Alertas de seguridad: ¿cuáles deben ser investigadas?

Share:

Kaspersky.- Del total de casos donde los investigadores de seguridad solicitaron detalles adicionales de un objeto sospechoso, 72% de estos resultaron ser maliciosos, pudiendo poner en riesgo la seguridad corporativa si no se investigaba, según datos revelados por las estadísticas anónimas y agregadas del Portal de Inteligencia de Amenazas de Kaspersky

En promedio, 44% de las alertas de seguridad a las que se enfrentan las organizaciones no se investigan, pues no se cuenta con la capacidad para hacer frente a todas y los analistas deben elegir cuidadosamente qué alertas necesitan investigar y cuáles no merecen su atención. 

Conoce más

En esta situación, es útil tener un esquema que ayude a tomar la decisión. Las estadísticas muestran que, en la mayoría de los casos, la alerta inicial es correcta: 7 de cada 10 de las peticiones analizadas que se envían a través del servicio resultan ser maliciosas. 

Te interesa leer: Kaspersky Sandbox automatiza la protección contra amenazas avanzadas

"Los analistas de seguridad rara vez cometen errores cuando sospechan que una alerta plantea un riesgo para la seguridad y que podría necesitar más investigación. Para acelerar la respuesta a incidentes, los analistas necesitan disponer de una visión global de la amenaza. El acceso a la información sobre amenazas proporciona un ahorro de tiempo y esfuerzo a los equipos de seguridad, que suelen carecer de personal suficiente", comentó Anatoly Simonenko, director del grupo de gestión de productos de soluciones tecnológicas de Kaspersky.

La proporción de objetos malicioso es especialmente alta para los elementos relacionados con la web: dominios (86%), direcciones IP (75%), y URLs (73%). Estos indicadores facilitan a los investigadores distinguir los archivos legítimos de los maliciosos sin consultar con la información adecuada sobre inteligencia de amenazas.

En general, los investigadores suelen estar más interesados en saber con qué recursos se están comunicando los endpoints de su red: 41% del total de las solicitudes pertenece a esta categoría. Gracias a la información sobre la reputación de las direcciones IP y los sitios web y archivos asociados, los equipos de seguridad pueden tomar una decisión sobre si deben denegar el acceso a este recurso o bloquear cualquier comunicación con él.