Os líderes de segurança estão finalmente chegando a um acordo no que se refere à realidade do cenário de ameaças da atualidade. Isso significa adotar uma mentalidade pós-violação cada vez mais focada na detecção e na resposta. No entanto, admitir que agora se trata de um caso de “quando” e não de “se” sua organização for violada, é diferente de montar uma resposta de Operações de Segurança eficaz (Security Operations ou SecOps). Construir um Centro de Operações de Segurança (Security Operations Centre ou SOC) é apenas metade da batalha. Como demonstramos antes, você também precisa das ferramentas certas, ou seus analistas ficarão sobrecarregados com alertas que não conseguem priorizar.
Então, quão ruim é o desafio atual para as equipes de SOC? De acordo com as novas estatísticas da Trend Micro, a proliferação de ferramentas atingiu proporções épicas — com implicações potencialmente sérias para o risco cibernético e a saúde mental dos analistas de SecOps.
Quanto mais ferramentas, mais problemas
De acordo com nosso estudo SecOps global, as organizações estão trabalhando com uma média de 29 soluções de monitoramento de segurança implementadas. As empresas maiores têm uma situação ainda pior: aquelas que contam com mais de 10.000 funcionários têm uma média de quase 46 ferramentas de monitoramento. A expansão de ferramentas desse tipo é uma maneira infalível de reduzir a eficácia de sua equipe SecOps. Isso pode conduzir a:
- Despesas administrativas extras, já que cada ferramenta precisa ser gerenciada separadamente;
- Lacunas de segurança e detecção;
- Esforço desperdiçado/duplicado onde as ferramentas se sobrepõem;
- Custos extras de licenciamento;
- Custos extras associados ao treinamento de profissionais de SecOps em diferentes UIs;
- Sobrecarga de alertas.
Descobrimos que mais da metade (51%) das organizações não usam mais muitas de suas ferramentas de monitoramento porque estão desatualizadas, não podem ser integradas, não são confiáveis ou porque não têm as habilidades para operacionalizá-las. Na verdade, este é um passo na direção certa: as organizações devem racionalizar seus conjuntos de ferramentas. Mas é preciso haver uma abordagem totalmente mais estratégica se as organizações quiserem maximizar a eficácia das equipes de SecOps.
Quais são as opções?
De todos os impactos negativos da expansão da ferramenta, a sobrecarga de alerta é um dos mais críticos. Isso significa que os analistas não conseguem filtrar o ruído de falsos positivos e incidentes de baixa gravidade para priorizar os sinais importantes. O resultado é que violações sérias inevitavelmente passam despercebidas, permitindo que os agentes de ameaças permaneçam por muito mais tempo do que deveriam dentro das redes almejadas. Na verdade, leva em média 287 dias para identificar e conter uma violação de dados hoje, de acordo com a IBM.
As equipes SecOps precisam de uma única fonte da verdade para trabalhar, se quiserem fazer seu trabalho corretamente. Isso significa dados de várias camadas (enpoints, e-mail, servidores, redes e infraestrutura em nuvem) aos quais são aplicadas análises inteligentes para correlacionar e priorizar alertas. Isso pode ser feito internamente ou terceirizado para um provedor especializado. Na verdade, 92% dos entrevistados disseram ter considerado serviços gerenciados para detecção e resposta.
No entanto, esta é a realidade e este é o tipo de abordagem para fornecer detecção e resposta eficazes contra ameaças baseadas em SOC ou SecOps. Plataformas como o Trend Micro Vision One trabalham para minimizar o risco cibernético e fornecem uma base estável sobre a qual se pode construir a transformação digital.
Para as organizações que estão de olho no crescimento de seus negócios em meio à nova era pós-pandemia, não seria nada mal anotarem essas dicas.