0
0
83% das organizações experimentaram mais de uma violação de dados em 2022. No entanto, 97% dos entrevistados se sentem confiantes de que estão bem equipados com as ferramentas e processos necessários para prevenir e identificar invasões ou violações, de acordo com a Exabeam.
“As descobertas indicam uma desconexão considerável entre as promessas do mercado e as percepções da equipe. Como resultado, as equipes carecem de visibilidade holística e contexto para se concentrar no comportamento do adversário para identificar as causas dos principais incidentes e violações. Como resultado, violações de dados em grande escala e esforços multimilionários de remediação estão prejudicando as marcas das organizações, a retenção de clientes e agem como uma distração para o ímpeto e os orçamentos dos negócios”, disse Steve Moore , estrategista-chefe de segurança da Exabeam .
O estado atual do SIEM nas organizações dos EUA
46% de todos os entrevistados operam mais de uma nuvem ou plataforma SIEMlocal . Entre aqueles com ferramentas SIEM:
- 64% daqueles que possuem uma plataforma estão muito confiantes de que podem detectar ataques cibernéticos com base apenas no comportamento do adversário, enquanto 59% daqueles com duas ou mais plataformas estão muito confiantes.
- Além disso, 4% dos profissionais de segurança dos EUA relatam não usar uma plataforma SIEM e, desses entrevistados, 81% estavam confiantes.
No entanto, apenas 17% de todos os entrevistados podem ver de 81 a 100% de sua rede. Como muitos analistas carecem de visibilidade total, a probabilidade de que os adversários estejam à espreita em cantos escuros aumenta cada vez mais.
A prevenção é uma prioridade mais alta do que a detecção, investigação e resposta de ameaças (TDIR)
Um dos motivos pelos quais as equipes de segurança lutam para evitar violações é que os adversários geralmente já estão na rede, sem serem detectados. Apesar desta realidade:
- 65% ainda priorizam a prevenção em vez da detecção, investigação e resposta como seu objetivo de segurança mais importante.
- Apenas 33% disseram que a detecção era a prioridade mais alta.
Os investimentos em segurança refletem esse pensamento:
- 71% gastam de 21 a 50% de seus orçamentos de segurança em prevenção.
- 59% investem a mesma porcentagem no TDIR.
“Como é amplamente conhecido, a verdadeira questão não é se os invasores estão na rede, mas quantos existem, há quanto tempo eles têm acesso e até onde eles foram”, continuou Moore. “As equipes precisam socializar essa questão e tratá-la como uma expectativa não escrita para realinhar seus investimentos e no qual atuar, colocando o foco necessário no alinhamento do adversário e na resposta a incidentes. A prevenção falhou.”
Equipes excessivamente confiantes na capacidade de prevenir ataques
Embora quase todos os entrevistados tenham certeza de que podem evitar ataques, essa confiança diminui quando questionada. Quando questionados se se sentiriam muito confiantes em dizer a um gerente ou ao conselho que nenhum adversário havia violado a rede naquele momento, apenas 62% disseram que sim, deixando mais de um terço com dúvidas.
“Os líderes empresariais estão se perguntando: ‘Por que coisas ruins continuam acontecendo?’ A resposta é que as equipes de segurança são excessivamente confiantes”, disse Tyler Farrar , CISO da Exabeam. “Muitos fornecedores prometem demais, deixando as organizações com um SIEM ineficaz que não pode realmente basear o comportamento normal e, como mostram os dados, alguns carecem totalmente de um SIEM. Isso está levando ao esgotamento, pois as equipes simplesmente não conseguem detectar anomalias ou impedir incursões.”
Problemas de plataforma e processo que aumentam o esgotamento da equipe
À medida que os ataques aumentam, os trabalhos de segurança se tornam cada vez mais exigentes. Cerca de 43% dos entrevistados citaram ser incapaz de evitar que coisas ruins aconteçam como a pior parte de seu trabalho, seguido por:
- Falta de visibilidade total devido a problemas de integração de produtos de segurança (41%)
- Incapacidade de centralizar e compreender todo o escopo de um evento ou incidente (39%)
- Não conseguir gerir o volume de alertas de deteção, com demasiados falsos positivos (29%)
- Não se sentir confiante de que resolveu todos os problemas na rede (29%)
Credenciais comprometidas são um dos principais vetores de ataque
Aumentando a complexidade da detecção de incidentes, a Exabeam descobriu que mais de 90% dos profissionais de segurança estão enfrentando casos de credenciais comprometidas. É fundamental observar que alguns SIEMs não usam análise comportamental e podem sinalizar incorretamente ações legítimas do usuário como maliciosas, aumentando o número de alertas falsos positivos que as equipes devem triar, aumentando a fadiga mental.
Com pontos cegos e alertas ruidosos, não surpreende que as equipes de segurança não consigam acompanhar o ritmo dos adversários:
- Apenas 11% podem avaliar o impacto geral dos comportamentos maliciosos detectados em menos de uma hora.
- 52% relatam que podem analisá-lo em uma a quatro horas.
- 34% levam de cinco a 24 horas para identificar anomalias de alta prioridade.
No entanto, a exfiltração de dados geralmente começa minutos após o ataque, e os adversários podem causar danos significativos em apenas algumas horas.
“Apesar dos gastos significativos com ferramentas de prevenção, os adversários ainda estão invadindo organizações usando credenciais comprometidas — que as soluções de prevenção não conseguem detectar”, disse Sam Humphries , chefe de estratégia de segurança, EMEA, Exabeam.
“E se esses são os padrões que estamos vendo nos EUA, onde o mercado de segurança está à frente, provavelmente é pior em outras regiões, como EMEA e APAC. Felizmente, quando as organizações investem em ferramentas de detecção com insights automatizados, análises comportamentais e processos fornecidos por plataformas, os profissionais de segurança ficam mais bem posicionados para detectar, investigar e responder aos adversários.”
FONTE: HELPNET SECURITY