validación de alertas siem

¿Falsa alarma o amenaza real? Los Peligros de la Fatiga de Alerta

¿Ahogamiento en Alertas SIEM?

Muchas empresas confían en las soluciones de gestión de eventos e información de seguridad (SIEM) para ayudar a detectar actividades sospechosas en sus redes. Sin embargo, a pesar de los intentos del SIEM de deduplicar, contextualizar y correlacionar a veces millones de alertas cada día, muchas organizaciones se encuentran ahogadas en datos irrelevantes y/o falsos. El resultado es una"fatiga de alerta" y aumenta la probabilidad de que su equipo de seguridad pase por alto o se pierda una amenaza real, capaz de causar estragos en sus sistemas y en su reputación.

Uno de los casos relativamente recientes y de alto perfil de fatiga de alerta fue el incumplimiento de Target en 2013, que dio lugar a 40 millones de registros de tarjetas de pago robadas, y a la pérdida del puesto de director general. El malware fue detectado, miles de alertas disparadas, fueron vistas por el personal de monitoreo del SIEM pero ignoradas debido a que millones de otras alertas fueron recibidas en el mismo lapso de tiempo. Esta visibilidad de lo que es una amenaza real y el enfoque rápido en ella es un reto para todos los equipos de seguridad, ya sea un equipo pequeño sin SOC, una gran empresa con un SOC o un MSSP que supervisa a muchos clientes con un SOC.

Los SIEM y otros sistemas de seguridad recopilan y agregan datos de una variedad de fuentes, incluyendo cortafuegos y proxies web, sistemas de detección y prevención de intrusiones, registros de tráfico IP/DNS y PCAP. Los SIEM agregan, deduplican, correlacionan y, con sistemas más avanzados, intentan encontrar la "aguja en el pajar".

Sin embargo, los ataques sofisticados fácilmente juegan con los sistemas de defensa, y los falsos positivos siguen haciendo perder el tiempo al personal limitado. Las organizaciones de clase empresarial media pueden recibir 17.000 alertas de malware a la semana. De eso, menos del 20 por ciento son dignos de ser examinados, y sólo el 4 por ciento de las amenazas válidas son realmente investigadas.

Por qué? Las alertas a menudo requieren supervisión y validación humana para confirmar su legitimidad. La mayoría de las organizaciones simplemente no tienen los recursos para reconocer las alertas legítimas, por no hablar de examinarlas para determinar la causa raíz y los equipos infectados de forma rápida y rentable.

Infocyte HUNT proporciona alivio

Lo que se necesita para combatir la fatiga de las alertas es un proceso de triaje para investigar las alertas y determinar qué alertas se pueden ignorar realmente y cuáles son amenazas procesables que necesitan ser intensificadas.

Infocyte HUNT proporciona una solución integrada de interrogación de puntos finales para validar las alertas observando el comprometimientoestado de los puntos finales. Proporciona la verdad sobre el terreno - permitiendo que el personal de seguridad investigue las alertas capturadas por su SIEM y prevenga la pérdida de tiempo en alertas inocuas y/o falsos positivos. Las alertas SIEM suelen estar correlacionadas con dos o más alertas de productos de seguridad secundarios o terciarios que a menudo llevan a conclusiones erróneas. Infocyte HUNT estudia el punto final utilizando técnicas de análisis de estado forense (FSA) para buscar pruebas irrefutables de que el malware ha superado con éxito las defensas tradicionales.

Infocyte HUNT ofrece a las organizaciones una solución rápida y rentable para clasificar alertas y combatir amenazas, garantizando la seguridad de sus redes.
Descargue la hoja de datos de Infocyte HUNT sobre la validación de alertas SIEM para obtener más información.

Publicado en