Una nueva encuesta sobre la eficacia de la detección de amenazas, que recopila las respuestas de más de 160 encuestados alrededor del mundo, aportó una valiosa percepción global de las tecnologías que las organizaciones usan, los datos que recopilan para apoyar este esfuerzo y su satisfacción con sus kits de herramientas actuales. Adicionalmente, a los encuestados se les preguntó en qué tecnologías nuevas planean invertir y cómo van a evolucionar sus estrategias hacia el futuro.

De acuerdo con la RSA, un elemento clave de la encuesta fue que los encuestados expresaron una profunda insatisfacción con su capacidad actual de detección de amenazas e investigación.

Sólo 24% de las organizaciones encuestadas indicó que estaban satisfechos con su habilidad de detectar e investigar amenazas. Únicamente el 8% de esas organizaciones siente que puede detectar amenazas rápidamente, mientras que sólo 11% puede investigar amenazas rápidamente.

Existe un desequilibrio impactante entre las organizaciones que recolectan datos del perímetro (88%) y datos de las infraestructuras modernas de TI (infraestructuras basadas en la nube 27%, paquetes de red 49%, gestión de identidad 55% y puntos finales 59%).

Sin embargo, las organizaciones que han incorporado estas fuentes de datos a sus estrategias de detección las encuentran sumamente valiosas: las empresas que recopilan datos de paquetes de red le atribuyen un 66% más valor a esos datos para detectar e investigar las amenazas que las empresas que no los recopilan; y aquellos que recolectan datos de puntos finales le atribuyen un 57% más valor a esos datos que los que no lo hacen.

La integración de datos también es un problema. Un cuarto de los encuestados no están integrando ninguna información y sólo 21% deja sus datos accesibles desde una única fuente. La prevalencia de datos almacenados previene la correlación entre fuentes de datos, ralentiza investigaciones y limita la visibilidad de todo el ámbito del ataque. Sólo 10% de los encuestados calificó de "muy buena" su habilidad de conectar la actividad de los atacantes con la obtenida a partir de las fuentes de datos recolectadas.

Los encuestados no consideraron que ninguna de sus tecnologías actuales de detección e investigación fuera particularmente efectiva, dándoles una puntuación media de "algo efectivo". A pesar de que SIEM es implementado por más de dos tercios de los encuestados, herramientas más efectivas, como las de captura de paquetes de red, técnicas forenses en puntos finales y análisis del comportamiento de los usuarios, aún no lo han adoptado.

Finalmente, un hallazgo alentador fue la creciente importancia de los datos de identidad para apoyar la detección e investigación. Aunque actualmente poco más de la mitad de las organizaciones recolectan datos de identidad y acceso a los sistemas, aquellas que lo hacen le atribuyeron 77% más valor a esos datos para detección que aquellas que no lo hacen.

Además, los análisis de comportamiento de los usuarios, que pueden ayudar a las organizaciones a simplificar la detección basada en encontrar patrones de actividad anómala, son la inversión planeada de tecnología más popular, con un 33% de los encuestados diciendo que planean adoptar esta tecnología en los próximos 12 meses.

"Este estudio refuerza nuestro mayor temor de que las organizaciones no están tomando, y en muchos casos no están planeando tomar, las medidas necesarias para protegerse de amenazas avanzadas. No están recolectando los datos correctos, no integran los datos que recopilan y se centran en las tecnologías de prevención obsoletas. La realidad actual dicta que tienen que cerrar las brechas en la visibilidad, adoptar un enfoque más coherente para implementar las tecnologías más importantes y acelerar el abandono de las estrategias de prevención."