Según el análisis de las estadísticas anónimas agregadas de las solicitudes al Portal de Inteligencia de Amenazas de Kaspersky, un servicio web con acceso a varios petabytes de datos de inteligencia de seguridad global que se actualizan casi en tiempo real. El análisis mostró que cuando los investigadores de seguridad solicitaron detalles adicionales de un objeto sospechoso, en el 72% de los casos estos resultaron ser maliciosos, pudiendo poner en riesgo la seguridad corporativa si no se investigaba.
De media, el 44% de las alertas de seguridad a las que se enfrentan las organizaciones no se investigan. La razón puede estar en la gran cantidad de indicadores de alerta a los que los equipos de seguridad tienen que hacer frente. Por lo tanto, los analistas tienen que elegir cuidadosamente qué alertas necesitan investigar y cuáles no merecen su atención. En esta situación, es útil tener un esquema que les ayude a tomar la decisión.
Las estadísticas anónimas y agregadas del Portal de Inteligencia de Amenazas de Kaspersky muestran que, en la mayoría de los casos, la alerta inicial es correcta: la mayoría (7 de cada 10) de las peticiones analizadas que se envían a través del servicio resultan ser maliciosas. La proporción de estos objetos es especialmente alta para los elementos relacionados con la web; dominios (86%), direcciones IP (75%), y URLs (73%). Esta cifra disminuye ligeramente en el caso de los archivos: el 61% de los hashes fueron clasificados como peligrosos. Esto implica que es más difícil para los investigadores distinguir los archivos legítimos de los maliciosos sin consultar con la información adecuada sobre inteligencia de amenazas.
El 44% de las alertas de seguridad a las que se enfrentan las organizaciones no se investigan
En general, los investigadores suelen estar más interesados en saber con qué recursos se están comunicando los endpoints de su red: el 41% del total de las solicitudes pertenecen a esta categoría. Gracias a la información sobre la reputación de las direcciones IP y los sitios web y archivos asociados, los equipos de seguridad pueden tomar una decisión sobre si deben denegar el acceso a este recurso o bloquear cualquier comunicación con él. Además, un tercio (31%) de las solicitudes se referían a una categoría de hash de archivos, lo que significa que los investigadores buscan información adicional sobre el archivo (por ejemplo, la distribución geográfica, la popularidad y las conexiones con otros objetos) en sus investigaciones.