Automação: o próximo passo natural na gestão de operações de segurança.

Eis uma pergunta para analistas e gerentes de segurança: com que frequência vocês conseguem limpar a caixa de entrada de e-mails, remover todos os alertas de todas as ferramentas de monitoramento, atualizar os processos e ainda ter tempo para responder a algumas das pendências de auditoria?

A maioria dos profissionais de segurança está tão sobrecarregada que não consegue concluir todas essas tarefas em um único dia, muito menos encontrar tempo para projetos proativos, como aprimorar o treinamento de conscientização em segurança, amadurecer um programa de gerenciamento de vulnerabilidades ou realizar exercícios de resposta a incidentes. Simplesmente há muito a fazer e pouco tempo para isso.

O ponto de virada para as operações de segurança de TI

Então, como chegamos até aqui? O final da década de 1980 representou um ponto de virada importante para as operações de segurança de TI, quando o Syslog permitiu, pela primeira vez, a centralização e a padronização de arquivos de log. A partir de meados da década de 1990 e início dos anos 2000, a automação tornou-se um fator significativo na segurança de TI, à medida que os participantes do setor criaram plataformas que centralizavam e padronizavam logs automaticamente. Nos últimos anos, vimos o surgimento de ferramentas de identificação e gerenciamento de incidentes, como SIEM e outras soluções de detecção de ameaças, que automatizam os processos de revisão, correlação e alerta de logs.

Mas a evolução da detecção avançada de ameaças é tanto uma bênção quanto uma maldição: essas soluções descobrem mais ameaças potenciais, mas esses alertas também criam uma carga de trabalho maior para as equipes de segurança de TI. De fato, um estudo recente da Damballa, uma empresa de segurança especializada em detecção de ameaças, constatou que uma empresa norte-americana média recebe 10.000 alertas por dia, um número que torna a resolução manual de todas as ameaças uma proposta insustentável.

A evolução contínua da resposta a ameaças

Assim como a automação ajudou na centralização, padronização e detecção, ela também desempenhará um papel fundamental na evolução da resolução de ameaças. Especificamente, a adoção de uma Automação de SecOps Uma plataforma que utiliza os processos padronizados de uma organização para resolver automaticamente tarefas de alto volume e baixa complexidade — essencialmente trabalho administrativo — sem a necessidade de intervenção humana, libera a equipe de segurança (cerca de 30% do seu tempo) para lidar com ameaças mais complexas. Essa utilização mais eficiente dos recursos, alcançada por meio da automação, permitirá que as equipes de segurança de TI lidem com um volume ainda maior de ameaças no futuro.

Além de aumentar suas chances de resolver as ameaças mais complexas e de alto risco, a resposta automatizada a incidentes pode ter o benefício adicional de tornar o trabalho de segurança de TI mais agradável. Porque a verdade é que eu não entrei na área de segurança para realizar tarefas administrativas intermináveis — e aposto que você também não.