Novo estudo encomendado pela Kaspersky, ‘Modernização do SOC e o papel do XDR’[1], revela que três em cada quatro (70%) organizações têm problemas em acompanhar o volume de alertas gerados por ferramentas de análise de cibersegurança -- o que coloca em xeque o gerenciamento eficaz de tarefas de emergência pelos centros operacionais de segurança (em inglês Security Operations Center, SOC).
De acordo com as empresas entrevistadas, a grande quantidade de alertas recebidos impacta na gestão das equipes que deveriam estar focando em tarefas estratégicas e importantes, mas acabam sendo direcionadas para tarefas repetitivas e desgastantes que poderiam ser automatizadas, como os registros de problemas de segurança online e análises de relatórios que irão corrigir vulnerabilidades.
Essa situação foi destacada quando um terço das empresas (34%) afirmaram que suas equipes de cibersegurança estão sobrecarregadas com alertas ou resolvendo emergências de segurança e, por isso, não tem tempo suficiente para cuidar das melhorias dos processos e de estratégias de segurança -- o que representa um risco para as organizações.
“Por experiência, a maioria dos alertas trazem situações de segurança que já existem soluções -- portanto, todos o processo pode ser automatizado por uma boa solução EDR. Isso fará com que os profissionais qualificados que atuam nos SOCs possam focar na busca proativa de ameaças complexas que se escondem na rede. Além de aumentar a eficiência operacional desse time, a empresa como um todo estará mais protegida”, explica Roberto Rebouças, gerente-executivo da Kaspersky no Brasil.
O executivo ainda recomenda o uso de serviços externos que podem aumentar ainda mais a produtividade da equipe, como os “feeds” de ameaças. “Esses serviços funcionam como os “feeds de notícias” que usamos para nos manter informados sobre nossos temas de interesses. Só que, em vez de um anúncio da turnê no Brasil de sua banda preferida, esses feeds trazem novos golpes online e os detalhes de como reconhecê-los e bloqueá-los. Essas informações podem ser integradas com as soluções de proteção do SOC, garantindo que o processo seja 100% automático”, ilustra Rebouças.
Para agilizar o trabalho desses centros e evitar a fadiga de alertas, a Kaspersky recomenda os seguintes hábitos de segurança corporativa:
- Organize turnos de expediente em seu SOC para evitar o excesso de trabalho da equipe e garantir que todas as principais tarefas sejam distribuídas pelos funcionários: monitoramento, investigação, arquitetura e engenharia de TI, administração e gerenciamento geral do SOC.
- A sobrecarga da equipe com tarefas de rotina pode causar burnout dos analistas do SOC. Algumas práticas, como transferências internas e a rotatividade, podem ajudar a administrar isso.
- Use serviços comprovados de inteligência de ameaças que permitem a integração da inteligência legível por máquinas em seus controles de segurança existentes, como um sistema de SIEM, para automatizar o processo de triagem inicial e gerar contexto suficiente para decidir se o alerta deve ser investigado imediatamente.
- Para ajudar a liberar seu SOC de tarefas rotineiras de triagem de alertas, use um serviço comprovado de detecção e resposta gerenciadas, como o do Kaspersky Managed Detection and Response. O serviço combina tecnologias de detecção baseadas em IA, com a ampla experiência em busca de ameaças e resposta a incidentes das unidades profissionais, inclusive da Equipe de Pesquisa e Análise Global (GReAT) da Kaspersky.
Acesse o Report completo no site da Kaspersky, por aqui.