Informe

Encuesta de SANS sobre detección y respuesta

Puntos ciegos, lagunas en la automatización y la transición hacia una defensa potenciada por la inteligencia artificial

La nueva encuesta de SANS sobre detección y respuesta pone de manifiesto un panorama de seguridad bajo presión. 

  • La mayoría de las organizaciones utilizan el EDR, pero la dependencia excesiva de los puntos finales está generando nuevos puntos ciegos.
  • La automatización sigue extendiéndose, pero el nivel de confianza sigue siendo bajo.  
  • Los equipos de SOC se enfrentan a un aumento de los falsos positivos, a la falta de personal cualificado y a una normativa cada vez más estricta. 

Descubre por qué la detección debe adelantarse en la cadena de ataque, qué tipo de análisis de comportamiento debe implementarse y cómo la inteligencia artificial debe complementar, y no sustituir, a los analistas. 

Comparte este informe

Conclusiones principales

Los datos de SANS ponen de manifiesto las crecientes deficiencias provocadas por unas estrategias de seguridad excesivamente centradas en los dispositivos finales, la creciente complejidad, la falta de visibilidad (
) y el intercambio de información de inteligencia inconsistente.

89%

El EDR sigue siendo una herramienta «multifuncional»

El excesivo énfasis en los terminales deja el perímetro y el acceso a la nube prácticamente desprotegidos,
lo que genera lagunas en la detección tras un ataque.

73%

Los falsos positivos están aumentando

Los falsos positivos desbordan a los equipos del SOC, que ya se ven limitados por la falta de personal.

13%

Disminuye la adopción de la automatización total 

A pesar de que el 90 % utiliza herramientas de detección automatizadas, solo una pequeña parte confía en la respuesta totalmente automatizada.

Puntos Endpoint

El EDR solo ofrece visibilidad una vez que los archivos maliciosos han llegado al terminal. Las organizaciones no detectan las amenazas en sus primeras fases en el perímetro, en la nube ni a lo largo de las rutas de movimiento de los archivos.

Alta adopción,
baja implementación

Los equipos de SOC suelen desconfiar de la automatización porque las herramientas no se integran en los flujos de trabajo humanos. Una automatización eficaz debe enriquecer, correlacionar y priorizar, no sustituir el criterio humano.

La presión normativa impulsa la colaboración

Solo el 37 % comparte externamente sus reglas de detección, a pesar de que la NIS2 y la DORA obligan a las organizaciones a compartir incidentes e indicadores de amenazas (IOC).

Por qué es importante este informe

El estudio pone de manifiesto los cambios arquitectónicos necesarios para mejorar las capacidades del SOC.
Descubra en qué aspectos modernizar los procesos de detección y cómo reducir la carga de trabajo al tiempo que se mejora la precisión.

Los analistas de «
» se ven eclipsados por el ruido

Los equipos deben implementar entornos de aislamiento de comportamientos y búsquedas de similitudes entre amenazas basadas en el aprendizaje automático.

La complejidad de «
» crece más rápido que la experiencia

Descubre las consecuencias que tienen para la seguridad la fragmentación multicloud y las deficiencias en la integración.

La IA debe complementar el talento humano

Los equipos de seguridad necesitan la capacidad de realizar consultas en lenguaje natural, la extracción automatizada de indicadores de amenazas (IOC) y la correlación de amenazas basada en similitudes.

Refuerza tu estrategia de detección

Consigue el informe completo de la encuesta de SANS y descubre cómo reducir los puntos ciegos, ampliar la capacidad de los analistas y adoptar un proceso de detección en varias capas.

Descargar el informe