Los proveedores de servicios de seguridad, abrumados por exceso de avisos de falsos positivos

Los proveedores de servicios de seguridad están abrumados por la enorme cantidad de avisos de seguridad que resultan ser falsos positivos. Es lo que, según Betanews, se desprende de un reciente estudio de la consultora Advanced Threat Analytics, que desvela que el 44% de los encuestados respondieron que reciben un 50% o más de avisos que resultan ser falsos positivos. Sin duda, esto añade mucha presión a su trabajo, y reduce el tiempo que pueden dedicar a los avisos que alertan de verdaderas amenazas.

La cantidad de falsos positivos es mucho mayor para una parte importante de ese 44% de proveedores de servicios. De ellos, la mitad asegura que entre el 50% y el 75% de los avisos de seguridad que reciben corresponden a falsos positivos. Mientras, la mitad restante revela que nada menos que entre el 75% y el 99% de sus avisos resultaron ser falsos positivos.

De los que respondieron a esta encuesta, el 45% comentó que investiga un mínimo de 10 alertas a diario, mientras que un 22% recibe entre 10 y 20 avisos cada día. De los que quedan, el 11% recibe entre 20 y 40 alertas, y el otro 11%, 50 avisos o más cada día. En cuanto al tiempo que invierten en investigar cada uno de estos mensajes, el 64% afirma que tardan 10 minutos o más en conocer los detalles de cada problema, mientras que el 33% dice tardar entre 10 y 20 minutos en hacerlo. Mientras, el 20% comenta que tarda entre 20 minutos y media hora en investigar cada aviso, y el 11% restante, 30 minutos o más. Esto nos da una idea de la cantidad de tiempo que los proveedores de seguridad pierden a diario en la investigación de falsos positivos.

De hecho, el volumen de avisos que resultaron ser falsos está derivando en medidas y soluciones que pueden ser peligrosas. Cuando se les pregunta por si su centro de operaciones tienen demasiadas alertas como para que los analistas puedan procesarlas, el 67% de los encuestados aseguraron que programan específicamente funciones que les avisen, o umbrales de aviso que se activan sólo antes determinadas situaciones, con el objetivo de reducir las alertas. Además, el 38% ignoran determinados tipos de avisos y el 27% apagan las funciones de aviso de alto volumen. Sólo el 24% restante decidió contratar a más analistas para poder prestar más atención a los avisos.

Según Alin Srivastava, Presidente de Adavanced Threat Analytics, «esta investigación demuestra que los proveedores de servicios de seguridad todavía reciben una cantidad opresiva de alertas diarias de seguridad, lo que fuerza a muchos analistas y servicios de emergencia a pasar horas (en algunos casos, más de cinco) investigándolas cada día, y muchas resultan ser falsos positivos. Muchos proveedores están ampliando sus equipos para poder atender el volumen de avisos, lo que no es un modelo sostenible. Otros optan por cambiar sus procedimientos, y desactivan funciones de seguridad o ignoran determinadas alertas. Esto aumenta en gran medida el riesgo de que las alertas de verdad pasen desapercibidos». Para Srivastava, lo mejor para que los proveedores de seguridad puedan librarse de esta situación es «invertir en tecnología que reduzca el número de incidentes generados, en lugar de utilizar soluciones de gestión de incidentes traducionales, que sólo rebajan el tiempo que se tarda en investigarlas«.