0
0
À medida que as redes continuam a evoluir e as ameaças à segurança se torem mais complexas, a análise de segurança desempenha um papel cada vez mais crítico na proteção da empresa. Ao combinar software, algoritmos e processos analíticos, a análise de segurança ajuda equipes de TI e segurança de forma proativa (e reativa) a detectar ameaças antes que resultem em perda de dados ou outros resultados prejudiciais.
Dado que o tempo médio para identificar e conter uma violação de dados em 2021 foi de 287 dias, é mais importante do que nunca que as organizações incluam análises de segurança em seus programas de detecção e resposta a ameaças. Mas como essa tecnologia mudou na última década? Neste artigo, explorarei a evolução e a importância das análises de segurança.
Essa evolução teve duas tendências principais.
Primeiro, a análise de segurança está se tornando mais sofisticada. Nos últimos 10 anos, a indústria passou de alerta baseado em regras para análise de big data e machine learning. Em segundo lugar, os produtos tornaram-se mais abertos e personalizáveis.
Como essas tecnologias avançaram, também têm seus casos específicos de uso, com organizações usando-as para análise de identidade (examinando autenticação, autorização e acesso a anomalias), fraude (encontrar transações anômalas) e muito mais. Hoje, a análise de segurança desempenha um papel central nas soluçõesSIEM (SecurityInformation and Event Management) e nos produtos de detecção e resposta de rede (sem mencionar o software de análise de segurança autônomo).
Para entender melhor essa evolução e as capacidades das soluções atuais de análise de segurança, vamos mergulhar nas três principais gerações de avanço em análise de segurança.
Geração Um
As análises tradicionais de segurança focadas em correlação e regras dentro de uma plataforma proprietária.
Os usuários importaram dados em um banco de dados fechado, os dados foram normalizados e executados através de um mecanismo de correlação, e então o sistema produziu alertas com base em regras. Os produtos geralmente incluíam o enriquecimento de alerta, que forneceu um contexto mais útil, juntamente com um alerta, como vinculá-lo a um usuário específico, host ou endereço IP.
No entanto, essa era muitas vezes sofria de “fadiga de alerta” onde a solução analítica produzia mais alertas do que a equipe de segurança poderia investigar, incluindo um alto número de falsos positivos. A classificação de quais alertas eram importantes e quais não estavam envolvidos em grande parte do trabalho manual. Além disso, essas soluções eram muitas vezes totalmente proprietárias, com pouca ou nenhuma opção de personalização. Isso impediu que a equipe de segurança ajustasse as regras para reduzir o número de alertas ruins. Eles estavam presos com o problema da fadiga de alerta.
Geração Dois
A segunda geração de análises de segurança começou a incorporar big data e análise estatística, mantendo-se uma caixa preta para os usuários.
Essas soluções ofereciam lagos de dados em vez de bancos de dados, o que permitia que uma maior variedade de dados fossem coletados e analisados, mas ainda eram proprietários. Novos recursos de análise surgiram, como a capacidade de incluir dados em nuvem, pacotes de rede e dados de fluxo, mas os usuários ainda não conseguiam ver como funcionavam ou verificar os resultados.
O enriquecimento de dados era melhor, mas os usuários em grande parte não conseguiam personalizar os dados contextuais que queriam com seus alertas. Por exemplo, uma equipe de segurança pode querer adicionar dados de criticidade de ativos para que eles possam priorizar eventos que afetam peças-chave de sua infraestrutura ou incluir informações de fontes externas como o VirusTotal.
Muitas soluções começaram a oferecer recursos de caça a ameaças também, o que facilitou a busca proativa de equipes de segurança por atividades suspeitas que evitavam os controles de segurança do perímetro.
Mas falsos positivos e largura de banda limitada nas equipes de segurança continuaram a ser um grande desafio. Na verdade, isso continua sendo um desafio hoje. De acordo com o Insider Threat Report de 2021 do Cybersecurity Insiders, 33% dos entrevistados disseram que o maior obstáculo para maximizar o valor de seu SIEM não era ter recursos suficientes e 20% disseram muitos falsos positivos.
Geração Três
A terceira geração de tecnologias de análise de segurança nos leva aos dias atuais, onde aprendizado de máquina, análise comportamental e personalização estão impulsionando a inovação.
Agora existem produtos SIEM que permitem que as organizações usem seus lagos de dados existentes, em vez de forçar os clientes a usar os proprietários. E algumas soluções abriram seus modelos de análise, enriquecimento e aprendizado de máquina para que os usuários possam entendê-los melhor e modificá-los conforme necessário.
Hoje, algoritmos poderosos encontram padrões em dados, definem linhas de base e identificam outliers. Há também um maior foco na identificação de comportamentos anômalos (um usuário que toma ações suspeitas) e na priorização e classificação do risco de alertas com base em informações contextuais, como dados de sistemas Sharepoint ou IAM. Por exemplo, um usuário acessando código-fonte com credenciais legítimas pode ser um alerta de baixa prioridade na melhor das hipóteses, mas esse usuário que o faz no meio da noite pela primeira vez em semanas a partir de um local suspeito deve acionar um alerta de alta prioridade. Graças a esses recursos, as soluções analíticas estão chegando ao ponto em que podem desencadear ações de remediação automaticamente.
As análises de segurança evoluíram rapidamente nos últimos anos e, à medida que olhamos para frente, a indústria está começando a combinar SIEM, User Entity Behavioral Analytics (UEBA),Security Orchestration, Automation and Response(SOAR) e Extended Detection and Response (XDR)para uma abordagem mais automatizada e rica em telemetria para detecção e resposta de ameaças.
Mas hoje, os últimos avanços estão ajudando a reduzir a carga de trabalho nas equipes de segurança, permitindo que eles detectem e contenham melhor ameaças conhecidas e desconhecidas mais rapidamente. O acesso aberto à análise de segurança também é uma mudança monumental que ajuda as equipes a entender melhor e ajustar essas soluções para que possam verificar modelos e gerar melhores resultados.
Idealmente, as soluções de análise devem ter bibliotecas fortes pré-construídas de modelos de aprendizado de máquina que não exigem que os usuários sejam cientistas de dados para editá-los (mas dar-lhes a opção de edição, se necessário). À medida que essas capacidades continuam a se desenvolver, acredito que serão um fator-chave para ajudar as equipes de segurança a reduzir esse tempo médio de 287 dias para conter uma brecha nos próximos anos.
FONTE: HELPNET SECURITY