Durante RSA Conference, que se lleva a cabo hasta el 4 de marzo en San Francisco, la división de seguridad de EMC publicó los resultados de una nueva encuesta según la cual casi el 80 % de las organizaciones está disconforme con sus capacidades de detección e investigación. Los principales hallazgos.
La investigación, que reunió información de más de 160 organizaciones en todo el mundo, tuvo por objetivo revelar qué tecnologías utilizan las organizaciones, qué datos recopilan para apoyar este esfuerzo y su conformidad con los conjuntos de herramientas actuales. Asimismo, se les preguntó a las organizaciones en qué nuevas tecnologías planean invertir y cómo planifican que sus estrategias evolucionen en el futuro.
El hallazgo principal de la encuesta es que las organizaciones aún confían en una base fragmentada de datos y tecnología para la detección, y la investigación no logra los resultados esperados del programa de monitoreo de seguridad.
Los encuestados expresaron una profunda disconformidad con sus capacidades actuales de detección e investigación de amenazas. El 90% manifestó que no puede detectar las amenazas rápidamente, y el 88 % reconoció que no puede investigarlas rápidamente.
Los encuestados no consideraron a ninguna de sus tecnologías actuales de investigación y detección particularmente efectivas, sino que las calificaron, en promedio, como “algo efectivas”. Las organizaciones continúan demostrando una confianza excesiva en SIEM, que, si bien es utilizado por más de dos tercios de los participantes, no aumenta de manera uniforme con tecnologías como herramientas avanzadas de captura de paquetes de red, terminales y antimalware, las cuales podrían mejorar considerablemente las capacidades de detección e investigación de amenazas.
Asimismo, menos de la mitad de las organizaciones encuestadas recopilan datos de paquetes de red o datos de flujo de red, los cuales proporcionan información confiable sobre los ataques avanzados, y solo el 59 % recopilan datos de terminales que pueden utilizarse para detectar puntos de riesgo.
La integración de datos también es un problema. Un cuarto de los encuestados no integra datos en absoluto, y solo el 21% permite que todos sus datos estén accesibles desde una única fuente. Solo el 10% de los encuestados considera que puede conectar la actividad de un atacante “muy bien” en todas las fuentes de datos que recopilan.
Por último, para RSA un hallazgo alentador fue el aumento en la importancia de los datos de identidad para ayudar en la detección y la investigación. Si bien apenas más de la mitad de las organizaciones recopilan datos de los sistemas de acceso e identidad actualmente, las que lo hacen asignaron un 77% más de valor a dichos datos para la detección que aquellas que no los recopilan. Asimismo, la analítica del comportamiento, que puede ayudar a las organizaciones a simplificar la detección sobre la base de la detección de patrones de actividad anormal, es la inversión en tecnología más planificada, ya que el 33% de los encuestados planea adoptar dicha tecnología en los próximos 12 meses.
“Esta encuesta refuerza nuestro mayor temor de que, actualmente, las organizaciones no están adoptando y, en muchos casos, no planean adoptar, los pasos necesarios para protegerse contra las amenazas avanzadas. No recopilan los datos adecuados, no integran los datos que recopilan y se enfocan en tecnologías de prevención antiguas. La realidad actual indica que deben eliminar las brechas en la visibilidad, adoptar un enfoque más coherente en la implementación de las tecnologías más importantes y acelerar el alejamiento de las estrategias preventivas”, dijo Amit Yoran, presidente, RSA.
De la encuesta, que se realizó en línea en febrero y enero de 2016, participaron más de 160 organizaciones únicas, de las cuales: el 44 % tiene menos de 1,000 empleados; el 31 %, entre 1 y 10,000 empleados; y el 25 %, más de 10,000 empleados. Los encuestados representaron 22 sectores industriales diferentes, de los cuales: el 58 % es de América; el 26 %, de Europa y Medio Oriente; y el 15 %, del Pacífico Asiático y Japón.
