Casi tres de cada cuatro organizaciones (70 por ciento) tienen dificultades para mantenerse al día con el volumen de alertas generadas por sus herramientas de análisis de seguridad. Esto se traduce en una falta de recursos para tareas estratégicas clave, lo que lleva a las organizaciones a recurrir a la automatización de procesos y la subcontratación, según el estudio reciente de ESG, SOC Modernization and the Role of XDR, encargado por Kaspersky.
Sin embargo, además del volumen de alertas, la variedad de alertas también representa un desafío para más de dos tercios (67 por ciento) de los empleados en un centro de operaciones de seguridad (SOC).Ambos factores dificultan que los analistas de SOC se concentren en tareas más complejas e importantes se centran. En una de cada tres empresas (34 por ciento), los equipos de seguridad cibernética, abrumados por alertas y problemas de seguridad de emergencia, no tienen suficiente tiempo para participar en optimizaciones de estrategia y procesos.
La falta de personal no es el problema
El estudio también muestra que las empresas no atribuyen esta situación a la falta de personal. El 83 por ciento cree que su SOC tiene suficiente personal para proteger de manera efectiva a una empresa de su tamaño. Sin embargo, creen que sería necesario automatizar procesos y utilizar servicios externos. Más de la mitad de los encuestados (55 por ciento) mencionan que la razón principal para usar los servicios administrados es darle a su personal más tiempo para concentrarse en iniciativas más estratégicas en lugar de dedicar tiempo a tareas de operaciones de seguridad.
"En lugar de buscar de manera proactiva amenazas avanzadas y amenazas evasivas en la infraestructura, los analistas de SOC actualmente solo pueden responder a emergencias", dijo Yuliya Andreeva, gerente senior de productos de Kaspersky. “Reducir la cantidad de alertas, automatizar su consolidación y correlación en cadenas de incidentes y reducir el tiempo de respuesta general debe ser el enfoque para que las organizaciones mejoren el rendimiento de su SOC. Pueden lograr esto a través de soluciones de automatización apropiadas y expertos externos”.
Recomendaciones para optimizar las operaciones SOC
- Organizar turnos de trabajo en el SOC para evitar la sobrecarga de personal. Distribuya las tareas principales como monitoreo, investigación, arquitectura e ingeniería de TI, administración y gestión del SOC a todos los empleados.
- Aproveche un servicio integral de inteligencia de amenazas [2] que permite la integración de inteligencia legible por máquina con los controles de seguridad existentes, como un sistema SIEM. Esto puede automatizar el proceso de clasificación inicial y generar suficiente contexto para decidir si investigar una alerta de inmediato.
- Para liberar al SOC de las tareas rutinarias de clasificación de alertas, las organizaciones pueden recurrir a servicios de detección y respuesta administrados probados. Kaspersky Managed Detection and Response [3] combina tecnologías de detección basadas en IA con una amplia experiencia en búsqueda de amenazas y respuesta a incidentes de entidades profesionales, incluido el Equipo de análisis e investigación global de Kaspersky (GReAT).
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/