La fatiga y sobrecarga de alertas en los departamentos de TI es una de las conclusiones más destacadas de un nuevo informe que se señala que el 51% de los encuestados manifestó que su departamento estaba saturado por el volumen de alertas, y que empleaba hasta el 27% del tiempo en responder y gestionar falsos positivos.
La compañía Infoblox Inc., especializada en servicios desde la nube, ha publicado una nueva edición del Infoblox Quarterly Cyberthreat Intelligence Report, un informe de inteligencia de seguridad que recoge trimestralmente las principales amenazas y brechas de seguridad detectadas durante los tres meses anteriores, a nivel mundial.
Las principales deducciones que se pueden estraer del citado informe, que abarca el periodo comprendido entre los meses de juilio y septiembre de 2021 son estas:
- El sector sanitario, objetivo prioritario de los ciberataques. Las organizaciones sanitarias siguen estando en el punto de mira de muchas organizaciones cibercriminales, y se espera que esta tendencia se mantenga a corto plazo, con un importante aumento tanto en el número de violaciones graves de datos (definidas como ataques que afectan a más de 500 registros de pacientes y catalogadas por las propias organizaciones afectadas como “actividades de hackeo”) así como en el número total de registros de pacientes afectados. Este aumento ha sido, en gran parte, causado por ransomware.
- El aumenten la primera mitad de 2021 con respecto a 2020 es impactante, eespecialmente en Estados Unidos.En 2020 seroreportan alo departamento de salud norteamericano 416 importantes violaciones de datos en organizaciones sanitarias, un 33% más que en el año anterior. Sólo en la primera mitad de 2021 se ha superado ya ampliamente la mitad de esta cantidad, con 249 violaciones consideradas importantes. Lo mismo ocurre con el número de registros de datos de pacientes afectados. Durante todo el año 2020 se vieron afectados 26 millones de registros, y sólo en la primera mitad de 2021 esta cifra ya alcanza los 22 millones de registros afectados. No debemos olvidar que los datos sanitarios son especialmente delicados y pueden servir para propósitos perversos y discriminatorios, por parte no solo de estados totalitarios, sino de regímentes considerados como democráticos.
- Fatiga y sobrecarga de alertas. La gestión de la información de seguridad se está convirtiendo en un problema para muchas organizaciones. Según Infoblox, las operaciones de ciberseguridad y de los SOC (Security Operations Center) se describen normalmente en base a orientaciones y métricas relacionadas con riesgos, controles de seguridad, alertas, vulnerabilidades y tácticas, técnicas y procedimientos utilizados por los cibercriminales. Es necesario equipar a los departamentos de TI con inteligencia de seguridad y con un ecosistema de seguridad automatizado para poder gestionar estos volúmenes masivos de alertas y concentrarse en aquellos que realmente requieren la atención. Efectivamente, y según un estudio de Trend Micro que se recoge en el informe, basado en encuestas realizadas a analistas de seguridad de diferentes organizaciones:
- El 51 por ciento de los encuestados manifestó que su departamento estaba saturado por el volumen de alertas, y que empleaba hasta el 27% del tiempo a responder y gestionar falsos positivos.
- El 55% admitió que no confiaba completamente en su capacidad para priorizar y responder a las alertas.
- El 43% reconoció que apaga las alertas (ocasionalmente o con frecuencia) o simplemente las ignora
Las operaciones de ciberseguridad son mucho más complicadas de lo que eran hace dos años
El informe también recoge otro estudio de Imperva sobre cómo los departamentos de TI están gestionando el creciente número de alertas de seguridad en las organizaciones. Según este informe, el 55% de los encuestados manifestaron recibir más de 10.000 alertas diarias, y el 27% informó haber recibido hasta 1 millón o más de alertas en un mismo día. Por otro lado, la firma de analistas Enterprise Strategy Group (ESG), ha hecho otro informe que revela que las operaciones de ciberseguridad son hoy día mucho más complicadas de lo que eran hace apenas dos años.
Un 38% de los encuestados manifiestan como uno de los mayores retos el filtrado del ruido, para dar prioridad a las alertas reales, un 37% la implementación de procesos de producción para escalar la recopilación y el análisis y un 36% el procesamiento y contextualización de datos de inteligencia de amenazas de múltiples fuentes.
El dato más alarmante es que un 30% de los encuestados admitió haber ignorado rotundamente ciertos tipos de alertas, el 57% ajustó sus políticas para reducir el volumen de alertas y el 4% llegó a desactivar las notificaciones de alerta por completo.
Crecen los costes de las brechas de seguridad.
El informe se hace eco también de un estudio de Ponemon Institute sobre el coste creciente para las organizaciones de las brechas de seguridad. Según este estudio, el coste de la exfiltración de datos en 2020 alcanzó un máximo histórico de 3,83 millones de dólares a nivel mundial, siendo en lo que va de año 2021 un 10% más alto. El informe tiene en cuenta cientos de factores, como los legales, reglamentarios y actividades técnicas, pérdida de valor de marca, rotación de clientes y reducción de la productividad de los empleados.
El informe del tercer trimestre de 2021 incluye también más de 30 informes de inteligencia de amenazas publicados entre el 1 de julio de 2021 y 30 de septiembre de 2021, con análisis de campañas de malware avanzadas y de recientes ataques importantes, entre las que se incluyen Reply-Chain Threadjacking Campaign/Squirrelwaffle Loader y Cobalt Strike, FIN7 Recon, AsyncRAT, XpertRAT, Hancitor Adds Second Redirect, GuLoader Delivers Remcos RAT, entre otros.