A medida que cambian las tácticas, aumenta la sofisticación de los actores de amenazas y se descubren constantemente nuevas vulnerabilidades, los equipos de operaciones de seguridad se esfuerzan al máximo para investigar y remediar cada incidente.
El correo electrónico sigue siendo uno de los vectores de ataque más aprovechados. Un asombroso 79% de los encuestados en el estudio State of Email Security 2022 de Mimecast informó un aumento en el volumen de correo electrónico en su organización, mientras que el 72% informó que la cantidad de amenazas basadas en correo electrónico había aumentado durante los últimos 12 meses.
Las organizaciones de hoy buscan defensas integradas para proteger el correo electrónico y mejorar las capacidades de respuesta a incidentes, mientras ayudan a reducir la complejidad, minimizar el riesgo y disminuir la demanda en un equipo de seguridad que ya está sobrecargado y con poco personal.
A medida que aumentan los ataques cibernéticos basados en correo electrónico, los equipos de seguridad están sobrecargados y sufren fatiga de alertas. Todavía se enfrentan al desafío de la toma de decisiones y se encuentran confiando en los datos limitados encontrados durante la investigación, aceptando que se tomarán decisiones basadas en un conocimiento incompleto porque no tienen tiempo para investigar más.
Otro desafío común: los equipos de seguridad dedican tanto tiempo a recopilar datos que no tienen tiempo para resolver el problema. Las organizaciones tienen que reducir la complejidad, minimizar el riesgo y disminuir la demanda que imponen a los equipos de seguridad que ya están sobrecargados de tareas. Mientras tanto, las amenazas pueden moverse lateralmente por toda la organización antes de que se identifiquen y solucionen correctamente.
Y mientras el volumen, la intensidad y la inteligencia de las amenazas cibernéticas aumentan, el mundo está viendo simultáneamente una escasez de talento calificado en seguridad cibernética que continúa ampliándose. Con un mercado laboral ajustado o no, los analistas de SOC siguen fatigados con la recopilación, normalización y priorización de datos, incapaces de concentrarse en la respuesta y resolución de incidentes de seguridad cibernética.
Las organizaciones enfrentan desafíos para contratar y retener profesionales de seguridad calificados. La avalancha de alertas de las herramientas de seguridad y la naturaleza repetitiva del puesto de analista de nivel 1 hacen que el agotamiento sea uno de los principales contribuyentes a esta escasez.
Los equipos de seguridad buscan la automatización para ayudar a aliviar algunas de las tareas repetitivas de la respuesta a incidentes para enfocar sus recursos limitados en los incidentes más críticos y de mayor impacto, aumentando el rendimiento y reduciendo el tiempo de respuesta. Integración de herramientas de automatización puede ayudar a aliviar parte de la fatiga de la alerta y la toma de decisiones, los problemas de recopilación de datos, el agotamiento de los trabajadores y el dolor causado por la falta de trabajadores calificados, pero podemos aprovechar la tecnología para hacer mucho más que eso.
A medida que las amenazas se vuelven más complejas y las organizaciones enfrentan escasez de trabajadores, un método de detección más avanzado, XDR, se ha vuelto necesario para la mayoría de las organizaciones.
En una era en la que esencialmente no existen perímetros de red y las infracciones desastrosas pueden provenir de cualquier lugar y en cualquier momento, los equipos de seguridad deben enfocarse más en la detección y respuesta de amenazas.
En muchas organizaciones, los enfoques anteriores, como los sistemas de gestión de eventos e información de seguridad (SIEM) de primera generación, han demostrado ser difíciles de manejar. Pueden ser difíciles de implementar e integrar, y son demasiado costosos y susceptibles a falsos positivos. Vincular SIEM a los sistemas de orquestación y respuesta de seguridad (SOAR) ha ayudado a algunas organizaciones a crear manuales de respuesta para automatizar las respuestas a ciertas amenazas, pero crearlos a menudo ha sido más complejo y difícil de lo previsto.
Las soluciones XDR nativas de la nube prometen superar cada uno de estos problemas, proporcionando datos más enfocados y procesables, una mejor integración, información más relevante, menos falsos positivos y una automatización más fácil de las respuestas. A medida que los XDR van más allá de las soluciones EDR solo para puntos finales, prometen brindar una visibilidad más completa y una respuesta más rápida que no se podía lograr con las herramientas anteriores.
Las integraciones estratégicas reducen el dolor de los equipos de SOC mediante el uso de la automatización entre el correo electrónico y las soluciones de seguridad de punto final para evitar el movimiento lateral de amenazas en toda la organización.
Mimecast y SentinelOne brindan una solución integrada que detiene las amenazas y agiliza la respuesta en toda la organización. Los clientes pueden estar seguros de que sus dispositivos estarán protegidos contra amenazas de día cero en cada punto final. Al correlacionar la respuesta entre el correo electrónico y las soluciones de seguridad de punto final, los analistas automatizan las tareas repetitivas para una respuesta a incidentes más rápida y completa. Cuando se integran, las dos soluciones ofrecen una respuesta acelerada a incidentes y un tiempo medio de respuesta reducido.
SentinelOne Singularity XDR proporciona prevención, detección y respuesta impulsadas por IA en puntos finales, cargas de trabajo en la nube y dispositivos IoT. Cuando se detecta una amenaza en SentinelOne, SentinelOne Storyline TM correlaciona las detecciones y los datos de actividad en las capas de seguridad, incluido el correo electrónico, los terminales, los dispositivos móviles y la nube.
Los analistas pueden optimizar la respuesta de la organización al suspender automáticamente el correo electrónico de un usuario determinado, bloquear el correo electrónico del usuario o ponerlo en cuarentena. Tras la detección de la amenaza, SentinelOne puede suspender automáticamente la capacidad del último usuario que inició sesión para enviar un correo electrónico, lo que ayuda a asegurar una ruta de movimiento lateral crítica.