En promedio, el 44% de las alertas de seguridad a las que se enfrentan las organizaciones no se investigan. La razón puede estar en la gran cantidad de indicadores de alerta a los que los equipos de seguridad tienen que hacer frente. Por lo tanto, los analistas deben elegir cuidadosamente qué alertas necesitan investigar y cuáles no merecen su atención. En esta situación, es útil tener un esquema que les ayude a tomar la decisión.
Las estadísticas anónimas y agregadas del Portal de Inteligencia de Amenazas de Kaspersky muestran que, en la mayoría de los casos, la alerta inicial es correcta: la mayoría (7 de cada 10) de las peticiones analizadas que se envían a través del servicio resultan ser maliciosas. La proporción de estos objetos es especialmente alta para los elementos relacionados con la web: dominios (86%), direcciones IP (75%), y URLs (73%).
Esta cifra disminuye ligeramente en el caso de los archivos: el 61% de los hashes fue clasificado como peligroso. Esto implica que es más difícil para los investigadores distinguir los archivos legítimos de los maliciosos sin consultar con la información adecuada sobre inteligencia de amenazas.
En general, los investigadores suelen estar más interesados en saber con qué recursos se están comunicando los endpoints de su red: el 41% del total de las solicitudes pertenece a esta categoría. Gracias a la información sobre la reputación de las direcciones IP y los sitios web y archivos asociados, los equipos de seguridad pueden tomar una decisión sobre si deben denegar el acceso a este recurso o bloquear cualquier comunicación con él.
Además, un tercio (31%) de las solicitudes se refería a una categoría de hash de archivos, lo que significa que los investigadores buscan información adicional sobre el archivo (por ejemplo, la distribución geográfica, la popularidad y las conexiones con otros objetos) en sus investigaciones.
Anatoly Simonenko, director del grupo de gestión de productos de soluciones tecnológicas de Kaspersky, afirma: ‘Como muestran nuestras estadísticas, los analistas de seguridad de las organizaciones rara vez cometen errores cuando sospechan que una alerta plantea un riesgo para la seguridad y que podría necesitar más investigación. Sin embargo, no se trata sólo de comprobar hipótesis. Para poder acelerar la respuesta a incidentes y las capacidades forenses, los analistas necesitan disponer rápidamente de una visión global de la amenaza. El acceso a la información sobre amenazas proporciona precisamente eso, un ahorro de tiempo y esfuerzo a los equipos de seguridad, que suelen carecer de personal suficiente’.