del ataque de identidad, sino que también evita los costos de licencia innecesaria. Identity Analytics tiene sentido comercial en el panorama digital actual, las identidades son proliferantes como nunca antes. Todas estas identidades deben ser administradas adecuadamente, o se convierten en grandes riesgos de seguridad. La gestión de identidad adecuada puede ayudar a reducir los riesgos de seguridad y ahorrar dinero. Identity Analytics representa un nuevo enfoque para la gestión de identidad basada en el riesgo que reduce la complejidad, la superficie de ataque y los gastos al tiempo que mejora la seguridad y la protección de los datos confidenciales. Acerca del autor Chris Scheels es vicepresidente de marketing de productos en Gurucul. Chris ha estado alineando personas, procesos y tecnología para impulsar a las empresas hacia adelante durante más de 20 años. Tiene una década de experiencia en ciberseguridad en marketing de productos y gestión de productos. Su pasión es ayudar a las empresas a tener éxito a través del uso estratégico de la tecnología. Más recientemente, estaba ayudando a los clientes a acelerar su viaje de Zero Trust en AppGate, Inc. Sus antecedentes también incluyen experiencia en operaciones, ventas y desarrollo de nuevos negocios. Se puede contactar a Chris en https://www.linkedin.com/in/scheeler/ URL de publicación original: https://www.cyberdefensemagazine.com/the-power-of-identity-analyticic-to-transform-your-idmanagement/