Casi el 80 % de las
organizaciones están inconformes con sus capacidades de detección e
investigación
RSA, la División de
Seguridad de EMC (NYSE: EMC), publicó los resultados de una nueva encuesta
sobre la eficacia de la detección de amenazas que reunió información de más de
160 organizaciones en todo el mundo. La encuesta se diseñó para permitir a los
participantes evaluar por sí mismos la eficacia de sus organizaciones en la detección
y la investigación de las amenazas cibernéticas. La investigación proporciona
una valiosa perspectiva global sobre qué tecnologías utilizan las
organizaciones, qué datos recopilan para apoyar este esfuerzo y su conformidad
con los conjuntos de herramientas actuales. Asimismo, se preguntó a las
organizaciones en qué nuevas tecnologías planean invertir y cómo planifican que
sus estrategias evolucionen en el futuro. El hallazgo principal de la encuesta
es que las organizaciones aún confían en una base fragmentada de datos y
tecnología para la detección, y la investigación no logra los resultados
esperados del programa de monitoreo de seguridad.
Los encuestados expresaron una
profunda disconformidad con sus capacidades actuales de detección e
investigación de amenazas. Casi el 80 % de las organizaciones encuestadas
manifestaron no estar conformes con su capacidad de detección e investigación
de amenazas. La velocidad en esta área se reconoce ampliamente como un factor
crítico para minimizar los daños y las pérdidas provocados por los ataques
cibernéticos. El 90 % manifestó que no puede detectar las amenazas rápidamente,
y el 88 % reconoció que no puede investigar las amenazas rápidamente. La
incapacidad de detectar las amenazas rápidamente es un factor clave respecto de
por qué las organizaciones experimentan violaciones de datos en las que los
atacantes pueden permanecer en las redes durante períodos largos antes de ser
descubiertos.
Los encuestados no
consideraron a ninguna de sus tecnologías actuales de investigación y detección
particularmente efectivas, sino que las calificaron, en promedio, como “algo
efectivas”. Las organizaciones continúan demostrando una confianza excesiva en
SIEM, que, si bien es utilizado por más de dos tercios de los participantes, no
aumenta de manera uniforme con tecnologías como herramientas avanzadas de
captura de paquetes de red, terminales y antimalware, las cuales podrían
mejorar considerablemente las capacidades de detección e investigación de
amenazas.
Los datos que las organizaciones
recopilan actualmente no proporcionan una visibilidad adecuada. Menos de la
mitad de las organizaciones encuestadas recopilan datos de paquetes de red o
datos de flujo de red, los cuales proporcionan información confiable sobre los
ataques avanzados, y solo el 59 % recopilan datos de terminales que pueden
utilizarse para detectar puntos de riesgo. No obstante, las organizaciones que
han incorporado estas fuentes de datos en sus estrategias de detección las
consideran extremadamente valiosas: las organizaciones que recopilan datos de
paquetes de red asignaron a esos datos un 66 % más de valor por su detección e
investigación de amenazas que aquellas que no los recopilan, y las que
recopilan datos de terminales asignaron un 57 % más de valor a esos datos que
aquellas que no los recopilan.
La integración de datos
también es un problema. Un cuarto de los encuestados no integra datos en
absoluto, y solo el 21 % permiten que todos sus datos estén accesibles desde
una única fuente. El predominio de los datos en silos evita la correlación
entre fuentes de datos, ralentiza las investigaciones y limita la visibilidad
del alcance integral de un ataque. Solo el 10 % de los encuestados consideraron
que pueden conectar la actividad de un atacante “muy bien” en todas las fuentes
de datos que recopilan.
Por último, un hallazgo
alentador fue el aumento en la importancia de los datos de identidad para
ayudar en la detección y la investigación. Si bien apenas más de la mitad de
las organizaciones recopilan datos de los sistemas de acceso e identidad
actualmente, las que lo hacen asignaron un 77 % más de valor a dichos datos
para la detección que aquellas que no los recopilan. Asimismo, la analítica del
comportamiento, que puede ayudar a las organizaciones a simplificar la
detección sobre la base de la detección de patrones de actividad anormal, es la
inversión en tecnología más planificada, ya que el 33 % de los encuestados
planean adoptar dicha tecnología en los próximos 12 meses.
METODOLOGÍA
La encuesta global cuantitativa
de RSA se realizó en línea en febrero y enero de 2016. Todos los encuestadores
calificados reportaron todos los datos ellos mismos. Participaron más de 160
organizaciones únicas, de las cuales: el 44 % tiene menos de 1,000 empleados;
el 31 %, entre 1 y 10,000 empleados; y el 25 %, más de 10,000 empleados. Los
encuestados representaron 22 sectores industriales diferentes, de los cuales:
el 58 % es de América; el 26 %, de Europa y Medio Oriente; y el 15 %, del
Pacífico Asiático y Japón.
COMENTARIO DE EJECUTIVO:
Amit Yoran, presidente, RSA
“Esta encuesta refuerza
nuestro mayor temor de que, actualmente, las organizaciones no están adoptando
y, en muchos casos, no planean adoptar, los pasos necesarios para protegerse
contra las amenazas avanzadas. No recopilan los datos adecuados, no integran
los datos que recopilan y se enfocan en tecnologías de prevención antiguas. La
realidad actual indica que deben eliminar las brechas en la visibilidad,
adoptar un enfoque más coherente en la implementación de las tecnologías más
importantes y acelerar el alejamiento de las estrategias preventivas”.
No hay comentarios:
Publicar un comentario