Más Allá del Ruido: Replantear la Triage de Alertas en SOC para Detectar Amenazas en Desfase



En un entorno de seguridad donde los volúmenes de alertas alcanzan centenas de miles, los equipos de seguridad han construido hábitos para saber qué ignorar. Los atacantes han aprendido a explotar esa decisión. Durante años, los Centros de Operaciones de Seguridad (SOC) han priorizado vulnerabilidades por su nivel de severidad para gestionar el ruido. A medida que el ecosistema tecnológico empresarial se volvía más complejo, con un mayor número de endpoints, infraestructura en la nube y múltiples sistemas de identidad, se volvió impracticable —si no imposible— abordar cada alerta señalada. Como resultado, la mayoría de los equipos adoptaron un enfoque que se centra en mitigar las alertas de severidad media y alta, desestimando o despriorizando las marcadas como de menor riesgo. Sin embargo, que una amenaza se declare de “bajo riesgo” no significa que no haya peligro. Análisis a gran escala de alertas empresariales revela que alrededor del 1% de todos los incidentes pueden rastrearse a alertas inicialmente categorizadas como de baja severidad. Para una empresa promedio con 450.000 alertas al año, esto se traduce en aproximadamente una amenaza real que se escapa cada semana. Aunque el porcentaje suene pequeño, representa un número de amenazas reales que se están desatendiendo. Estos hallazgos desafían la práctica actual de priorizar alertas por severidad y plantean una pregunta crítica para los equipos de seguridad: ¿cómo pueden considerar de forma realista las alertas de baja severidad mientras gestionan el alto volumen de alertas que reciben cada día?

Real Threats Are Hiding in the Noise
Las empresas reciben cientos de miles de alertas de seguridad cada año, y ese número puede superar el millón para las organizaciones más grandes. En esta escala, los equipos de seguridad podrían lidiar con miles de alertas cada día, por lo que no es sorprendente que varios estudios recientes hallen que más de la mitad de las alertas nunca se revisan. Dada esa volumen, triage por severidad se ha convertido en una necesidad para ordenar el ruido. En su lugar, los SOC se concentran en las amenazas que parecen más impactantes y urgentes. Esto tiene sentido, ya que sería imprudente (y potencialmente peligroso) ignorar una alerta crítica a favor de una anomalía de bajo riesgo que probablemente no desemboque en nada. Sin embargo, cuando estas alertas de baja severidad se ignoran, se crea la oportunidad para que amenazas reales persistan sin ser detectadas.

Attackers Favor Stealth
Los actores de amenaza prefieren infiltrarse y permanecer ocultos, realizando ataques durante el mayor tiempo posible. En lugar de lanzar ataques de alto impacto que activarían alertas de inmediato, buscan acceso y tratan de mantenerse sin ser detectados para moverse lateralmente por la red, escalando privilegios y extrayendo datos con el tiempo sin levantar sospechas. Las clasificaciones de severidad no reflejan siempre esta realidad. Las alertas se categorizan según factores como cuán crítica es la máquina afectada, el impacto de una caída del sistema, la actividad de posibles actores de amenaza conocidos y cuánta confianza tiene el sistema de detección de actividad maliciosa. Por ejemplo, la detección de encriptación masiva puede clasificarse como una alerta de alta severidad porque indica ejecución de ransomware, mientras que un comando sospechoso de PowerShell podría considerarse de baja severidad porque podría ser actividad legítima de un administrador. En la práctica, ese comando de PowerShell podría provenir de un atacante descargando payloads, estableciendo persistencia o realizando reconocimiento en el entorno. En muchos casos, los incidentes de seguridad importantes resultan de una cadena de múltiples acciones de baja severidad que, por sí solas, no parecen maliciosas. Esto permite que el atacante continúe sus actividades durante semanas o meses sin ser detectado.

Rethinking Alert Triage in the SOC
El desafío de los SOC modernos no es solo trabajar más rápido, sino hacerlo con información más completa. Tratar las alertas como eventos aislados evaluados por su métrica de severidad es una limitación estructural que los actores de amenaza han aprendido a explotar. Las alertas de baja severidad rara vez cuentan una historia completa por sí solas. Una anomalía de inicio de sesión, una ejecución sospechosa de script, un cambio de privilegios, cada una puede ser inconclusa o benign. Pero cuando esos indicadores aparecen en el mismo usuario, sistema o ventana temporal, describen algo mucho más preocupante. La capacidad de descubrir ese patrón depende de si la investigación busca activamente esa confluencia.

Esto requiere dos cambios en la operación de seguridad. El primero es contextual: las alertas deben analizarse en función de lo que está sucediendo en el entorno, no solo en base a los criterios que desencadenaron la detección original. El segundo es de cobertura: los equipos no pueden construir una imagen conductual completa si una gran parte de las señales nunca se examina. Cuando las alertas de baja severidad se omiten sistemáticamente, la imagen queda con lagunas, y esas lagunas son donde persisten los atacantes. La implicación práctica es que la triage de alertas ya no puede basarse únicamente en la capacidad humana para decidir qué investigar. El problema de volumen es real, y la priorización por severidad existe por una buena razón. Pero los equipos mejor posicionados para capturar amenazas en etapas tempranas son aquellos que han encontrado formas de extender una cobertura de investigación constante a lo largo de toda la corriente de alertas, y de correlacionar lo que encuentran para formar una visión coherente del comportamiento del atacante a lo largo del tiempo.

La pregunta ya no es si las alertas de baja severidad merecen atención. Los datos lo demuestran. La pregunta es cómo construir una operación que realmente les pueda dar esa atención.

from Latest from TechRadar https://ift.tt/nwblNRh
via IFTTT IA