COMENTARIO
Durante la mayor parte de mi carrera en ciberseguridad, he trabajado del lado del proveedor, como persona de preventa, ayudando a las empresas a identificar y resolver problemas de seguridad. Hoy, como ingeniero de seguridad de la información, estoy del otro lado, tratando con proveedores de seguridad. Un compromiso de ventas típico incluye preventa, prueba de concepto (PoC), integración y soporte. Si bien las PoC son útiles, la verdadera complejidad de un producto solo se comprende cuando el cliente está completamente integrado.
Aunque los clientes son responsables de la implementación precisa de los sistemas, los proveedores deben comprender que desempeñan un papel clave al guiarlos a través de los parámetros para garantizar un rendimiento óptimo y una reducción de costos. fatiga alerta.
Lograr el 100% de eficiencia siempre será un desafío continuo, pero fatiga alerta sigue siendo un problema importante. Los sistemas de seguridad modernos involucran múltiples componentes, cada uno de los cuales genera alertas que requieren la colaboración del equipo. Y a medida que se acumulan las alertas, la complejidad puede abrumar a los profesionales de la seguridad, permitiéndoles pasar por alto amenazas reales. Aquí es donde los proveedores deben intervenir.
La realidad de la fatiga de alerta
La fatiga por alertas no es nueva, pero el problema empeora a medida que las organizaciones adoptan soluciones de seguridad más complejas. Estas herramientas detectan cada posible anomalía, generando una avalancha de alertas, muchas de las cuales son de baja prioridad o son falsos positivos, enmascarando señales críticas.
Ante cientos de alertas diarias, los analistas pueden volverse insensibles, ignorando o retrasando alertas importantes, lo que lleva a vulnerabilidades de seguridad. Actualmente, los proveedores solo están afrontando una parte del desafío al ofrecer sistemas que pueden detectar todos los ataques posibles y solo están haciendo la mitad del trabajo. Sin embargo, estos productos por sí solos no ayudan a las empresas a gestionar eficazmente la avalancha de alertas, y a menudo requieren un proveedor de servicios de seguridad gestionados (MSSP) para cerrar la brecha. Pero necesitan hacer un mejor trabajo para ayudar a las empresas a gestionar la avalancha de información resultante.
Por qué los proveedores deben asumir la responsabilidad
Puede resultar tentador para los proveedores dejar la gestión de alertas en manos de los clientes, pero ellos crean la lógica subyacente que genera esas alertas y, por lo tanto, necesitan garantizar que sus herramientas permitan a los usuarios responder de manera efectiva en lugar de abrumarlos.
Así es como los proveedores deben tomar la iniciativa:
-
Filtrado inteligente y priorización: Los proveedores deben crear herramientas que prioricen las alertas de alto riesgo y al mismo tiempo eliminen el ruido mediante el aprendizaje automático y el análisis contextual. Esto reduce las notificaciones irrelevantes.
-
Automatización para reducir el trabajo manual: El volumen de alertas hace que la intervención manual sea poco práctica. Los proveedores deben proporcionar automatización integrada para las alertas de rutina, lo que permite a los ingenieros de seguridad centrarse en alertas críticas, como sumidero, limitación de velocidad, bloqueo de direcciones IP maliciosas o aislamiento de archivos sospechosos.
-
Alertas procesables con contexto: Los proveedores deben proporcionar datos significativos con cada alerta, contextualizarlos para el entorno del cliente y proporcionar pasos siguientes claros, permitiendo respuestas más rápidas y efectivas.
-
Compromiso y personalización continuos: Los proveedores deben mantenerse comprometidos con los clientes más allá de la configuración inicial, ayudándolos a adaptar los sistemas para satisfacer necesidades específicas. La optimización periódica reduce las alertas innecesarias y garantiza que se identifiquen las amenazas críticas.
-
Aprendizaje adaptativo basado en retroalimentación: Los proveedores deben ofrecer soluciones que evolucionen con ciclos de retroalimentación, aprendiendo de los comentarios de los clientes. Los falsos positivos o las avalanchas de alertas de baja prioridad deberían dar lugar a ajustes en el sistema, mejorando la precisión con el tiempo.
El costo de ignorar la fatiga de las alertas
Si los proveedores no abordan la fatiga de las alertas, los equipos de seguridad corren el riesgo de pasar por alto amenazas críticas, lo que provoca infracciones. El personal con exceso de trabajo puede agotarse, lo que aumenta la rotación. Para los proveedores, una gestión deficiente de las alertas puede erosionar la confianza de los clientes, generando insatisfacción y una posible pérdida de clientes.
Necesario: una asociación para tener éxito
La fatiga de alertas es un problema común, pero los proveedores desempeñan un papel clave para resolverlo. Al ofrecer sistemas más inteligentes y con mayor capacidad de respuesta, optimización continua y automatización contextual, los proveedores ayudan a los clientes a centrarse en lo más importante.
No se trata sólo de eficiencia, sino también de crear una asociación entre proveedores y clientes. Juntos, deben poder destacarse y aportar claridad en la lucha contra las amenazas cibernéticas modernas. Los proveedores deben asegurarse de que sus soluciones no sólo alerten, sino que también permitan a los usuarios tomar las mejores decisiones.
No te pierdas el próximo gratis Evento virtual de lectura oscura“Conozca a su enemigo: comprenda a los ciberdelincuentes y los actores estatales de amenazas”, 14 de noviembre a las 11 a. m., hora del Este. No te pierdas las sesiones sobre cómo entender MITRE ATT&CK, cómo utilizar la seguridad proactiva como arma y una clase magistral sobre respuesta a incidentes; y una gran cantidad de oradores de primer nivel como Larry Larsen de Navy Credit Federal Union, el ex analista de Kaspersky Lab Costin Raiu, Ben Read de Mandiant Intelligence, Rob Lee de SANS y Elvia Finalle de Omdia. Regístrate ahora!