Reduzindo a fadiga de alertas ao simplificar os processos do SOC

Views: 120
0 0
Read Time:4 Minute, 45 Second

Por Katrina Thompson da AT&T

Queríamos saber o que estava acontecendo em nossas vastas redes; as ferramentas modernas tornaram possível sabermos demais.

Alguns dados são bons, então petabytes de dados são melhores, certo? Em teoria, sim, mas todos sabemos que, na prática, isso realmente significa uma enxurrada de alertas, noites de trabalho extra e aquela sensação de culpa quando você precisa deixar alguns alertas sem investigar. Os SOCs hoje estão sobrecarregados enquanto tentam lidar com a nova carga de trabalho trazida por ameaças impulsionadas por IA, riscos baseados em SaaS, formas proliferantes de ransomware, a economia subterrânea de criminosos “as-a-Service” e redes complexas (nuvem privada, nuvem pública, nuvem híbrida, multi-nuvem, on-premises e muito mais). Ah, e mais ameaças impulsionadas por IA.

No entanto, os SOCs têm uma ferramenta com a qual podem reagir. Ao utilizar a automação a seu favor, os SOCs modernos podem cortar muitas notificações desnecessárias antes que se transformem em tarefas inacabadas. Isso levará a resultados mais positivos em geral.

A praga da fadiga de alertas

Uma manchete nada surpreendente diz: “Fadiga de alertas leva analistas de segurança ao limite.” E essa nem é a notícia mais emocionante do dia. Como observado por Grant Oviatt, Chefe de Operações de Segurança da Prophet Security, “Apesar dos avanços na automação, a investigação de alertas ainda é, em grande parte, um trabalho manual, e o número de alertas só aumentou nos últimos cinco anos. Algumas ferramentas automatizadas destinadas a aliviar a carga dos analistas podem, na verdade, aumentá-la ao gerar ainda mais alertas que exigem atenção humana.

Hoje, a fadiga de alertas vem de várias fontes:

  • Muitos alertas | Graças a todas essas ferramentas: firewalls, EDR, IPS, IDS, entre outros.
  • Muitos falsos positivos | Isso leva a tempo desperdiçado investigando falsos alarmes.
  • Falta de contexto | A ausência de informações adicionais dificulta saber quais alertas realmente podem ser relevantes.
  • Pouco pessoal | Mesmo adicionar mais pessoas ao problema não ajuda se você não tiver o suficiente. Considerando a quantidade de ameaças e alertas hoje, é provável que seria necessário aumentar o SOC em 100 vezes.

Como destacado no Helpnet Security, “As ferramentas de segurança de hoje geram um volume incrível de dados de eventos. Isso torna difícil para os profissionais de segurança distinguirem entre ruído de fundo e ameaças sérias… [M]uitos sistemas são propensos a falsos positivos, que são acionados por atividades inofensivas ou por limites de anomalias excessivamente sensíveis. Isso pode dessensibilizar os defensores, que podem acabar perdendo sinais importantes de ataques.”

Para aumentar a relação sinal-ruído e filtrar esse dilúvio de dados, os processos de automação no SOC são necessários para simplificar as operações de segurança. E esses processos automatizados tornam-se ainda mais eficazes ao adicionar as capacidades aprimoradas da inteligência artificial (IA), incluindo aprendizado de máquina (ML) e Modelos de Linguagem Extensos (LLMs) especificamente.

Filtrando falsos positivos

A automação nos traz todos os problemas em uma bandeja de prata, encontrando fielmente tudo o que programamos e entregando como um cão de caça. Mas, como qualquer SOC sabe, esses “pássaros mortos” se acumulam. E isso torna mais difícil encontrar os que realmente importam. Um estudo revelou que 33% das organizações estavam “atrasadas na resposta a ataques cibernéticos” porque estavam lidando com falsos positivos.

Qualquer um com uma ferramenta SOAR pode dizer que a automação é ótima, mas sozinha não é suficiente para lidar com a avalanche de falsos positivos. Mesmo as melhores soluções automatizadas (feitas internamente ou não) muitas vezes capturam muitos alertas na rede (para ser justo, há ameaças demais e elas estão apenas seguindo as regras). Algo mais é necessário para reduzir a quantidade de alertas antes que cheguem ao seu SOC.

Combinar automação com IA é o verdadeiro ponto ideal em segurança hoje. Soluções com IA usam sua capacidade de buscar anomalias, seus algoritmos avançados que podem filtrar spam de tráfego padrão e rapidamente identificar quais alertas são falsos. Ao combinar essa “intuição tecnológica” (muitas vezes heurística) com a automação, as soluções de segurança modernas podem lançar investigações e realmente fazer a análise por você. Isso não só ajuda a eliminar alertas ruins, mas também permite que você saiba, de todos os alertas válidos, quais são os mais importantes.

Priorizando ameaças reais

Além da automação, os Modelos de Linguagem Extensos (LLMs) públicos modernos podem trabalhar com seus sistemas automatizados atuais para tomar decisões mais complexas e não só identificar, mas priorizar alertas por severidade.

Os LLMs aprimoram a automação para realizar não apenas decisões baseadas em condições “se/então”, mas também avaliações mais sofisticadas ao detectar padrões, aprendendo com protocolos anteriores e ajustando suas capacidades de decisão com base em entradas contínuas. Com sua capacidade de investigar diferentes resultados quase simultaneamente, ferramentas automatizadas baseadas em IA podem calcular probabilidades nos alertas válidos e informar quais representam a ameaça mais crítica para sua empresa. Isso é eficiência.

Agora, você não só sabe quais alertas não valem seu tempo, mas também quais das ameaças reais são as mais importantes. Isso significa que seu SOC pode focar no que mais importa e deixar o trabalho de adivinhação para os algoritmos e automação (que, convenhamos, fazem tudo isso exponencialmente mais rápido – e sem fadiga).

Conclusão

Especialistas humanos sempre serão necessários para os trabalhos difíceis (como programar e integrar a IA ao seu ambiente em primeiro lugar), mas, com a ajuda do aprendizado de máquina, LLMs, automação e mais, os SOCs só precisarão realizar as tarefas desafiadoras. E não é assim que preferem usar sua expertise?

Esse artigo tem informações retiradas do blog da AT&T. A Neotel é parceira da AT&T e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.

POSTS RELACIONADOS