Tech

Como aproveitar ao máximo o orçamento de alertas por e-mail da sua equipe de segurança

Photo of LifeTechWeb LifeTechWebAugust 4, 2024
0 8 minutos lidos
Como aproveitar ao máximo o orçamento de alertas por e-mail da sua equipe de segurança
main

Vamos resumir a introdução FUDdy: todos sabemos que os ataques de phishing estão aumentando em escala e complexidade, que a IA está permitindo ataques mais sofisticados que escapam das defesas tradicionais e a lacuna interminável de talentos em segurança cibernética significa que estamos todos lutando para manter as equipes de segurança totalmente equipadas.

Dada essa realidade, as equipes de segurança precisam ser capazes de monitorar e responder a ameaças de forma eficaz e eficiente. Obviamente, você não pode deixar ameaças reais passarem despercebidas, mas também não pode se dar ao luxo de perder tempo perseguindo falsos positivos.

Nesta publicação, veremos algumas das maneiras como a abordagem exclusiva da Materials Safety para segurança de e-mail e proteção de dados pode economizar significativamente — e quantificavelmente — horas semanais para suas equipes de segurança, ao mesmo tempo em que melhora a eficácia do seu programa de segurança.

Qual é o seu orçamento de alerta?

Antes de mergulharmos no “como”, vamos reservar um momento para analisar por que eficiência é crítica em operações de segurança. Para fazer isso, vamos pensar em quantos alertas suas equipes de segurança e resposta a incidentes podem realisticamente triar, investigar e responder em um determinado dia. Assim como seu departamento tem um orçamento que limita quanto dinheiro você pode gastar com pessoas e ferramentas, suas equipes de segurança têm um limite para a quantidade de tempo que podem dedicar para responder a ameaças em um determinado dia. Esse é o seu orçamento de alerta.

Esse número mudará dia a dia, é claro, dependendo da gravidade e complexidade dos incidentes que surgirem, do número de projetos estratégicos críticos em que sua equipe estiver trabalhando e de uma miríade de outros fatores. Mas há um limite. E assim como você não pode se dar ao luxo de desperdiçar seus recursos financeiros limitados em ferramentas redundantes ou software program que não fornecem valor para sua equipe, você não pode se dar ao luxo de suas equipes desperdiçarem seu orçamento de alerta investigando alertas duplicados, remediando o mesmo problema repetidamente ou perseguindo falsos positivos.

A eficiência com que sua equipe de segurança gasta seu orçamento de alerta é tão importante quanto a forma como você gasta seu dinheiro, se não mais. Agora, vamos mergulhar em como ajudamos a melhorar essa eficiência.

Equilibrando precisão e sensibilidade

Não importa quantos alertas sua equipe receba, há um número limitado de horas em um determinado dia que sua equipe pode dedicar para responder a eles. A abordagem do Materials para phishing foi construída na filosofia de que precisamos ajudar nossos clientes a aproveitar ao máximo seu tempo. Os alertas que geramos devem capturar o máximo de ameaças possível, ao mesmo tempo em que geram o mínimo possível de falsos positivos.

“Precisão” e “recall” são termos que serão familiares para um cientista de dados, mas podem não soar imediatamente familiares para o pessoal de segurança. No contexto de detecções de e-mail, precisão é uma medida de quantos e-mails sinalizados como maliciosos são realmente maliciosos, enquanto recall é uma medida de quantos dos e-mails maliciosos realmente recebidos são sinalizados pelo sistema.

Um sistema de segurança que gera muito poucos falsos positivos tem alta precisão, e um sistema que captura quase todas as ameaças que vê tem alta recuperação. Em um certo nível granular, há alguma compensação entre os dois: como você pode imaginar, você pode diminuir o número de falsos positivos que gera diminuindo a sensibilidade das detecções: mas diminuir a sensibilidade frequentemente levará a verdadeiros positivos sendo perdidos também. Por outro lado, você pode minimizar esses verdadeiros positivos perdidos aumentando a sensibilidade, mas isso gerará mais falsos positivos.

O foco na Materials tem sido construir um mecanismo de detecção que equilibre os dois efetivamente e exponha as mensagens maliciosas nas quais você realmente precisa se concentrar. No ambiente de ameaças cada vez mais complexo de hoje, nenhuma camada única de proteção é suficiente — e nenhum método único de detecção pode atingir o equilíbrio certo por si só. Para esse fim, o Materials Detection Engine é composto por quatro componentes principais:

1
  • Detecções de materiais: Uma combinação de técnicas de aprendizado de máquina com regras criadas por nossa dedicada equipe de pesquisa de ameaças. IA e ML são ótimas para conectar pontos e encontrar relacionamentos que os humanos podem perder, mas, para todos os avanços em IA ultimamente, ainda não há substituto para o perception e a capacidade da experience humana. Detecções de materiais são o melhor dos dois mundos.
  • Detecções personalizadas: Cada organização e cada ambiente são únicos, por isso oferecemos aos clientes a capacidade de criar detecções personalizadas com base no que você vê em sua base de usuários ou no ambiente em que está.
  • Alertas do provedor de e-mail: O Google e a Microsoft emitem alertas periódicos para e-mails de phishing que eles detectam após a entrega; nós ingerimos e processamos esses alertas e os adicionamos às nossas detecções.
  • Relatórios de usuários: O Materials automatiza sua caixa de correio de abuso, desde a ingestão de relatórios de usuários, consolidação de mensagens semelhantes em um único caso e aplicação imediata de proteção automatizada, ao mesmo tempo em que fornece fluxos de correção flexíveis para equipes de segurança.

Todas essas facetas se combinam em uma plataforma de detecção poderosa e incrivelmente precisa que dá aos nossos clientes proteção poderosa sem desperdiçar seu tempo com falsos positivos e ruídos — atingindo o que acreditamos ser o equilíbrio certo entre precisão e recall. Mas, embora equilibrar efetivamente precisão e sensibilidade seja crítico, não é o suficiente: uma plataforma de segurança de e-mail moderna também precisa agilizar as próprias operações de segurança.

Me engane duas vezes, que vergonha

Houve um aumento notável em campanhas de ataque por e-mail que não são apenas abrangentes, mas muito personalizadas. Há um debate sobre o quanto disso pode ser atribuído à IA generativa — a suposição predominante period que a explosão da IA ​​generativa daria aos adversários um novo conjunto de ferramentas para brincar, mas pesquisas como o DBIR 2024 da Verizon mostram pouco impacto significativo em ataques e violações neste momento.

Independentemente de esses ataques serem gerados por IA ou não, não há como negar que eles estão aumentando. Claro, todos nós ainda recebemos o genérico e transparente 'você está disponível?' mensagens de nossos “CEOs” quando ingressamos em uma nova empresa. Mas também recebemos e-mails com faturas falsas vindas de domínios que são paródias de parceiros e fornecedores confiáveis. Vemos ataques complexos de pretextos expondo histórias completamente críveis de remetentes que parecem ter conexões conosco. Recebemos e-mails de domínios homóglifos que enganam até o usuário mais consciente.

E frequentemente esses ataques são repetidos em uma organização, mas adaptados a cada destinatário. Eles não apenas escapam dos controles de segurança de e-mail nativos e passam pelos SEGs, mas também aparecem como ataques individuais. Linhas de assunto, remetentes e até mesmo o conteúdo do corpo podem variar de e-mail para e-mail, dificultando agrupá-los facilmente — o que significa que sua equipe de segurança tem que passar por vários ciclos para investigar e responder a dezenas ou centenas de iterações do mesmo ataque.

O Materials ajuda as equipes de segurança e IR a lidar com esse problema com agrupamento automático de mensagens suspeitas. Quando o Materials detecta uma ameaça potencial, ele cria automaticamente um Caso dentro da nossa plataforma. Em seguida, ele vasculha todo o ambiente em busca de mensagens que correspondam a esse caso, com base em uma série de critérios. Ele procura por similaridades entre os campos usuais, é claro: remetentes correspondentes, linhas de assunto correspondentes, texto do corpo correspondente, and so forth. Mas ele também procura por coisas como URLs incorporadas nas mensagens e anexos, ataques correspondentes que, de outra forma, seriam impossíveis de agrupar por outros meios.

2
O Materials cria casos para todas as mensagens detectadas e agrupa mensagens semelhantes, simplificando a investigação e a correção.

E quando as mensagens são agrupadas em um único caso, isso torna a triagem, a investigação e até mesmo a remediação significativamente mais simples. Os speedbumps por padrão são aplicados automaticamente a todos as mensagens dentro do caso – assim seus usuários receberão um aviso de que a mensagem pode ser maliciosa antes mesmo que sua equipe tenha an opportunity de investigar. E depois que você tiver investigado e aplicado uma correção a uma única mensagem dentro do caso, cada mensagem naquele caso – até mesmo mensagens correspondentes que são entregues após sua investigação – receberão a mesma correção.

Já vimos exemplos poderosos de como isso ajuda nossos clientes no mundo actual. Um cliente da Materials nos disse recentemente que eles rastrearam suas investigações de e-mail de phishing ao longo de um período de três meses. Naqueles 90 dias com a ajuda da Materials Safety, seu SOC economizou mais de 300 horas de tempo investigando e respondendo a e-mails de phishing. Todas essas horas permaneceram em seu orçamento de alerta para lidar com outros assuntos urgentes.

Aproveitando a inteligência coletiva da sua organização

A força de trabalho de hoje está bem ciente das ameaças de phishing. Isso não significa que eles não caem nelas, é claro, mas significa que eles estão atentos a mensagens suspeitas, mal formuladas ou simplesmente inesperadas.

E é importante fazer isso direito. Nenhuma linha de defesa vai capturar todas as ameaças de e-mail de entrada e, apesar de todos os avanços incríveis em IA e detecções de máquina, às vezes não há substituto para um funcionário atento perceber que um e-mail simplesmente não passa no teste de detecção.

A desvantagem é que manuseio os relatórios de usuários também podem ser um dreno significativo para sua equipe de segurança se não forem tratados corretamente. Relatórios duplicados, e-mails inofensivos sinalizados para revisão, a necessidade de responder ao(s) usuário(s) que sinalizaram… quando você soma os minutos em que todas essas ações exigem mais de dezenas ou centenas de relatórios todos os dias, pode ser uma perda de tempo significativa.

1
O Materials automatiza todo o ciclo de vida da resposta ao relatório do usuário, aplicando imunidade de rebanho imediata a todas as mensagens dentro de um caso de mensagem relatado em toda a sua organização.

O Materials elimina a rotina diária de backend de relatórios de usuários, automatizando sua caixa de correio de abuso para acelerar a correção e economizar tempo para sua equipe de segurança. O Materials adiciona automaticamente um speedbump às mensagens relatadas em toda a sua base de usuários, fornecendo uma camada imediata de proteção enquanto sua equipe de segurança investiga o problema.

Opções de correção granular permitem que suas equipes aumentem a velocidade, bloqueiem hyperlinks ou excluam completamente e-mails relatados que se revelem maliciosos. E, graças à consolidação de casos e à correspondência de mensagens semelhantes, quando você investigou e respondeu a um e-mail, você respondeu a todas as mensagens semelhantes em todo o caso. Por fim, o Materials responde automaticamente aos repórteres com uma mensagem de confirmação, que você pode alterar ou atualizar conforme sua investigação avança, se desejar.

O Materials simplifica e agiliza o processo de ingestão e resposta a relatórios de usuários, ao mesmo tempo em que adiciona proteção imediata para fornecer cobertura aérea para investigações.

Proteção avançada em que você pode confiar, eficiência que você pode levar ao banco

Suas equipes de segurança já têm que fazer malabarismos suficientes. Com o Materials Safety, eles perseguirão muito menos falsos positivos, farão a triagem e investigarão casos de phishing mais rapidamente e gastarão menos tempo em trabalho administrativo com relatórios de usuários. O Materials libera mais do seu orçamento de alertas para que você possa gastá-lo no que realmente importa.

Para ver quanto tempo você pode devolver à sua equipe de segurança, entre em contato conosco para uma demonstração hoje mesmo.

Tags
Photo of LifeTechWeb LifeTechWebAugust 4, 2024
0 8 minutos lidos
Photo of LifeTechWeb

LifeTechWeb

Artigos relacionados

Série de coolers líquidos multifuncionais DeepCool MYSTIQUE revelada

Série de coolers líquidos multifuncionais DeepCool MYSTIQUE revelada

February 22, 2024
O estado dos LLMs multilíngues: indo além do inglês

O estado dos LLMs multilíngues: indo além do inglês

February 10, 2024
Vigilância Synology: reconhecimento automático de placas de veículos (ALPR)

Vigilância Synology: reconhecimento automático de placas de veículos (ALPR)

April 2, 2024
Malware AndroxGh0st tem como alvo aplicativos Laravel para roubar credenciais de nuvem

Malware AndroxGh0st tem como alvo aplicativos Laravel para roubar credenciais de nuvem

March 21, 2024

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button