Más de una cuarta parte de las organizaciones ya han invertido en SIEM, mientras que poco menos de una cuarta parte planea realizar una inversión sustancial durante los próximos dos años, y las cifras son aún mayores entre las organizaciones con un mayor nivel de madurez NIST. El nuevo informe de ThoughtLab " Soluciones de ciberseguridad para un mundo más riesgoso " muestra que más de 4 de cada 10 encuestados tienen la intención de aumentar o reemplazar su SIEM actual, mientras que el 17 por ciento de las empresas encuestadas ya se han comprometido con SOAR y otro 17 por ciento planea invertir significativamente. .
Algunos de los puntos clave y conclusiones del informe buscan determinar cómo las organizaciones pueden mejorar la detección y respuesta a amenazas utilizando soluciones SIEM y SOAR. Según el informe, la mayoría de las organizaciones deben prestar más atención a la detección, una herramienta crítica en el arsenal de ciberseguridad. Esto se destaca por el hecho de que, según nuestra encuesta, las organizaciones tardan más de cuatro meses (128 días) en promedio en detectar una infracción, un retraso que puede ser extremadamente dañino y costoso. Echaremos un vistazo a cómo la inversión en plataformas SIEM y SOAR avanzadas puede ayudar a remediar esto.
Protéjase contra los crecientes riesgos cibernéticos
La complejidad de la tecnología moderna es un desafío que debe manejar el personal de seguridad. Según el informe, el 22 % de los ejecutivos encuestados afirma que el aumento del uso de la nube ha expuesto a su organización a un nuevo conjunto de riesgos de ciberseguridad. Los directores de cumplimiento (31 %) y los CRO (30 %) están especialmente preocupados.
Algunos de los desafíos del uso de SIEM tradicionales incluyen que los equipos de seguridad se vuelvan ciegos ante los cambios dinámicos en las infraestructuras de TI o en la nube debido a la falta de visibilidad de su entorno. El cansancio de las alertas es otro problema importante al que se enfrentan los equipos de seguridad. Muchas organizaciones suelen implementar varias soluciones de seguridad, cada una de las cuales genera sus propias alertas. Los analistas de seguridad deben ser capaces de atravesar el ruido y detectar cuáles son incidentes verdaderos y cuáles son alertas falsas. Esto hace que los tiempos de investigación y detección sean más largos y, en la mayoría de los casos, las organizaciones tienen recursos reducidos que hacen que lidiar con los riesgos cibernéticos sea una pesadilla.
Mandy Andress, CISO de Elastic dice: “A medida que las cargas de trabajo migran a la nube, monitorear las implementaciones en la nube se vuelve esencial para el negocio. Algunos SIEM más antiguos necesitaban mucho cuidado. Los entornos de TI actuales proporcionan una manguera contra incendios de datos. Si bien los SIEM tradicionales pueden ingerir una gran cantidad de datos, no siempre incorporan análisis avanzados; podría llevar horas o días analizar esos datos, lo que afecta la capacidad de investigar rápidamente actividades sospechosas”.
Elegir el SIEM correcto se vuelve fundamental para proteger una organización contra los riesgos cibernéticos. Un SIEM de próxima generación tiene varias ventajas, incluida una detección de amenazas más rápida y datos de seguridad superiores, ya sea en un entorno en la nube/híbrido o local. Securonix Next-Gen SIEM funciona con análisis de seguridad a escala de la nube, lo que brinda visibilidad de extremo a extremo, monitoreo de seguridad continuo para detectar amenazas de manera más rápida y precisa, y reduce las falsas alarmas.
Reuniendo SIEM y SOAR para una mejor detección y respuesta
Si bien los sistemas SIEM brindan una mayor visibilidad de los datos y capacidades de alerta que revelan amenazas, las tecnologías SOAR abordan las fases posteriores de investigación y reparación rápidas de incidentes. Las organizaciones pueden enfrentar ataques sofisticados de manera más efectiva con el uso conjunto de tecnologías SIEM y SOAR de próxima generación. Sin embargo, muchos equipos de seguridad usan soluciones SIEM y SOAR que no están bien integradas, lo que agrega complejidad adicional y potencialmente ralentiza la detección y respuesta de amenazas.
Consolidación: "Un enfoque centrado en la plataforma"
El informe cita que alrededor de un tercio de las organizaciones tienen la intención de abordar la proliferación de herramientas e infraestructuras cibernéticas al consolidarlas. Casi un tercio de las organizaciones también están adoptando tecnologías que reúnen capacidades que funcionan como una plataforma, en lugar de depender de componentes individuales "mejores en su clase".
La consolidación no solo aumenta la eficiencia, sino que genera ahorros de costos. A medida que evolucionan y se vuelven más sofisticadas en ciberseguridad, las entidades públicas y privadas buscan cada vez más adoptar un enfoque eficiente y cohesivo para garantizar que todas las partes funcionen bien juntas.
Securonix adopta un enfoque similar para consolidar SIEM y SOAR para combatir amenazas avanzadas más rápido. Las líneas entre detección, investigación y respuesta se están desdibujando a medida que las amenazas se vuelven más complejas y difíciles de rastrear. A medida que convergen los procesos de detección y respuesta, su tecnología necesita evolucionar para mantenerse al día con estos procesos unificados y optimizados. Por esta razón, la automatización y la orquestación son más efectivas cuando las acciones del libro de jugadas de SOAR se integran directamente en el flujo de trabajo de SIEM. Esto permite a los analistas experimentar un cambio de contexto mínimo y, en última instancia, les permite acelerar las investigaciones y mejorar su tiempo medio de respuesta (MTTR). El libro electrónico reciente, ” Responda a más amenazas más rápido: los beneficios de SOAR integrado”, analiza la importancia de un SOAR integrado que está integrado en el SIEM, no atornillado, y analiza los beneficios de un SOAR incorporado.
Fuente: https://www.securonix.com/Mejora de la detección y respuesta de amenazas con SIEM y SOAR