Pasar al contenido principal

Alerta

Una alerta es una notificación técnica breve, normalmente legible por humanos, sobre vulnerabilidades actuales, explotaciones y otros problemas de seguridad que puedan existir en un sistema de información.

Muchas empresas y entidades vinculadas a la ciberseguridad ofrecen como parte de sus servicios, información sobre alertas y avisos de seguridad. Desde el Basque Cybersecurity Centre se ofrecen distintos avisos de seguridad de forma gratuita:

  • Avisos técnicos: avisos dirigidos a profesionales técnicos, para apoyarles en su labor facilitando la prevención, protección y respuesta eficaz ante incidentes de ciberseguridad.
  • Avisos de sistemas de control industrial: notificaciones relativas a vulnerabilidades en el hardware (PLC, RTU, etc.) y el software SCADA, etc.) utilizado en sistemas de control industrial.
  • Noticias de ciberseguridad: información de actualidad sobre eventos, incidentes o innovaciones de ciberseguridad.

Estas alertas podrían considerarse parte de la materia prima de la gestión de incidentes, y diariamente se genera una gran cantidad de información. Debido a esto, en los últimos años viene produciéndose un curioso “efecto secundario” relacionado con estas alertas, la denominada “fatiga por alerta” que conlleva saturación de los profesionales por el exceso de alertas que reciben.

El volumen cada vez mayor de alertas que llegan a los equipos de ciberseguridad de todo el mundo complica la correcta valoración y clasificación de las amenazas. El exceso de alertas fatiga a los analistas de los SOC (Centros de Operaciones de Seguridad), un factor que, unido a la escasez de profesionales de la ciberseguridad, sobrecarga a los equipos de seguridad informática, que pueden pasar por alto notificaciones vinculadas a un posible ataque. Además, los profesionales de los SOC se encuentran con gran cantidad de falsos positivos, es decir, consumen tiempo respondiendo a alertas que no suponen un peligro real. Esto hace que acaben priorizando otras tareas o avisos, e ignorando ciertas alertas que no les parecen un riesgo real para la organización.

Para combatir esa fatiga, evitar descuidos y optimizar la eficiencia en la gestión de alertas, una de las formas más efectivas consiste en tratar de reducir los falsos positivos. Asimismo, hay que aumentar la automatización de las operaciones de seguridad para reducir esfuerzos humanos, por ejemplo, en tareas repetitivas. A mayor automatización y menor gestión manual, menor fatiga y mayor rapidez en el descubrimiento y respuesta a los ataques. Las herramientas más conocidas para automatizar y acelerar la gestión de alertas, y reducir la fatiga de los equipos son:

  • SIEM (Security Informaction and Event Management, traducido como Gestión de Eventos e Información de Seguridad): Analiza registros de diversos dispositivos para establecer conexiones entre ataques potenciales y emitir alertas.
  • SOAR (Security Orchestration, Automation and Response, traducido como Orquestación, Automatización y Respuesta de Seguridad): Permite automatizar muchas de las tareas manuales que consumen mucho tiempo, pero que son imprescindibles para la investigación de alertas, como la creación de tickets o el envío de correos con notificaciones.