Continuamos con la serie sobre Tendencias de SIEM…
Continuando por la idea de que habrá un mayor enfoque en las alertas basadas en riesgos.
La fatiga de las alertas continúa afectando diariamente a los analistas involuntarios.
Las alertas basadas en detecciones ampliamente definidas pueden generar un alto volumen de falsos positivos y mucho ruido adicional dentro de un centro de operaciones de seguridad (SOC), abrumando y sobrecargando rápidamente a cualquiera en la línea del frente.
Como era de esperar, los SIEM deben mejorar en la detección y respuesta efectivas a ataques e infracciones dirigidos.
Específicamente, las alertas basadas en riesgos (RBA), una metodología más nueva para identificar amenazas, atribuyen el riesgo a los usuarios y entidades, activando una alerta una vez que se superan ciertos umbrales de comportamiento y riesgo.
Por otro lado, se nos dice que habrá un mayor enfoque en las alertas basadas en riesgos…
Así mismo, los equipos de seguridad pueden reducir el volumen de alertas, al tiempo que aumentan los verdaderos positivos, lo que revela ataques sofisticados que las búsquedas tradicionales a menudo pasan por alto.
Este tipo de perfilado de comportamiento, inteligencia de amenazas y análisis en un SIEM puede mejorar exponencialmente el éxito de la detección al liberar tiempo y recursos para concentrarse en amenazas complejas y de alta fidelidad.
Los analistas también pueden atribuir el riesgo a varias entidades contra el marco de ciberseguridad estándar de la industria elegido, como MITRE ATT&CK, el marco NIST y más.
Continuamos hablando de este tema en una quinta parte.
Gracias
Un saludo