A automação de detecção de ameaças não resolverá todos os seus problemas

Um artigo recente do Network World argumentava que a detecção automatizada de ameaças (TD) é mais importante do que a resposta automática a incidentes (IR). Mas a peça foi baseada em informações erradas e equivocadas.

O artigo compartilhou um exemplo de uma instituição financeira na qual os analistas investigaram 750 alertas por mês apenas para encontrar duas ameaças verificadas. A peça afirmou que, neste cenário, o IR automatizado só poderia ser aplicado às duas instâncias de ameaças verificadas, tornando a detecção automatizada de ameaças a montante uma capacidade mais importante por “ordens de magnitude”.

O problema com esta asserção, no entanto, é que o IR automatizado pode fazer mais do que apenas tomar uma ação de remediação uma vez que uma ameaça é verificada. O IR automatizado pode ser aplicado a todos e cada um dos alertas que os sistemas TD produzem, identificam as ameaças verificadas e tomam medidas para corrigi-las. Na verdade, é porque os sistemas TD muitas vezes retornam tantos alertas falsos positivos, que a automação IR está experimentando um surto distinto na popularidade agora.

Num inquérito ESG a 100 profissionais de TI e de cibersegurança, mais de metade (62%) indicaram já ter tomado medidas para automatizar os seus processos de RI. Outros 35% relataram que estão atualmente envolvidos em um projeto para fazê-lo, ou planejam iniciar um projeto de automação IR dentro de 18 meses.

Talvez o benefício mais valioso de IR automatizado é que assume o papel crítico de analistas cibernéticos treinados. Ao contrário dos seres humanos, no entanto, a tecnologia pode investigar minuciosamente e responder ao constante ataque de alertas produzidos por sistemas TD em escala, fornecendo uma solução muito necessária para a questão crônica e desenfreada de fadiga de alerta. É uma realidade infeliz, mas a maioria das organizações tem muitos alertas TD para investigar adequadamente. Eles não dispõem de pessoal adequado para acompanhar os alertas e, a fim de atuar em apenas uma pequena porcentagem de alertas graves / críticos, as organizações exigem amplos recursos para classificar e priorizar os alertas e investigar cada um deles.

De acordo com pesquisa da EMA , 92% das organizações recebem até 500 alertas por dia. Uma ampla maioria (68%) dos participantes da pesquisa disseram que sofrem algum tipo de impacto de pessoal para suas equipes de segurança, e organizações maiores relataram coletar gigabytes a terabytes de dados por dia. Não deveria ser surpresa, então, que a EMA descobriu que 88% das organizações foram capazes de investigar apenas 25 ou menos eventos graves / críticos por dia, com apenas 1% dos alertas severos / críticos já investigados.

Então, sim, TD automatizado é certamente importante para incorporar em fluxos de trabalho de segurança cibernética – tudo o que pode ser feito para reduzir o número de alertas falsos vai ajudar a longo prazo. Mas não deve ser considerado mais importante do que IR automatizado, que hoje pode ajudar a investigar o volume de esmagamento de alertas, e fazê-lo em escala.

A única abordagem viável para acompanhar os sistemas TD automatizados e a enorme quantidade de informações que eles fornecem – especialmente para organizações com recursos limitados – é parar de priorizar alertas para coincidir com a capacidade e alavancar ferramentas de automação de segurança que podem investigar e corrigir cada alerta em tempo real.

Para manter a segurança empresarial sem afetar o resultado final, as organizações devem buscar soluções que possam coletar automaticamente informações contextuais de outros sistemas de detecção de rede ou logs. Eles também devem usar informações de ameaças conhecidas e capacidades de inspeção automatizadas para exonerar e incriminar ameaças e automatizar completamente seu processo de remediação de modo que uma vez que um veredicto tenha sido feito, um arquivo seja imediatamente colocado em quarentena, um processo é morto ou uma conexão CNC é desligada .

Quanto mais cedo as organizações reconhecerem que uma abordagem humana para TD e IR é insustentável, melhor. Igualmente crucial é reconhecer que mais informação (ou seja, TD automatizado) não é uma solução geral para lutar eficazmente contra o cibercrime. Com o aumento do volume de ameaças e a escassez de profissionais de segurança cibernética, as organizações precisam olhar para a inteligência artificial e automação durante todo o ciclo de vida da ameaça e alavancar soluções integradas que continuamente investigam cada alerta de TD. Ao fazê-lo, as empresas estão a aumentar a produtividade dos funcionários, ganhar uma maior compreensão contextual de seus dados de segurança, impulsionar ação de remediação impactante e mitigar ameaças cibernéticas em tempo real.

(*) Barak é CEO e co-fundador da empresa de automação de segurança , Hexadite