0
0
Ataques sofisticados, trabalho remoto necessidades e tecnologias em rápida mudança desafiam as organizações a gerenciar a segurança de TI, contendo custos e usando funcionários sobrecarregados. Os centros de operações de segurança (SOCs) usam cada vez mais a automação para gerenciar a complexidade, melhorar o desempenho dos processos e melhorar a produtividade de funcionários valiosos.
Em um exemplo recente de automação, a Microsoft anunciou a eliminação do “Patch Tuesday” e o lançamento do Windows Autopatch – automatizando as atualizações do Windows para qualidade e recursos. O patch pode ser uma tarefa de segurança cibernética intensiva, mas crítica, muitas vezes deixada desfeita devido a outras prioridades. A nova abordagem acelera a implantação de patches para reduzir possíveis riscos de segurança, reduzindo os recursos da organização necessários para atualizações.
Outro exemplo é a automação dos processos de gestão de banco de dados. Historicamente, as organizações dedicam recursos significativos de TI para fornecer aos seus clientes usuários novas formas de acessar, analisar e usar dados. Os provedores de plataforma de banco de dados agora estão usando a automação para “democratizar” o acesso de dados para os usuários e eliminar o gargalo de TI. Tanto as ferramentas de data warehouse autônomo de nova geração da Oracle quanto o Catálogo de Dados Azure da Microsoft e ferramentas associadas estão usando a automação para tornar as informações digitais acessíveis ao trabalhador não técnico. A automação torna as tarefas de TI rotineiras mais eficientes, acelera a implementação e libera a equipe para atender a outras prioridades.
A automação é uma tendência emergente para SOCs. Como a nova tecnologia de patches de segurança da Microsoft, a automação SOC pretende melhorar a postura de segurança de uma empresa e reduzir a carga sobre engenheiros de segurança e analistas de segurança.
Como profissionais de segurança, todos nós olhamos para novas tecnologias SOC que prometem detectar ameaças que podem ser catastróficas para nossas organizações. Mas muitas vezes, as pessoas que trabalham no SOC podem ser negligenciadas. O verdadeiro trabalho do SOC continua a ser tratado por engenheiros de segurança que mantêm as ferramentas e os analistas de segurança que têm os insights que podem avaliar ataques e determinar o que a organização deve fazer para lidar com ameaças. As equipes do SOC estão sendo estressadas e esticadas até o ponto de ruptura. Os CISOs se concentram cada vez mais em como melhorar as habilidades de suas equipes para responder a ameaças, bem como melhorar a satisfação no trabalho, o que é fundamental para manter a equipe em um mercado de trabalho apertado.
Consta em um relatório recente da Fortinet que os analistas do SOC permanecem entre os papéis mais procurados em segurança cibernética. Além disso, as equipes de segurança devem processar manualmente milhares de alertas todos os dias, levando à escassez de pessoal. Em um estudo da ISACA de 2022, 62% dos entrevistados relataram que suas equipes de segurança cibernética estão com falta de pessoal.
Os profissionais de segurança estão procurando soluções que possam ajudar com os problemas da força de trabalho – automação para tarefas manuais de segurança, ferramentas que ajudem os analistas a avaliar e corrigir ameaças e automação de fluxo de trabalho para tornar os processos mais eficientes. Vejamos onde os avanços nas soluções de automação SOC podem ajudar.
Menos é melhor
Perseguir manualmente milhares de alertas todos os dias é ineficiente e frustrante para os analistas, sem mencionar uma oportunidade de exploração de atacantes. As plataformas SOC modernas podem ingerir e gerenciar automaticamente uma quantidade maior de dados de mais fontes usando aprendizado de máquina, intel de ameaças, correlação e regras para análise.
A investigação automatizada de ameaças pode amplificar e priorizar sinais de ataque e minimizar falsos positivos. Em vez de receber milhares de ameaças, fornecer o ataque mais quente leva aos analistas permite que eles detectem e respondam àqueles que são mais críticos. Por exemplo, analisar uma prevalência suspeita de hash binário em dispositivos da organização pode indicar se o alerta é um ataque real ou um falso positivo a partir de processos automáticos.
Uma imagem vale mais que mil palavras
Apresentações de ataque simplificadas para analistas também podem melhorar a eficiência e permitir uma resposta mais rápida. Os pontos de ataque de links de correlação para fornecer uma melhor visão sobre o ataque e a correlação baseada em gráficos apresenta a história completa de ataque em um formato que permite aos analistas entender facilmente o ataque melhor e mais rápido para responder com mais clareza. Por exemplo, a correlação entre os alertas de EDR, Okta e firewall com base no IP de um invasor pode indicar um ataque de maior prioridade e ajuda o analista a se concentrar em investigar simultaneamente três alertas de diferentes plataformas de detecção.
Dados não igualam conhecimento
Mesmo quando menos alertas são repassados aos analistas, os dados não fornecem informações suficientes para o analista determinar rapidamente as ações de resposta necessárias. A correlação de sinais e alertas baseados em aprendizado de máquina em diferentes áreas de atividade suspeita pode surgir histórias de ataque acionáveis para analistas. Essas histórias de ataque podem ser escaladas em ferramentas SOAR e outros fluxos de trabalho existentes que permitem automação de resposta, identificam ações de mitigação, reduzem o tempo de vida dos invasores e melhoram o desempenho dos analistas.
Por exemplo, a correlação automática entre os diferentes usuários de um único funcionário em várias plataformas (por exemplo, usuário do Active Directory, usuário AWS, usuário de aplicativo) pode reduzir o tempo de resposta desativando rapidamente os diferentes usuários da plataforma pertencentes ao mesmo funcionário hackeado. Usando a automação para elevar a detecção e a análise, os fluxos de trabalho de analistas de nível um podem ser automatizados, os analistas de nível um podem ser “upskilled” e analistas de nível dois e nível três podem ser capacitados.
Melhoria precisa de feedback
E por último, o volume avassalador de alertas e a triagem de alertas significa que os analistas de segurança muitas vezes não têm tempo para passar seus aprendizados de volta para o resto da organização. Fazer melhorias contínuas nas operações do SOC e na postura de segurança da organização não é feito apenas comprando novas tecnologias. Os aprendizados e insights dos analistas precisam ser alimentados no sistema para que seus conhecimentos sejam compartilhados em toda a organização e possam ser usados para melhorar as operações do SOC. Automatizar tarefas mundanas e permitir que os analistas identifiquem e respondam a ataques mais rapidamente permita essa colaboração.
Olhando para o futuro
É improvável que o futuro seja menos complexo – os ataques continuarão, os hackers usarão métodos cada vez mais sofisticados e inteligentes para violar as defesas corporativas e a escassez de analistas não será resolvida rapidamente. A automação do SOC pode permitir que os funcionários do SOC sejam verdadeiros profissionais de segurança – capacitando as equipes de segurança a superar o volume e a complexidade, focando na detecção e resposta a ameaças e no trabalho para melhorar a eficiência organizacional e, ao mesmo tempo, reduzir custos.
FONTE: HELPNET SECURITY