Os desafios enfrentados pelas equipes de operações de segurança

Na maioria das organizações, a única coisa que as separa de uma violação de dados que pode resultar em enormes perdas financeiras é a equipe de operações de segurança (SecOps). Diariamente, esses profissionais são responsáveis por identificar, classificar e remediar um número crescente de ameaças cibernéticas, tornando essenciais processos eficientes e repetíveis. Isso se torna cada vez mais difícil à medida que o volume de ameaças continua a explodir.

Para colocar em perspectiva, o Instituto AV-TEST O sistema registra mais de 390.000 novos programas maliciosos todos os dias. No entanto, a maioria das equipes de SecOps enfrenta dificuldades devido à escassez de profissionais treinados e a processos ineficazes e irrepetíveis para o gerenciamento de resposta a incidentes.

A escassez de mão de obra em SecOps está se tornando particularmente aguda. Peninsula Press Um projeto da Escola de Jornalismo de Stanford afirma que mais de 209.000 vagas de emprego na área de cibersegurança nos EUA estão atualmente em aberto. E o número de vagas aumentou 741 mil nos últimos cinco anos. Simplesmente contratar mais funcionários para lidar com o aumento do risco não é uma opção viável neste mercado de trabalho.

A escassez de profissionais qualificados também é agravada pelo aumento crescente da carga de trabalho diária dos profissionais de SecOps. Um estudo recente Estudo de Ponemon Mostra que, em média, uma equipe de SecOps recebe cerca de 17.000 alertas por semana. Assim, uma organização com cinco analistas de segurança dedicados, por exemplo, precisaria que cada um revisasse cerca de 3.400 alertas por semana. Na maioria das organizações, isso não é possível com os processos e ferramentas existentes, o que as obriga a priorizar quais alarmes receberão atenção. Pônei Um estudo revelou que apenas 29% de todos os alertas são investigados. O mesmo estudo mostra que 681 mil organizações gastam uma quantidade considerável de tempo investigando falsos positivos.

Assim, embora as equipes de SecOps não apenas deixem passar uma porcentagem substancial de ameaças potenciais, na maioria das vezes, aquelas que são investigadas representam um esforço desperdiçado. Uma das principais razões para isso é que muitas ferramentas de detecção de malware existentes simplesmente não fornecem contexto e informações suficientes para uma resposta adequada a incidentes, exigindo intervenção manual e pesquisa demoradas. De acordo com a pesquisa, 821 mil das ferramentas de detecção de malware atualmente em uso sequer fornecem o nível de risco potencial para cada incidente, transferindo a responsabilidade pela triagem de alertas de volta para o analista.

A falta de pessoal disponível, combinada com uma carga de trabalho insustentável, exige uma abordagem melhor para permitir que a equipe de SecOps opere com eficácia. Automatizada orquestração de segurança eresposta a incidentesA resposta é simples. A capacidade de executar processos e fluxos de trabalho predefinidos sem intervenção manual proporciona a escalabilidade necessária para lidar com o grande volume de ameaças, tanto atuais quanto futuras. E, para os incidentes em que uma abordagem prática se faz necessária, o acesso imediato a todos os detalhes do evento de segurança — com informações relevantes sobre ameaças — é crucial para uma resposta eficiente. Essas duas capacidades formam a base de um "processo aprimorado" que as equipes de operações de segurança precisam manter diante da escassez de pessoal e da crescente presença de ameaças.