Con volúmenes de alertas de cientos de miles, los equipos de seguridad han desarrollado hábitos sobre qué ignorar y los atacantes han aprendido a explotarlos.
Durante años, los Centros de Operaciones de Seguridad (SOC) se han ocupado de clasificar el sonido de las alertas de seguridad priorizando las vulnerabilidades según el nivel de gravedad.
A medida que la pila de tecnología empresarial se vuelve más compleja con un número cada vez mayor de puntos finales, infraestructura de nube y múltiples sistemas de identidad, resulta poco práctico, si no imposible, que el SOC aborde cada alerta marcada.
Director de seguridad de la información de campo en Intezer.
Como resultado, la mayoría de los equipos han adoptado un enfoque en el que centran sus esfuerzos en mitigar las alertas de gravedad media y alta y despedir o inhabilitar a aquellos identificados como de bajo riesgo.
Sin embargo, el hecho de que una amenaza se considere de “bajo riesgo” no significa que “no exista riesgo”. Un análisis reciente a gran escala de las alertas de seguridad empresarial encontró que alrededor del 1% de todos los incidentes se remontan a alertas inicialmente clasificadas como de baja gravedad.
Para una empresa promedio con 450.000 alertas por año, esto se traduce en aproximadamente una amenaza real por semana. Si bien el porcentaje parece pequeño, representa muchas amenazas reales que los equipos de seguridad están descartando en lugar de abordar.
Estos hallazgos desafían la mejor práctica actual de priorizar las precauciones según el nivel de gravedad. Plantean una pregunta crítica para los equipos de seguridad actuales: ¿Cómo pueden considerar de manera realista las alertas de baja gravedad mientras administran las alertas de alta intensidad que reciben todos los días?
Amenazas reales y ruido oculto
Las empresas reciben cientos de miles de alertas de seguridad cada año, y ese número puede exceder el millón para las empresas más grandes. A esta escala, los equipos de seguridad pueden manejar miles de alertas por día, por lo que no sorprende que varios estudios recientes muestren que más de la mitad de las alertas nunca se revisan.
Dado este volumen, clasificar las alertas por gravedad ha sido una necesidad para clasificar el ruido. En cambio, los SOC centran sus esfuerzos en las amenazas que consideran más impactantes y urgentes. Esto es comprensible, ya que sería imprudente (y potencialmente peligroso) ignorar una advertencia crítica en favor de una anomalía de bajo riesgo que probablemente no signifique nada.
Sin embargo, cuando se ignoran estas advertencias de baja intensidad, se crean oportunidades para que amenazas reales pasen desapercibidas.
Los atacantes prefieren el sigilo
Los actores de amenazas preferirán esconderse y permanecer ocultos, llevando a cabo sus ataques el mayor tiempo posible. En lugar de lanzar ataques de alto impacto que harían sonar inmediatamente las alarmas, obtienen acceso e intentan permanecer en el anonimato para poder moverse lateralmente a través de una red, escalar privilegios y extraer datos a lo largo del tiempo sin levantar sospechas.
Las clasificaciones de gravedad no siempre reflejan esta realidad. Las alertas generalmente se clasifican en función de varios factores, incluido qué tan crítico es un sistema afectado, el impacto si ese sistema deja de funcionar, la actividad conocida de los actores de amenazas y la confianza que tiene el sistema de seguridad de que se está produciendo una actividad maliciosa.
Por ejemplo, la detección de cifrado masivo de archivos podría clasificarse como una alerta de alta gravedad porque indica la ejecución de ransomware, mientras que un comando sospechoso de PowerShell podría ser de baja gravedad porque fácilmente podría ser una actividad legítima de un administrador. Sin embargo, en la práctica, ese comando de PowerShell podría descargar una carga útil de un atacante, establecer persistencia o ejecutar un reconocimiento en el entorno.
En muchos casos, los incidentes de seguridad importantes son el resultado de una serie de múltiples acciones de baja intensidad que no parecen ser maliciosas individualmente. Esto permite al atacante continuar con sus actividades durante semanas o incluso meses sin que nadie se dé cuenta.
Repensar la clasificación de alertas en el SOC
El desafío para los SOC modernos no es solo trabajar más rápido sino también trabajar con información más completa. Tratar las alertas como eventos discretos, cada uno evaluado según sus propios méritos y puntuaciones de gravedad, es una limitación estructural que los actores de amenazas han aprendido a explotar.
Las alertas de baja intensidad rara vez cuentan una historia completa por sí solas. Una anomalía de inicio de sesión, una ejecución de script sospechosa, un cambio de privilegios, pueden ser individualmente no concluyentes o completamente benignos. Pero cuando esas señales aparecen en el mismo usuario, sistema o ventana de tiempo, describen algo mucho más relacionado. La capacidad de sacar a la luz ese patrón depende de si la investigación lo está buscando.
Esto requiere dos cambios en la forma en que trabajan los equipos de seguridad. El primero es relevante. Las alertas deben analizarse en función de lo que sucede en el entorno, no sólo de los criterios que desencadenaron la detección original. El segundo es la cobertura. Los equipos no pueden construir una imagen de comportamiento completa si nunca se examina una gran parte de la señal. Cuando las alertas de baja intensidad se omiten sistemáticamente, aparecen lagunas en el panorama, y en esas lagunas es donde persisten los atacantes.
La implicación práctica es que la clasificación de alertas no puede depender únicamente de la capacidad humana para decidir qué más investigar. El problema del volumen es real y la priorización basada en la intensidad existe por una buena razón. Pero los equipos mejor posicionados para detectar amenazas en etapas tempranas son aquellos que han encontrado formas de extender una cobertura de investigación consistente a todo el flujo de alertas, no solo a la capa superior, y correlacionan lo que encuentran con una visión coherente del comportamiento de los atacantes a lo largo del tiempo.
Ya no existe la duda de si las advertencias de baja intensidad merecen atención. Los datos muestran que sí. La pregunta es cómo crear una operación que realmente pueda brindarlos.
Contamos con el mejor software antivirus..
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: