Segundo o estudo, a efetividade ocorre quando há investimentos complementares na parceria homem-máquina
A McAfee, uma das principais empresas de segurança cibernética do mundo, anunciou o lançamento do estudo Disrupting the Disruptors, Art or Science? (perturbar os perturbadores, arte ou ciência?), um novo relatório que investiga o papel da caça de ameaças cibernéticas e a evolução dos centros de operações de segurança (SOC). Analisando as equipes de segurança em quatro níveis de desenvolvimento (mínimo, processual, inovador e líder), o relatório constata que SOCs avançados dedicam 50% mais tempo caçando ameaças efetivamente do que os outros.
O caçador de ameaças
Caçar ameaças está se tornando uma função fundamental no combate contra agentes nocivos. Um caçador de ameaças é um profissional membro da equipe de segurança incrivelmente valioso para o processo investigativo, que tem a tarefa de examinar as ameaças cibernéticas usando pistas, hipóteses e sua experiência em pesquisar criminosos cibernéticos. De acordo com a pesquisa, as empresas estão investindo e obtendo diferentes níveis de resultados com ferramentas e processos estruturados à medida que integram atividades de “caça a ameaças” ao centro de operações de segurança.
O aumento do foco nos caçadores de ameaças profissionais e na tecnologia automatizada resultou no surgimento de um modelo operacional mais efetivo para identificar, mitigar e prevenir ameaças cibernéticas: a parceria homem-máquina. Na verdade, as principais organizações de caça a ameaças estão usando esse método no processo de investigação de ameaças mais que o dobro que as organizações no nível mínimo (75% em comparação com 31%).
“As organizações precisam desenvolver um plano sabendo que serão atacados por criminosos cibernéticos”, disse Raja Patel, Vice presidente e gerente geral de produtos para segurança corporativa da McAfee. “Os caçadores de ameaças são extremamente valiosos como parte desse plano para recuperar a vantagem daqueles que tentam interromper os negócios, mas só podem ser bem-sucedidos se forem eficientes. “Caçadores de ameaças e uma tecnologia inovadora são necessários para desenvolver uma forte estratégia de parceria homem-máquina, que mantenha as ameaças cibernéticas à distância.
Principais descobertas:
Resultados:
- Em média, 71% dos SOCs mais avançados concluíram investigações de incidentes em menos de uma semana e 37% concluíram investigações de ameaças em menos de 24 horas.
- Os caçadores ao nível mínimo apenas determinam a causa de 20% dos ataques, em comparação com os principais caçadores que identificam 90%.
- SOCs mais avançados obtêm até 45% mais valor do que SOCs mínimos com o uso de sandboxing, melhorando os fluxos de trabalho, economizando tempo e dinheiro e coletando informações não disponíveis em outras soluções.
Estratégias:
- Sessenta e oito por cento declaram que irão alcançar os recursos líderes através de uma automação otimizada e procedimentos de caça de ameaças.
- SOCs mais maduros são duas vezes mais propensos a automatizar partes de seu processo de investigação de ataques.
- Os caçadores de ameaças em SOCs maduros gastam 70% mais tempo na personalização de ferramentas e técnicas.
Táticas
- Os caçadores de ameaças em SOCs maduros gastam 50% mais tempo caçando ameaças efetivamente.
- A sandbox é a principal ferramenta para analistas de SOC de primeira e segunda linhas, em que as funções de maior nível contavam primeiro com a análise avançada de malwares e código aberto. Outras ferramentas padrão incluem SIEM, detecção e resposta de endpoints e análises comportamentais dos usuários; todas elas foram alvo da automação.
- SOCs mais maduros usam sanbbox em 50% mais investigações do que SOCs mais novos, indo além para investigar e validar ameaças em arquivos que entram na rede.
O playbook do caçador de ameaças: parceria homem-máquina
Além do estudo manual no processo de investigação de ameaças, o caçador de ameaças é fundamental na implementação da automação na infraestrutura de segurança. Um caçador de ameaças bem-sucedido seleciona, administra e muitas vezes desenvolve as ferramentas de segurança necessárias para impedir ameaças e, então, transforma o conhecimento obtido com a investigação manual em regras e scripts automatizados ao personalizar a tecnologia. Essa combinação de caça de ameaças com tarefas automatizadas é a parceria homem-máquina, uma estratégia essencial para deter os criminosos cibernéticos da atualidade e do futuro.
Para obter mais informações sobre a caça de ameaças, incluindo o relatório e o resumo executivo, acesse www.mcafee.com/soc-evolution.