Três erros graves em operações de segurança

Em um webinar recente, o fundador e CEO da Swimlane, Cody Cornell, discutiu quatro causas principais de operações de segurança insustentáveis: um volume sem precedentes de ataques, sobrecarga de alertas, ferramentas de resposta obsoletas e falta de pessoal qualificado em cibersegurança. Para lidar com esses desafios, as organizações têm tentado implementar diversos métodos de segurança diferentes — alguns eficazes e outros que podem, na verdade, causar mais danos do que benefícios.

No webinar intitulado “Automatizando as operações de segurança,Em "Cornell", foram explorados três erros que as organizações geralmente cometem em relação aos seus métodos para superar esses desafios, e eles são explicados abaixo.

1. Focar na priorização de alertas, em vez de 100% dos alertas.

Muitas empresas dependem de um método de priorização para identificar quais alarmes devem ser tratados e em que ordem. O problema dessa abordagem, no entanto, é que, considerando o enorme volume de alarmes recebidos, as organizações só conseguem lidar manualmente com uma quantidade limitada. Isso deixa vários alarmes sem resposta. Além de ser uma prática inadequada, já que eventos não gerenciados permanecem sem solução no ambiente de rede, isso pode representar riscos de auditoria e levar a diversas consequências indesejadas para as organizações.

Como Cornell explicou, quando uma organização finalmente chega aos seus alertas de baixa prioridade, já terá experimentado um tempo de permanência extremamente longo. Em outras palavras, o tempo entre a detecção da atividade suspeita na rede e a resposta ao alerta será muito longo. Isso reduz a capacidade da organização de conter a ameaça no nível mais inicial.

“Para dar suporte ao número de alertas que estamos recebendo e aumentar a capacidade de nossas equipes de responder aos alarmes, estamos buscando maneiras de ampliar, otimizar e simplificar a forma como as organizações respondem a todos os eventos e atividades de segurança”, disse Cornell. Hoje, a priorização de alertas simplesmente não é suficiente.

2. Ignorar metade do ciclo de vida das operações de segurança — resposta a incidentes

Atualmente, as organizações utilizam diversas tecnologias modernas de detecção para identificar alarmes, atividades e tarefas de segurança — desde análises de comportamento do usuário até gerenciamento de informações e eventos de segurança (SIEM), detecção e resposta de endpoints (EDR) e ferramentas de inteligência contra ameaças.

Muitas organizações investiram pesadamente em ferramentas de detecção desse tipo nas últimas duas décadas; no entanto, parece estar ocorrendo uma mudança de paradigma, na qual as organizações estão percebendo que é a retaguarda do ciclo de vida — a resposta a incidentes — que precisa amadurecer. Para as organizações que ignoram ou não percebem a necessidade de operações de segurança de retaguarda sofisticadas, as consequências provavelmente serão graves.

3. Recorrer a ferramentas de resposta antiquadas e/ou manuais

Não é incomum ver organizações ainda utilizando ferramentas de resposta obsoletas, como documentos de bloco de notas, planilhas ou sistemas de tickets antigos, para resolver ameaças. Ou, ainda, algumas organizações continuam a usar comandos de linha de comando para cada alerta.

Essas ferramentas e mecanismos ainda estão em vigor nessas organizações simplesmente porque é isso que seus funcionários da linha de frente estão condicionados a saber e fazer. Pesquisas mostram que Em média, as organizações lidam com mais de 10.000 incidentes de segurança por dia, o que equivaleria a impossíveis 333 horas de trabalho diárias. É evidente que processos manuais e arcaicos são inviáveis e causarão mais danos do que benefícios.

Ao mesmo tempo, o número de pessoas capazes de lidar com alertas e tarefas de segurança da maneira necessária é pequeno, e contratar esses profissionais treinados pode ser caro para as organizações. É evidente que esse é um grande desafio para as organizações atualmente.

Deseja aprender mais sobre as melhores práticas em operações de segurança ou uma alternativa eficaz a esses métodos potencialmente perigosos? Acesse o webinar recente da Swimlane “Automatizando as operações de segurança."”