Por que mesmo 99% não é suficiente para a resposta a incidentes?

Na maioria das profissões e setores, uma taxa de sucesso de 99% para qualquer objetivo seria mais do que adequada — provavelmente seria inédita. No entanto, as operações e relatórios de análise de segurança são uma área em que esse 1% restante pode ser desastroso para uma organização.

Os centros de operações de segurança (SOCs) nas empresas atuais são inundados diariamente com milhares de alertas de segurança provenientes de ferramentas de detecção e, em muitos casos, sofrem com... sobrecarga de informações. Com tantos alertas para investigar, classificar e gerar relatórios, a realidade para os profissionais de cibersegurança é que alguns desses alertas na fila serão ignorados, seja involuntariamente ou simplesmente porque não há tempo suficiente para investigá-los minuciosamente.

O problema para essas organizações, muitas vezes sobrecarregadas, é que ignorar até mesmo um evento de segurança fundamental, Independentemente da gravidade, um ataque bem-sucedido pode ser a diferença entre um ataque frustrado e um bem-sucedido; e, como provaram as recentes violações de dados de grande repercussão, um ataque bem-sucedido expõe uma organização a riscos. risco enorme e pode abalar tudo até seus alicerces.

Diante da avalanche de alertas, as empresas ficam essencialmente com duas opções:

1. Investir capital na contratação de novos funcionários para a área de segurança da informação.
2. Aumentar a capacidade e a produtividade da equipe existente

Embora ter alguns pares de olhos extras atentos à segurança cibernética certamente não seja uma má ideia, os números deixam claro que mesmo as maiores organizações não conseguirão contratar pessoal proporcionalmente ao aumento dos ataques cibernéticos. O Relatório de Ameaças à Segurança na Internet de 2015 da Symantec, por exemplo, constatou que os ataques a grandes empresas aumentaram. 40% Em 2015, o número total de ataques de ransomware cresceu impressionantes 113%, e no ano passado, esse número aumentou. Em outras palavras, a "Opção A" sozinha não é uma estratégia suficiente.

Uma maneira de as organizações garantirem que nenhum alerta passe despercebido é automatizar a resposta a incidentes para as tarefas mais administrativas e alertas de baixa prioridade, permitindo que sejam tratados quase em tempo real e liberando a equipe sênior para os eventos mais complexos. Em outras palavras, as organizações podem se beneficiar muito ao adicionar a mesma capacidade de "velocidade de máquina" à resolução de ameaças que já existe nas excelentes soluções de detecção de ameaças atuais.

Se a gestão de operações de segurança atingir um nível em que todos os alertas sejam tratados por ferramentas de resolução de ameaças ou por profissionais de segurança da informação, as organizações podem garantir que nenhum alerta seja ignorado — em outras palavras, passar de 99% para 100%.