En el panorama en constante evolución de la ciberseguridad, los centros de operaciones de seguridad (SOC) desempeñan un papel vital en la detección y respuesta a los ataques en desarrollo, la búsqueda proactiva de amenazas, además del control de falsos positivos y el refuerzo de la postura general de seguridad de la empresa.
Las soluciones de ciberseguridad pueden generar falsos positivos, que son bien conocidos por los equipos SOC y son en parte responsables de la “fatiga de alertas”. Este fenómeno, surgido en los últimos años, se refiere a la acumulación de eventos de seguridad y “ruido” que un administrador tiene que gestionar a diario.
La fatiga de alerta se ha convertido en un problema generalizado dentro de los SOC. La incesante afluencia que varían de baja a alta gravedad, pero a menudo mal categorizadas, abruma a los analistas de seguridad y obstaculiza su capacidad para distinguir amenazas genuinas de falsas alarmas.
Causas de las alertas de falsos positivos:
La complejidad de los sistemas dificulta la definición de reglas con precisión, lo que lleva a buscar un equilibrio constante entre reglas más estrictas que detectan más amenazas y reglas más laxas que corren el riesgo de falsos negativos. La complejidad del sistema, los datos incompletos o inexactos y la evolución de las tácticas de los atacantes contribuyen a la dificultad de eliminar los falsos positivos.
¿Es mejor bloquear demasiado que demasiado poco?
Detrás de esta sugerencia se esconde el eterno debate en torno a los proyectos de seguridad e incluso a la integración de productos de seguridad en el día a día de los equipos. Después de todo, si un producto de seguridad bloquea “demasiado”, incluidos usos y programas legítimos, el riesgo es que la base de usuarios lo rechace. Los usuarios intentarán entonces evitar el uso de este producto de seguridad, o incluso desinstalarlo.
Las consecuencias de lidiar con falsos positivos incluyen fatiga de alertas, mayor carga de trabajo para los equipos de seguridad y el riesgo de pasar por alto amenazas reales. Se destaca el potencial de violaciones de datos, interrupciones comerciales, pérdidas financieras y daños a la reputación. La fatiga de alerta también contribuye al agotamiento y a la disminución de la moral entre los equipos de seguridad.
Las alertas mal filtradas y priorizadas pueden crear una falsa sensación de seguridad, y los equipos pueden creer que sus defensas son efectivas debido a un flujo constante de alertas activadas. Un filtrado y una priorización deficientes provocan el desperdicio de recursos y la pérdida de oportunidades de detección de amenazas, lo que dificulta la capacidad de responder rápidamente a amenazas reales.
CyberSOC Nova powered by CYREBRO crea sus propias reglas personalizadas y patentadas, en lugar de utilizar reglas genéricas listas para usar. Los algoritmos de detección y respuesta se crean en función de atributos específicos, no de sistemas específicos, por lo que CyberSOC Nova puede detectar una amplia gama de amenazas, cubriendo el panorama de ataques. Los atributos de detección se basan en el marco MITRE, los casos de respuesta a incidentes de CYREBRO y una investigación de amenazas.
Detección
Lógica de reglas
Se crean reglas para ingerir dos flujos de datos diferentes. Los primeros son eventos sin procesar que provienen de herramientas no relacionadas con la seguridad y activos críticos, y los segundos son alertas enviadas por herramientas de seguridad.
Monitoreo
El CyberSOC Nova tiene tres categorías de alertas:
Búsqueda de amenazas potenciales: alertas creadas para que el equipo de búsqueda de amenazas detecte amenazas de forma proactiva.
Alertas de alta fidelidad: alertas de alto riesgo y gravedad que desencadenan la investigación
Historial de ataques: una cadena de comportamiento generada mediante pistas de búsqueda y alertas de alta fidelidad.
Nuestro CyberSOC monitorea y responde a todos los tipos de alertas e historial de ataques. En lugar de intensificar cada alerta benigna, determina qué debe abordarse y cómo investigarlo, para no abrumar al equipo con el flujo interminable de alertas inofensivas.
CyberSOC Nova y matriz de ataque MITRE
Para cada evento, se identifica cuántas técnicas MITRE se pueden implementar y cuántas reglas se pueden crear para este tipo de fuente de datos. Se realizan este análisis para cada cliente, en cada una de sus fuentes de datos.
Nuestro CyberSOC ofrece una solución a través de su servicio de Managed Detection and Response (MDR), impulsado por tecnología patentada. El servicio MDR tiene como objetivo reducir los falsos positivos, aumentar la precisión de la detección de amenazas y dotar a los equipos de seguridad de inteligencia sobre amenazas, análisis avanzados y análisis de expertos relevantes.
La inevitabilidad de los falsos positivos en el cambiante panorama cibernético se vuelve poco alentador y genera muchas inquietudes a los usuarios. El servicio MDR, combinado con SIEM (Security Information and Event Management), se presenta como una solución para ayudar a los equipos de ciberseguridad a superar los desafíos que plantean los falsos positivos, garantizando una detección y respuesta eficiente a las amenazas.
Síguenos en nuestras redes Instagram, Facebook y LinkedIn, donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecemos.