ThreatQuotient ha revelado en su último informe SANS CTI 2022 cómo han reaccionado las empresas ante el panorama actual de ciberamenazas registradas en los últimos doce meses , aún más peligrosas y de consecuencias más dañinas que las hasta ahora conocidas.
Según el análisis de la compañía, el ataque a la cadena de suministro de software de SolarWinds que se produjo a principios de 2021 y el proceso de respuesta a la vulnerabilidad de Log4j que tuvo lugar a finales del año pasado pusieron de manifiesto como nunca hasta ahora la necesidad de obtener rápidamente un conocimiento de la situación, de contextualizar las enormes cantidades de información relacionada que se genera y de priorizar la corrección de las amenazas más importantes.
Según la última encuesta SANS CTI 2022, en la que ThreatQuotient fue clave en su creación y en la que participaron más de 200 empresas preguntadas, cada vez más organizaciones están empezando a cuestionarse su capacidad de respuesta rápida frente a incidentes. De acuerdo con esta investigación, un ingrediente vital para combatir los ataques y encontrar vulnerabilidades es la colaboración entre los equipos de Inteligencia ante Ciberamenazas (CTI) y los grupos de operaciones empresariales. Sin embargo, el informe reveló que dicha colaboración ha sufrido un declive desde el cambio al trabajo remoto en respuesta a la pandemia de COVID-19. “Se necesita tiempo y esfuerzo para que varios equipos colaboren de forma eficaz y una actividad alineada, que ya no era tan intuitiva ni estaba tan arraigada cuando las organizaciones operaban principalmente cara a cara, y puede ser incluso más difícil de llevar a cabo ahora con una implantación del teletrabajo más arraigada”, concreta Eutimio Fernández.
La encuesta aconseja a las organizaciones que evalúen si han perdido canales de comunicación con las principales partes interesadas y, en caso afirmativo, que identifiquen la manera de volver a construir esos canales. Es posible que se necesiten herramientas adicionales para facilitar la colaboración. Muchas herramientas de CTI, como la Plataforma de Inteligencia sobre Amenazas (TIP) de ThreatQuotient, tienen capacidades de colaboración integradas que los equipos pueden explorar para ver si se adaptan a los procesos y flujos de trabajo existentes.
Aumento del uso de la automatización y la integración en plataformas de gestión CTI comerciales y de código abierto
Por otro lado, la mitad de los encuestados informaron que utilizan algún tipo de plataforma CTI casera y que la mayor parte del procesamiento se sigue haciendo manualmente, con un porcentaje muy bajo utilizando una automatización total. El uso de la automatización y la integración en plataformas de gestión CTI comerciales y de código abierto ha aumentado, lo que representa una tendencia positiva con el desarrollo de dichas plataformas. Sin embargo, sigue siendo un área en la que los proveedores de CTI pueden mejorar la experiencia de los analistas si siguen comprendiendo mejor sus casos de uso y sus requisitos y aumentando la automatización.
Para los equipos de seguridad sometidos a una gran presión, la capacidad de automatizar las tareas repetitivas de bajo nivel es esencial. Si una herramienta puede combinar esta automatización con los datos y el contexto en tiempo real necesarios para facultar a los analistas a investigar incidentes de alto impacto y sensibles al tiempo, aún mejor
“Uno de los datos realmente interesante que nos ha proporcionado la encuesta es que todavía hay un alto porcentaje de organizaciones que no son capaces de medir la eficacia de los programas, herramientas y fuentes de Inteligencia frente a Amenazas. Y esta situación debe variar obligatoriamente, porque calibrar el valor de un programa de inteligencia permite que los equipos puedan justificar la necesidad de más recursos, nuevas personas y herramientas, haciendo que las organizaciones y el sector avancen hacia un mayor nivel de madurez en ciberseguridad”, concluye el directivo.
