Seguridad en la nube y fatiga por alertas
Postado por Fabio Gallego, Ingeniero experto en Nube Pública de Fortinet para América Latina y el Caribe em 09/01/2023 em ArtículoCuando escuchas la frase "seguridad en la nube", ¿qué es lo primero que te viene a la mente? Para un profesional que trabaja en la protección de cargas de trabajo en la nube, esta cuestión ya conlleva decenas de elementos como CSPM, CWPP, EDR, firewalls, IPS, seguridad de contenedores, estándar de seguridad del proveedor de la nube, control de usuarios, mínimo privilegio, auditoría, claves de acceso, DLP, ICES, etc.
El uso de estas herramientas tiene como principal objetivo cuidar y proteger nuestros datos y servicios en diferentes capas -lo cual es necesario, porque sabemos que la seguridad integral necesita diferentes miradas, enfoques y, por tanto, capas de protección-, pero la gestión del material generado por todas estas herramientas es uno de los puntos de mayor preocupación para los equipos de TI y seguridad.
Estas herramientas pueden generar, por ejemplo, una media de 700 alertas al día. Esto es lo que llamamos fatiga de alerta.
Las alertas son fundamentales, pero deben tener sentido y ser pertinentes, es decir, necesitan contexto para guiar a los equipos de seguridad en el proceso de toma de decisiones.
Imagina que eres responsable de la seguridad en la nube de tu empresa y que utilizas herramientas que te informan de las vulnerabilidades. Hoy ha aparecido la misma vulnerabilidad crítica en 100 de tus instancias. Las 100 tienen la misma vulnerabilidad, ¿cuál corregirías primero? Difícil decisión, ¿verdad?
Pero ¿y si sabes que, de esas 100 instancias, 50 están expuestas a Internet? De esos 50 expuestos, diez están conectados a datos sensibles (como un cubo con datos personales de clientes) y de esos diez, dos tuvieron contacto con una red de bots. Ahora es más fácil, ¿no? En otras palabras, si tenemos una vulnerabilidad crítica explotada como la del ejemplo, sabremos cuáles son las dos que representan más riesgo o causarán más daño.