Informe de McAfee concluye que el 71%
de los SOCs consolidados utilizan el equipo humano-máquina para cerrar sus
investigaciones de ciberseguridad en una semana o menos. Sandboxing y SIEM
siguen siendo indispensables, pero la efectividad requiere integración de
procesos y conocimientos humano-máquina.
McAfee, una de las principales
compañías de ciberseguridad del mundo, ha anunciado hoy el lanzamiento de su
informe “Disrupting the Disruptors, Art or Science?”, un nuevo estudio que
investiga el papel de la caza de ciberamenazas y la evolución de los Centros de
Operaciones de Seguridad (SOC). Analizando los equipos de seguridad en base a
cuatro niveles de desarrollo -mínimo, procesal, innovador y líder- el informe
revela que los SOC avanzados dedican un 50% más de tiempo que sus homólogos a
la caza real de amenazas.
Principales
conclusiones:
– El 71% de los SOC más
avanzados finalizó las investigaciones de incidentes en menos de una semana y
el 37% cerró las investigaciones de amenazas en menos de 24 horas
– Los cazadores novatos
sólo determinan la causa del 20% de los ataques, mientras que los cazadores
líderes verifican el 90%.
– Los SOC más avanzados
ganan hasta un 45% más de valor que los SOC mínimos por su uso de sandbox,
mejorando los flujos de trabajo, ahorrando costes y tiempo y revelando
información que no está disponible en otras soluciones
Estrategias:
– El 68% afirma que a
través de una mejora en la automatización y en los procesos de caza de amenazas
alcanzarán capacidades excepcionales.
– Los SOC más consolidados
duplican las probabilidades de automatizar partes del proceso de investigación
de ataques.
– Los cazadores de
amenazas de los SOCs consolidados emplean un 70% más de tiempo en la
personalización de herramientas y técnicas.
Tácticas
– Los cazadores de
amenazas de los SOCs más avanzados dedican un 50% más de tiempo en cazar
amenazas reales.
– Sandbox es la
herramienta número uno para los analistas de SOC de primera y segunda línea,
donde los roles de nivel superior dependen en primer lugar de análisis
avanzados de software malicioso y código abierto. Otras herramientas estándar
incluyen SIEM, detección y respuesta endpoint y análisis de comportamiento del
usuario. Todas fueron objetivos para la automatización
– Los SOCs más
desarrollados usan un sandbox en investigaciones un 50% más que los SOCs de
nivel básico, yendo más allá de la convicción para investigar y validar las
amenazas en los archivos que entran en la red.
The Threat Hunter
Playbook: Equipo humano-máquina
Aparte del estudio manual en el
proceso de investigación de amenazas, el cazador de amenazas es clave en el
despliegue de la automatización de la infraestructura de seguridad. Un cazador
de amenazas de éxito selecciona, organiza y, a menudo, construye las
herramientas de seguridad necesarias para frustrar las amenazas, y luego
convierte el conocimiento adquirido, a través de la investigación manual, en
scripts y reglas automatizadas personalizando la tecnología. Esta combinación
de caza de amenazas con tareas automatizadas es el equipo humano-máquina, una
estrategia crucial para combatir a los cibercriminales de hoy y del futuro.
Más información
- Descarga informe completo desde sitio ofivial McAfee
(requiere registro) https://www.mcafee.com/
Fuente: Diarioti.com