Informe de McAfee concluye que el 71% de los SOCs consolidados utilizan el equipo humano-máquina para cerrar sus investigaciones de ciberseguridad en una semana o menos. Sandboxing y SIEM siguen siendo indispensables, pero la efectividad requiere integración de procesos y conocimientos humano-máquina.

McAfee, una de las principales compañías de ciberseguridad del mundo, ha anunciado hoy el lanzamiento de su informe “Disrupting the Disruptors, Art or Science?”, un nuevo estudio que investiga el papel de la caza de ciberamenazas y la evolución de los Centros de Operaciones de Seguridad (SOC). Analizando los equipos de seguridad en base a cuatro niveles de desarrollo -mínimo, procesal, innovador y líder- el informe revela que los SOC avanzados dedican un 50% más de tiempo que sus homólogos a la caza real de amenazas.

Principales conclusiones:

  • El 71% de los SOC más avanzados finalizó las investigaciones de incidentes en menos de una semana y el 37% cerró las investigaciones de amenazas en menos de 24 horas
  • Los cazadores novatos sólo determinan la causa del 20% de los ataques, mientras que los cazadores líderes verifican el 90%.
  • Los SOC más avanzados ganan hasta un 45% más de valor que los SOC mínimos por su uso de sandbox, mejorando los flujos de trabajo, ahorrando costes y tiempo y revelando información que no está disponible en otras soluciones

Estrategias:

  • El 68% afirma que a través de una mejora en la automatización y en los procesos de caza de amenazas alcanzarán capacidades excepcionales.
  • Los SOC más consolidados duplican las probabilidades de automatizar partes del proceso de investigación de ataques.
  • Los cazadores de amenazas de los SOCs consolidados emplean un 70% más de tiempo en la personalización de herramientas y técnicas.

Tácticas

  • Los cazadores de amenazas de los SOCs más avanzados dedican un 50% más de tiempo en cazar amenazas reales.
  • Sandbox es la herramienta número uno para los analistas de SOC de primera y segunda línea, donde los roles de nivel superior dependen en primer lugar de análisis avanzados de software malicioso y código abierto. Otras herramientas estándar incluyen SIEM, detección y respuesta endpoint y análisis de comportamiento del usuario. Todas fueron objetivos para la automatización
  • Los SOCs más desarrollados usan un sandbox en investigaciones un 50% más que los SOCs de nivel básico, yendo más allá de la convicción para investigar y validar las amenazas en los archivos que entran en la red.

The Threat Hunter Playbook: Equipo humano-máquina

  • Aparte del estudio manual en el proceso de investigación de amenazas, el cazador de amenazas es clave en el despliegue de la automatización de la infraestructura de seguridad. Un cazador de amenazas de éxito selecciona, organiza y, a menudo, construye las herramientas de seguridad necesarias para frustrar las amenazas, y luego convierte el conocimiento adquirido, a través de la investigación manual, en scripts y reglas automatizadas personalizando la tecnología. Esta combinación de caza de amenazas con tareas automatizadas es el equipo humano-máquina, una estrategia crucial para combatir a los cibercriminales de hoy y del futuro.

Más información

Fuente: Diarioti.com

Anuncios