Tu sistema de detección de amenazas puede ser rápido, pero ¿qué pasa después de la alerta?

Los sistemas de detección de amenazas son cada vez más rápidos, pero un nuevo estudio revela que el tiempo que tardan los analistas en investigar y responder a las alertas es un cuello de botella crítico. En promedio, un atacante tiene 29 minutos para moverse dentro de la red después de comprometer un sistema, y la mayoría de las investigaciones toman entre 20 y 40 minutos. Esto significa que, en muchos casos, la investigación ni siquiera ha comenzado cuando el atacante ya se ha movido lateralmente.

El problema: la brecha post-alerta

El tiempo medio de detección (MTTD, por sus siglas en inglés) mide la rapidez con la que un sistema detecta una amenaza. Sin embargo, esta métrica no tiene en cuenta el tiempo que transcurre entre la emisión de una alerta y el inicio de una investigación exhaustiva. Este período, conocido como la "brecha post-alerta", es donde los atacantes tienen la mayor oportunidad de causar daño. Esta brecha se debe a que los analistas están ocupados con otras investigaciones, las alertas entran en una cola de espera y la información necesaria para la investigación se encuentra dispersa en diferentes herramientas.

• El analista debe ver la alerta en una cola.
• Debe recopilar contexto de diferentes herramientas.
• La investigación en sí requiere consultar diferentes registros y telemetría.

La solución: inteligencia artificial para la investigación

La inteligencia artificial (IA) puede reducir drásticamente la brecha post-alerta al automatizar la recopilación de contexto, la investigación y la respuesta a las alertas. Un sistema de investigación impulsado por IA puede investigar cada alerta a medida que llega, independientemente de su gravedad o la hora del día. Además, puede recopilar información de diferentes fuentes en segundos, lo que permite a los analistas tomar decisiones más rápidas y precisas.

Métricas importantes en un mundo con IA

Una vez que se reduce la brecha post-alerta, las métricas tradicionales de velocidad, como el MTTD, se vuelven menos relevantes. En cambio, las organizaciones deben centrarse en métricas que midan la eficacia de su postura de seguridad a lo largo del tiempo. Algunas de estas métricas incluyen:

• Tasa de cobertura de la investigación: ¿Qué porcentaje de las alertas reciben una investigación completa? En un SOC tradicional, este número suele ser del 5 al 15 por ciento. En un SOC impulsado por IA, debería ser del 100 por ciento.
• Cobertura de la superficie de detección: ¿Qué tan bien cubre tu biblioteca de detecciones las técnicas MITRE ATT&CK? (MITRE ATT&CK es un marco de conocimiento base de tácticas y técnicas adversarias basado en observaciones del mundo real).
• Velocidad de retroalimentación de falsos positivos: ¿Con qué rapidez se incorporan los resultados de la investigación en el ajuste de la detección?
• Tasa de creación de detecciones impulsadas por la búsqueda: ¿Cuántas detecciones permanentes se crearon a partir de hallazgos de búsqueda proactiva en comparación con la respuesta a incidentes?

Qué significa esto para ti

La velocidad de detección ya no es suficiente. Las empresas deben empezar a medir y mejorar su capacidad de respuesta ante incidentes. La inteligencia artificial puede ser una herramienta valiosa para lograr este objetivo, pero es importante elegir un sistema que se adapte a las necesidades específicas de tu organización.