Fatiga por alerta de seguridad y afinación para combatirlo

13Dic

Fatiga por alerta de seguridad y afinación para combatirlo

RedBorder, Sin categorizar

La fatiga por las alertas es un problema real en la seguridad de TI. Esto puede ocurrir en el peor momento, cuando los analistas verifican sus herramientas y ven otro evento, o incluso otros 50–100 eventos, después del que acaban de verificar. Hacen clic en los eventos en busca del motivo más mínimo que pueden encontrar para descartar el evento y no tener que escalar ni investigar más el problema.

Ya han pasado por esto antes, pueden ver dónde están los problemas reales y solo quieren deshacerse de estos eventos y continuar haciendo otro trabajo. Desafortunadamente, como muchos analistas saben, un evento de apariencia inocente podría ser la pista de algo más grave. Cada evento debe investigarse a fondo para asegurarse de que no haya evidencia de error.

Al pasar por alertas varias veces, el hecho de que puedan ser muy similares es una gran parte de la fatiga de las alertas. Otra parte de la causa son los falsos positivos. Los analistas pueden tener dificultades para mantener la vigilancia cuando la mayoría de los eventos por los que pasan son falsos positivos. Han surgido nuevas tecnologías que afirman que pueden reducir el número de falsos positivos. Si bien pueden, o no, ser efectivos para ingerir alertas e identificar verdaderos positivos, esto solo se suma a la carga de trabajo de los analistas, creando otra herramienta para iniciar sesión y recibir alertas.

En un artículo de Tripwire se describe la fatiga por alerta como una combinación de demasiados falsos positivos, así como una razón para aumentar la conciencia de seguridad de su organización. Otro artículo de CSO señala que hay un gran número de organizaciones se ocupan de demasiados falsos positivos que sobrecargan a sus analistas. ¿Estás de acuerdo? Veamos algunos pasos para poder combatirlo.

Afinación

Esto parece obvio, pero a menudo se pasa por alto. La afinación es una combinación de reducción de falsos positivos, trabajo con alertas y correlación de eventos y tendencias para garantizar una mayor precisión. Cada uno de éstos ayuda al analista a refinar las alertas que se están investigando. La afinación debe ser un enfoque equilibrado que reduzca la cantidad de eventos innecesarios recibidos y garantice que no haya puntos ciegos que un atacante pueda aprovechar para pasar desapercibido.

¿Qué alertas interesan?

Eliminar los ataques bloqueados ayuda al analista a prestar más atención a los posibles incidentes que no se detuvieron. Una vez hecho esto, el siguiente asunto de importancia es: ¿Qué alertas interesan? Para determinar esto se necesita un poco de investigación. Se debe determinar desde qué es lo que más lo afecta, hasta qué podría ser una amenaza pero que puede o no vale la pena investigar. Eso implica saber:

– donde se encuentra la información sensible

– cómo se puede acceder y cómo se debe acceder (dos cosas muy diferentes)

– quién tiene acceso

– qué tráfico es normal en la red

– qué debería estar en los puntos finales, (la línea de base de seguridad para los puntos finales)

– y muchas otras variables

Esta parte es, con mucho, la parte más larga del proceso de la afinación y no creas que la información sea estática. Una vez que hayas recopilado esta información, se deberá establecer políticas, estándares y procedimientos para cuando un departamento o proveedor cambie la forma en que interactúan con la red y los puntos finales. Sin embargo, se debe en cuenta que, incluso si se logra sacar esos estándares, lo más probable es que sea el último en saber qué cambios se realizaron y por qué. Ser adaptable al cambio es clave. Esta es la línea de base para la red.

La línea de base define lo que es “normal”

La línea de base nos da lo que es normal. Sin embargo, no se debería alertar sobre algo solo porque se desvía de la línea de base. Hay muchos eventos que crearán una desviación que no son de naturaleza maliciosa. El objetivo es crear alertas que sean maliciosas y estén provocando una desviación.

También es posible que se quiera limitar el enfoque a los ataques dirigidos. Un ejemplo de esto podría ser la actividad de escaneo. Si se están escaneando los puntos finales con un escáner de vulnerabilidades, se debe excluir de las alertas.

Panorama de amenazas

El desafío más difícil es determinar qué ataques externos se dirigen a una industria concreta, o incluso a la propia organización.

Para determinar qué alertas son valiosas es necesario saber qué vale la pena investigar. Para ello, se necesita saber cuál es el panorama de amenazas para en una industria y una organización específicamente. Una vez que se tenga esa información, se puede tener una buena orientación de qué se debe estar atento. Si se toma un propio panorama de amenazas y se aplica a la línea de base del “bien conocido”, se tendrá una mejor idea de qué alertas se necesita, qué alertas serían útiles y cómo configurar esas alertas para su organización. Esto, al igual que línea de base, no es un objetivo estático y debe mantenerse actualizado sobre nuevas amenazas e información. Una vez más, la adaptabilidad es clave para el éxito.

Afinar los falsos positivos

Bien, ahora que se tiene una lista de alertas que el analista comprobará y observará en busca de lo que importa a la organización. Sin embargo, aún no se ha terminado. Se deberá afinar la tecnología para detectar falsos positivos, adaptarse a los cambios en la red y mantenerse al tanto del panorama de amenazas en constante cambio. Los analistas son una gran fuente de información en esto. Ellos pueden decir qué fue lo que desencadenó ese nuevo falso positivo, cuál podría ser la nueva tendencia que están viendo, etc. Pero recuerda que cuando se reduce un falso positivo se debe asegurar de que solo se eliminen los falsos positivos. Si afina demasiado en un sentido, se puede estar creando un punto ciego.

Una vez que se tengan las alertas donde se desea, y los analistas tengan una cantidad estable (pero no abrumadora) de alertas, es posible que se quiera comenzar a buscar oportunidades para ver cómo ampliar la red y echar un vistazo a qué más podría ser útil mirar. Es recomendable no sobrecargar a los analistas.

Una buena orientación es implementar nuevas alertas en un entorno de pruebas mientras se asegura de que es el usuario el único que supervisa la nueva alerta. De esa manera, se puede ajustar la regla antes de comenzar a actuar sobre ella. Hacerlo de esta manera puede ayudar a garantizar que se entregue una regla en la que se pueda confiar de inmediato. Se debe tener en cuenta que el objetivo de la optimización es proteger la organización. Esto solo se puede lograr cuando las alertas se pueden investigar de manera oportuna y los analistas puedan revisar los eventos sin dudar de la validez de las alertas o sentirse abrumados por el volumen de alertas.

Soporte de gestión para analistas de seguridad

¿Qué pasa si ya se tiene una lista de alertas que están viendo los analistas? Bueno, el mejor enfoque es asegurarse de que tiene la aprobación de la administración para implementar un plan de acción para revisar y reemplazar las alertas existentes utilizando el proceso anterior.

Eso ayudará a largo plazo, pero puede haber problemas con esto. La administración puede requerir que se examinen ciertas cosas debido a problemas históricos. Es posible que se quieran configurar alertas para circunstancias específicas. Como la mayoría sabe, nada puede suceder de la manera ideal. Sin embargo, si se trabaja junto con la administración, podrá crear una lista de alertas y criterios que funcionarán en favor de todos.

El apoyo del equipo de gestión es importante. Estos son quienes sopesan los requisitos que se les han asignado con el riesgo asociado para determinar las mejores prácticas. Mejorar la visibilidad mientras se reduce el riesgo de fatiga por alerta es bueno para la organización y la administración. Como tal, no es difícil encontrar un terreno común y garantizará que no se pierdan objetivos durante el proceso de afinación.

Conclusión

Redborder, con el objetivo de proteger las organizaciones, asume un papel activo en la tecnología. Pero no debe olvidarse que es necesario habilitar a los analistas proporcionándoles alertas bien definidas. Esto aumentará las capacidades de la herramienta en protección y ayudará a prevenir la fatiga de las alertas.

Para una referencia fácil, aquí una lista de verificación fácil de revisar que lo ayudará en el proceso de afinación:

1 Verificar la cola de eventos por la que pasan los analistas cada día.

2 Eliminar los eventos que están bloqueados de la cola, pero analizarlos en busca de tendencias y posibles objetivos y debilidades dentro de la organización.

3 Determinar las líneas de base en la red y puntos finales.

4 Determinar el panorama de amenazas y alertas relevantes.

5 Trabajar con los analistas para descartar los falsos positivos.

6 Determinar qué nuevas alertas podrían proporcionar valor adicional a la organización e implementarlas solo una vez que estén ajustadas a un nivel apropiado.

7 Mantenerse alerta y repita los pasos del 3 al 7.

Share this post

¡Conoce nuestra solución de ciberseguridad!

Redborder es una solución Big Data basada en tecnologías Open Source para la visibilidad de red,
el análisis de datos y la ciberseguridad completamente escalable según las necesidades de la infraestructura de red de cada compañía
o Provedor de servicios

Solución NDR

Escalable y modular

On premise or cloud

Desktop, Ios/ Android
Saber más