Na última década, tem havido uma desconexão crescente entre os analistas da linha de frente e a gestão sênior em TI e segurança cibernética. Os desafios bem documentados que os analistas modernos enfrentam giram em torno de um grande quantity de alertas, falsos positivos, pouca visibilidade dos ambientes técnicos e analistas que gastam muito tempo em tarefas manuais.
O impacto da fadiga do alerta e dos falsos positivos
Os analistas estão sobrecarregados com alertas. O efeito indireto disso é que analistas cansados correm o risco de perder detalhes importantes em incidentes e muitas vezes realizam tarefas de triagem demoradas manualmente, apenas para acabar copiando e colando um comentário remaining genérico em um alerta falso positivo.
É provável que sempre haja falsos positivos. E muitos argumentariam que um falso positivo é melhor do que um falso negativo. Mas para que sejam tomadas ações proativas, devemos chegar mais perto do cerne de um incidente. Isso requer um mergulho na forma como os analistas conduzem o processo de triagem e investigação.
Plataforma de resposta SHQ para triagem e investigação
Um processo típico de triagem geralmente é guide e aproveita os analistas para realizar pesquisas de log individuais em busca de informações contextuais. A partir destas informações, eles começam a montar uma história do que ocorreu e a fornecer uma ideia da escala geral de risco.
A Plataforma de Resposta SHQ utiliza Inteligência Synthetic (IA) para correlação de logs, extraindo informações de diferentes fontes e visualizando-as em uma única página de incidente. A partir disso, os dados críticos são apresentados em um cronograma claro e os artefatos são atualizados automaticamente no portal.
Ao ter os dados mais importantes apresentados em um só lugar, um analista investigador pode eliminar o ruído e permanecer em uma única interface. Eles não precisam mais navegar entre diversas fontes de log ou realizar pesquisas manuais no SIEM para coletar os logs relevantes e entender a história de um incidente de segurança.
 |
| Figura 1: Gráfico de incidentes, plataforma de resposta SHQ ©2024 SecurityHQ |
A função de linha do tempo também permite que um analista investigue a lógica por trás de um alerta ou acionador de caso de uso. Isso é mostrado com os Indicadores de Compromisso (IoCs) relevantes, que podem ser bloqueados automaticamente usando ferramentas integradas de back-end.
Plataforma de resposta a incidentes para partes interessadas seniores
Analistas sobrecarregados e inundados por falsos positivos são endêmicos. O chefe de operações globais de SOC da SecurityHQ, Deodatta Wandhekar, expressou melhor a situação ao explicar que:
“Sessenta por cento dos incidentes SOC são descobertas repetidas que continuam a ressurgir devido a riscos subjacentes não mitigados. Os atores podem ser diferentes; no entanto, o risco é basicamente o mesmo. Isso está causando fadiga de alerta significativa”.
É preciso considerar como colmatar esta lacuna, com um foco claro nos objectivos empresariais e na apetência pelo risco, mantendo ao mesmo tempo um nível de detalhe técnico.
Registro de riscos para colaboração e estratégia
O Registro de Riscos integrado do SecurityHQ permite que analistas e líderes empresariais trabalhem juntos para conduzir atividades de mitigação, usando a perspicácia técnica da equipe operacional para informar decisões estratégicas de negócios.
Isso permite que os analistas desempenhem um papel na condução de um programa de segurança cibernética. Ao ter um nível de propriedade técnica, é promovida uma abordagem mais colaborativa entre analistas operacionais e pessoal de gestão. Também permite que analistas antes sobrecarregados vejam claramente os frutos do seu trabalho reflectidos em práticas empresariais mais amplas.
Próximos passos
A SecurityHQ, tanto como parceiro consultivo quanto como proprietária de tal plataforma, contribui para desenvolver um melhor relacionamento entre a gestão e os analistas, fornecendo um registro de riscos intuitivo e amigável aos executivos.
A partir daqui, o foco em abordagens e roteiros proativos, em vez de simplesmente “combater incêndios” e encerrar incidentes dentro de um Acordo de Nível de Serviço (SLA), cria a oportunidade para mudanças significativas em uma empresa.
Para mais informações, fale com um especialista aqui. Se você suspeitar de um incidente de segurança, relate um incidente aqui.
Observação: este artigo foi escrito habilmente por Tim Chambers, gerente sênior de segurança cibernética da SecurityHQ
