0
0
As equipes de operações de segurança (SecOps) continuam sob um dilúvio constante de novos ataques e variantes de malware. De fato, de acordo com pesquisas recentes, havia mais de 170 milhões de novas variantes de malware apenas em 2021. Como resultado, o ônus dos CISOs e suas equipes para identificar e parar essas novas ameaças nunca foi tão alto. Mas, ao fazê-lo, eles enfrentam uma variedade de desafios: escassez de habilidades, correlação manual de dados, perseguição de falsos positivos, investigações longas e muito mais. Neste artigo, gostaria de explorar alguns dos desafios do programa de detecção de ameaças que os CISOs estão enfrentando e fornecer algumas dicas sobre como eles podem melhorar suas operações de segurança.
Os CISOs garantem que o programa de operações de segurança para detecção, investigação e resposta de ameaças (TDIR) esteja sendo executado no máximo desempenho. Vejamos sete questões-chave que podem afetar os programas TDIR e algumas perguntas que os CISOs devem considerar perguntar à sua organização, equipe de operações de segurança e os fornecedores que fornecem soluções para resolvê-los.
1. Existem muitos indicadores de compromisso (IoCs) ou eventos de segurança acontecendo em uma rede para identificar adequadamente atividades maliciosas. Como resultado, os CISOs estão procurando ferramentas avançadas que possam correlacionar e analisar esses dados efetivamente para eliminar falsos positivos. A última coisa que qualquer CISO quer é que sua equipe perca tempo em um evento que pode ser simplesmente um login falho associado a um usuário digitando incorretamente sua senha várias vezes.
Perguntas a fazer: Posso correlacionar dados de qualquer fonte (como logs, nuvem, aplicativos, rede, pontos finais, etc.), não importa o que sejam? Posso monitorar todos esses sistemas, ingerir toda a telemetria necessária e realizar correlação automaticamente? E o que está me custando correlacionar todos esses dados (ou seja, qual é o carregamento do meu provedor de solução)?
2. Correlacionar dados ao longo do tempo é difícil. É como juntar peças de quebra-cabeça de uma caixa cheia de vários quebra-cabeças. Um ataque que ocorre uma vez pode ser difícil de identificar. Mas uma vez que os atores de ameaça estão dentro de um ambiente, eles muitas vezes fazem um pouco de atividade espalhada por um período mais longo (às vezes dias, semanas ou meses depois). Isso torna quase impossível para um analista humano pegar esses eventos aparentemente diferentes ao longo do tempo e conectá-los para completar o quebra-cabeça.
A maioria das ferramentas também luta para correlacionar esses eventos aparentemente independentes como parte do mesmo ataque porque eles parecem não relacionados ao longo do tempo. Os CISOs são responsáveis por garantir que a equipe tenha tudo o que precisa (com base em orçamentos limitados) para montar esse quebra-cabeça antes que os danos sejam feitos.
Perguntas a fazer: Tenho uma grande variedade de fontes de dados e análises que podem processar eventos e correlacioná-los com o tempo de forma eficaz? O conteúdo de ameaça fora da caixa está incluído para detecção de ataque em tempo real?
3. Ao juntar uma campanha de ataque, a correlação manual e a investigação de diferentes fontes de segurança ampliam drasticamente o tempo e os recursos necessários de um CISO e sua equipe. A retirada de dados de vários sistemas ao mesmo tempo é necessária para obter as informações contextuais necessárias para descobrir o que está errado (e como responder). Mas no tempo que isso leva, o dano já poderia ser feito. Esse desafio pode facilmente frustrar os CISOs que investiram tanto tempo e dinheiro na construção do programa de operações de segurança.
Perguntas a fazer: Sua equipe atual tem que fazer muita correlação manual, e como eles são capazes de realizar isso com eventos que se estendem por semanas ou até meses? Sua equipe tem que pesquisar através de várias ferramentas e montar o contexto por conta própria para ver padrões que ajudarão a formular uma melhor resposta ao trabalhar com outras equipes de TI?
4. A lacuna de habilidades continua sendo um problema. No entanto, à medida que profissionais mais experientes que foram fundamentalmente treinados em redes, servidores e outros aspectos da TI estão envelhecendo fora da força de trabalho, os CISOs estão sendo forçados a contratar analistas mais focados em segurança, mas com experiência de praticante menos ampla. Isso está afetando a quantidade de treinamento e experiência no trabalho necessários (e oferecidos) para que eles sejam eficazes. Não há profissionais de cibersegurança qualificados o suficiente no mercado hoje.
Perguntas a fazer: Como minha plataforma TDIR pode automatizar certas tarefas e trazer o contexto certo para a vanguarda. Como pode fornecer o contexto necessário que pode ajudar um analista menos experiente a aprender ao longo do tempo e agregar cada vez mais valor?
5. Os fornecedores estão superpromissando e entregando. Quando se trata de detecção de ameaças, muitos fornecedores afirmam falsamente ou exageram que têm aprendizado de máquina (ML), inteligência artificial (IA), suporte multicloud e/ou aplicam métricas de risco. Os CISOs são barrados com fornecedores que afirmam oferecer uma bala de prata na pior das hipóteses ou usando reivindicações de marketing questionáveis na melhor das hipóteses. Nem entrega o que é prometido.
Perguntas a serem feitas: A solução usa ML/AI baseada em regras (o que é importante entender considerando que é estática na natureza, requer atualização e é ineficaz na identificação de novos ataques e variantes)? A multicloud apenas faz correlação (deixando-a para o analista determinar se um ataque está ocorrendo em várias nuvens)? A pontuação de risco é apenas pontuação agregada de fontes públicas (não alavancando um mecanismo de risco de classe empresarial alimentado por análises)?
6. A troca de custo e orçamento versus melhor visibilidade de segurança pode ser uma escolha dolorosa. Os CISOs geralmente são apresentados com plataformas (como um SIEM) que cobram das organizações com base no volume de dados ingeridos. À medida que uma organização cresce, o carregamento por dados ingeridos é imprevisível e pode levar rapidamente a um rápido aumento dos custos em licenciamento e armazenamento. Como resultado, os CISOs devem procurar soluções que reduzam essa carga de custos, ao mesmo tempo em que permitem que a organização puxe e ingera o máximo de dados possível. O resultado é melhor visibilidade do SOC e TDIR mais eficaz.
Perguntas a fazer: Para uma solução que emprega o verdadeiro aprendizado de máquina, mais dados podem ser puxados para dentro, melhor. Minha solução me penaliza por trazer mais dados? Ou ela adota mais ingestão de dados para oferecer melhor visibilidade e fazê-lo fornecendo licenciamento flexível? Como meu provedor pode ajudar a reduzir os custos de armazenamento?
7. A automação pode impulsionar a eficiência e acelerar a detecção de ameaças. Isso pode liberar os membros da equipe de segurança para concentrar sua atenção em tarefas mais intensivas. Quando feito de forma eficaz, isso proporciona economia opex – o que significa menos tempo e recursos gastos em tarefas simples e manuais de baixo valor, ao mesmo tempo em que reduz o tempo para tarefas de alto valor. Também pode proporcionar melhor experiência para analistas juniores, especialmente quando suas análises e automação são transparentes, permitindo que eles aprendam e melhorem.
Mas nem toda automação é criada igual. Soluções que produzem muito barulho e muitos falsos positivos dificultam a priorização da investigação e automatização de respostas. Quanto mais precisa for a detecção de ameaças, mais direcionada pode ser a resposta automatizada.
Perguntas a fazer: A automação na solução é inerente a todo o meu ciclo de vida SOC? Se sim, como eu sei que está funcionando e como posso confiar que está otimizando minhas operações (por exemplo, pode mostrar que estou parando ameaças mais cedo na cadeia de morte)?
À medida que os CISOs e suas equipes de operações de segurança buscam melhorar a detecção de ameaças, eles enfrentarão uma variedade de problemas em torno de visibilidade, custo, flexibilidade (especialmente em ambientes em nuvem), análises, priorização, dados contextuais e muito mais. Mas trabalhando juntos para entender esses desafios – e nos armando com conhecimento e as perguntas certas – nossa indústria pode continuar a evoluir e entregar melhores operações de segurança para nossas organizações.
FONTE: HELPNET SECURITY