Los sistemas de información de seguridad y gestión de eventos (SIEM) sirven como la herramienta principal para detectar actividades sospechosas en redes empresariales y ayudar a las organizaciones a identificar y responder a posibles ataques en tiempo real. Sin embargo, el nuevo Picus Blue Report 2025, basado en más de 160 millones de simulaciones de ataque del mundo real, revela que las organizaciones están detectando solo uno de los siete ataques simulados, lo que indica una brecha clave entre la detección de amenazas y la respuesta.
Si bien muchas organizaciones creen que están haciendo todo lo posible para detectar las acciones enemigas, la realidad es que muchas amenazas se deslizan desapercibidas. Esta brecha de detección crea una falsa sensación de seguridad cuando los atacantes ya están accediendo a sistemas confidenciales, aumentando los privilegios o excluyendo activamente datos valiosos.
Lo que plantea la pregunta: ¿por qué estos sistemas siguen fallando, dinero, atención? Especialmente cuando los intereses son muy altos. Echemos un vistazo a lo que Blue Report 2025 nos ha enseñado sobre algunos problemas centrales persistentes con respecto a la efectividad de las reglas de SIEM.
Fallas de recolección de registros: fundamentos detectados de fallas
Las reglas de SIEM actúan como guardias de seguridad que monitorean el tráfico entrante y saliente por un comportamiento sospechoso. Las reglas de SIEM están preconfiguradas para detectar ciertas actividades, como el acceso no autorizado y el tráfico de red anómalos, de modo que los guardias de seguridad sigan un conjunto de instrucciones para identificar amenazas basadas en un patrón particular. Cuando un evento en particular coincide con una regla, se activa una alerta, lo que permite que los equipos de seguridad respondan rápidamente.
Sin embargo, para que las reglas de SIEM funcionen de manera efectiva, debe analizar un conjunto integral de registros confiables. Blue Report 2025 descubrió que una de las razones más comunes por las cuales las reglas de Siem fallan se debe a problemas persistentes con las colecciones de registros. De hecho, en 2025, el 50% de las fallas de la regla de detección se vincularon con los problemas de recolección de registros. Si los registros no se capturan correctamente, es muy fácil perderse eventos importantes, lo que lleva a una falta de alertas peligrosas, falsas sensaciones de seguridad y un fracaso para detectar actividades maliciosas. Incluso las reglas más efectivas rápidamente se vuelven inútiles sin analizar datos precisos, lo que hace que las organizaciones sean vulnerables a los ataques.
Los problemas comunes de recolección de registros incluyen fuentes de registro perdidas, agentes de registro incorrecto y configuraciones de registro incorrectas. Por ejemplo, muchos entornos no tienen problemas para registrar puntos de datos clave o reenvío de registro, evitando que el registro asociado llegue primero a SIEM. El incumplimiento de esta telemetría crítica impide significativamente la capacidad de Siem para detectar la actividad maliciosa del atacante.
Reglas de detección incomprendidas: falla silenciosa
Incluso si los registros se recopilan correctamente, las reglas de detección pueden fallar debido a la recopilación incorrecta. De hecho, en 2025, el 13% de los obstáculos de las reglas se atribuyeron a los problemas de configuración. Esto incluye umbrales de reglas incorrectos, conjuntos de referencias definidos de manera inapropiada y lógica de correlación construida inadecuadamente. Estos problemas pueden socavar la efectividad de su sistema SIEM al perder eventos importantes o causar falsos positivos.
Por ejemplo, las reglas excesivamente extendidas o generales pueden conducir a cantidades abrumadoras de ruido. Esto a menudo conduce a alertas importantes que están enterradas en una señal, se pierden por completo o se ignoran accidentalmente. Del mismo modo, los conjuntos indefinidos de referencias pueden hacer que las reglas se pierdan los indicadores clave de compromiso.
Problemas de desempeño: delincuentes ocultos de la brecha de detección
Los problemas de rendimiento pueden convertirse rápidamente en otro obstáculo importante a medida que los sistemas SIEM escala para procesar más datos. El informe encontró que el 24% de las fallas de detección en 2025 estaban relacionados con problemas de rendimiento, incluidas reglas ricas en recursos, extensas definiciones de propiedades personalizadas y consultas ineficientes. Estos problemas pueden ralentizar significativamente los tiempos de detección y retrasar los tiempos de respuesta, lo que dificulta que los equipos de seguridad actúen rápidamente cuando están activamente bajo ataque.
Los sistemas SIEM luchan por procesar grandes cantidades de datos, especialmente cuando las reglas no están optimizadas para la eficiencia. Esto ralentiza el rendimiento de la consulta, retrasa las alertas, abruman los recursos del sistema y reduce aún más la capacidad de la organización para detectar amenazas en tiempo real.
Tres problemas de reglas de detección general
Echemos un vistazo más de cerca a los tres problemas de recolección de registros más comunes resaltados en Blue Report 2025.
Una de las cuestiones más importantes que afectan la efectividad de las reglas SIEM es la consolidación de las fuentes de registro. Esto ocurre cuando la coalescencia de eventos está habilitada para ciertas fuentes de registro, como DNS, servidores proxy y registros de eventos de Windows, lo que lleva a la pérdida de datos. En este caso, los eventos importantes pueden comprimirse o descartarse, lo que resulta en datos incompletos para el análisis. Como resultado, se pueden perder fácilmente los comportamientos de amenaza crítica, y las reglas de detección pueden ser ineficaces de inmediato.
Otro problema común es la fuente de registro no disponible, que representa el 10% de las fallas de la regla. Esto a menudo ocurre cuando los registros no pueden enviar datos debido a la corrupción de la red, los agentes de transferencia de registro incomprendido o los bloques de firewall. Sin estos registros, el sistema SIEM no puede capturar eventos críticos, lo que resulta en que las reglas de detección no puedan activar alertas.
Finalmente, retrasar la implementación de filtros de prueba rentables es una causa común de fallas de detección. Si las reglas de detección son demasiado amplias o ineficientes, el sistema procesará cantidades excesivas de datos sin un filtrado efectivo. Esto abrumará su sistema, ralentizará el rendimiento y evitará que su equipo de seguridad pierda eventos importantes. Según el informe, el 8% de las fallas de detección están relacionadas con este problema, destacando la necesidad de un filtrado optimizado y rentable.
Verificación continua: garantizar que las reglas de SIEM sean efectivas contra las amenazas en evolución
Las reglas de detección son la base de los sistemas SIEM, pero pueden perder rápidamente su relevancia sin una verificación continua. Los enemigos son tácticas, técnicas y procedimientos (TTP) en constante evolución, y las reglas SIEM diseñadas para detectar patrones conocidos son ineficaces si no se prueban regularmente contra las amenazas del mundo real.
Blue Report 2025 destaca que sin pruebas continuas, incluso los sistemas SIEM bien ajustados pueden volverse fácilmente vulnerables a los ataques. La verificación continua no solo se basa en configuraciones estáticas, sino que también demuestra regularmente que la detección está funcionando para el comportamiento de adversario moderno. Este enfoque agresivo cierra la brecha entre la protección teórica proporcionada por las reglas de detección y la efectividad práctica del mundo real requerida para las amenazas en evolución.
Al simular el comportamiento adversario real, los equipos de seguridad pueden evaluar si las reglas de detección están contrarrestando las tecnologías de ataque modernas, asegurarse de que se adapten adecuadamente a un entorno particular y garantizar que identifiquen el comportamiento malicioso de manera oportuna.
La verificación de exposición regular a través de herramientas como violaciones y simulaciones de ataque permite a las organizaciones probar y ajustar constantemente los controles. Este enfoque hace que sea más fácil identificar puntos ciegos y mejorar las defensas, y las reglas de SIEM no solo pueden detectar ataques pasados, sino también evitar futuros ataques. Sin una verificación continua, las organizaciones arriesgan defensas obsoletas o ineficaces de los datos, la reputación de la marca y los resultados finales, lo que pone sus activos más importantes en un riesgo innecesario.
Cierre la brecha de detección de Siem
Las reglas de Siem ignoradas inevitablemente no pueden detectar amenazas modernas. Las fallas de la recolección de registros, la minería falsa y los cuellos de botella de rendimiento crean puntos ciegos, mientras que las reglas estáticas rápidamente pierden su efecto en las tácticas y técnicas de atacantes en evolución. Sin una verificación continua, las organizaciones corren el riesgo de trabajar bajo una falsa sensación de seguridad, colocando sistemas y datos críticos en compromiso.
Para continuar, los equipos de seguridad deben probar y ajustar periódicamente las reglas SIEM, simular ataques reales y verificar las tuberías de detección para el último comportamiento adversario. Herramientas como violaciones y simulaciones de ataque permiten a las organizaciones descubrir brechas ocultas, priorizar las exposiciones de alto riesgo y garantizar que las defensas funcionen cuando sean más importantes.
Verifique dónde ha tenido éxito y dónde puede fallar en silencio. Descargue Blue Report 2025 hoy para obtener información y recomendaciones viables para fortalecer las estrategias de detección y prevención para los ataques de mañana.
Source link
