Na última década, houve um crescente descompasso entre analistas de linha de frente e a alta administração em TI e Cibersegurança. Os desafios bem documentados enfrentados pelos analistas modernos giram em torno de um alto volume de alertas, falsos positivos, pouca visibilidade dos ambientes técnicos, e analistas gastando muito tempo em tarefas manuais.

O Impacto da Fadiga de Alerta e Falsos Positivos

Os analistas estão sobrecarregados de alertas. O efeito cascata disso é que analistas fatigados correm o risco de perder detalhes importantes em incidentes e muitas vezes realizam tarefas de triagem demoradas manualmente apenas para acabar copiando e colando um comentário genérico de encerramento em um alerta falso positivo.

Provavelmente sempre haverá falsos positivos. E muitos argumentariam que um falso positivo é melhor do que um falso negativo. Mas para ações proativas serem tomadas, precisamos nos aproximar do cerne de um incidente. Isso requer investigar como os analistas conduzem o processo de triagem e investigação.

Plataforma de Resposta SHQ para Triagem e Investigação

Um processo típico de triagem é frequentemente manual e exige que os analistas realizem pesquisas individuais de logs para obter informações contextuais. A partir dessas informações, eles começam a montar uma história do que ocorreu e fornecem uma ideia da escala de risco geral.

A Plataforma de Resposta SHQ utiliza Inteligência Artificial (IA) para correlacionar logs, puxando informações de diferentes fontes e visualizando-as em uma única página de incidente. A partir disso, dados críticos são apresentados ao longo de uma linha do tempo clara, e os artefatos são atualizados automaticamente no portal.

Ao ter os dados mais importantes apresentados em um só lugar, um analista investigativo pode cortar o ruído e permanecer em uma única interface. Eles não precisam mais mudar entre várias fontes de log ou realizar pesquisas manuais no SIEM para coletar os logs relevantes e então entender a história de um incidente de segurança.

A função de linha do tempo também permite a um analista investigar a lógica por trás de um alerta ou gatilho de caso de uso. Isso é mostrado com os relevantes Indicadores de Comprometimento (IoCs), que podem ser automaticamente bloqueados usando ferramentas integradas nos bastidores.

Plataforma de Resposta a Incidentes para Stakeholders Sênior

Analistas sobrecarregados por falsos positivos são endêmicos. O Chefe de Operações do SOC Global da SecurityHQ, Deodatta Wandhekar, explicou da melhor forma, dizendo que:

‘Sessenta por cento dos Incidentes SOC são resultados recorrentes que continuam ressurgindo devido a riscos não mitigados subjacentes. Os atores podem ser diferentes; no entanto, o risco é principalmente o mesmo. Isso está causando uma fadiga significativa de alerta.’

É preciso considerar como preencher essa lacuna, com um claro foco em objetivos de negócios e apetite por risco, ao mesmo tempo em que mantém um nível de detalhe técnico.

Registro de Risco para Colaboração e Estratégia

O Registro de Risco integrado da SecurityHQ permite que analistas e líderes de negócios trabalhem juntos para conduzir atividades de mitigação, usando o conhecimento técnico da equipe operacional para informar decisões estratégicas de negócios.

Isso permite que os analistas desempenhem um papel no direcionamento de um programa de cibersegurança. Ao possuir um nível de propriedade técnica, uma abordagem mais colaborativa é promovida entre os analistas operacionais e a equipe administrativa. Também permite que os analistas, que anteriormente estavam sobrecarregados, vejam claramente os frutos de seu trabalho refletidos em práticas comerciais mais amplas.

Próximos Passos

A SecurityHQ, como parceira consultiva e proprietária de uma plataforma como essa, contribui para desenvolver uma melhor relação entre a gerência e os analistas, fornecendo um registro de risco intuitivo e amigável para executivos.

A partir disso, o foco em abordagens proativas e roadmaps em vez de simplesmente ‘apagar incêndios’ e encerrar incidentes dentro de um Acordo de Nível de Serviço (SLA) cria a oportunidade de mudanças significativas em uma empresa.

Para mais informações, entre em contato com um expert aqui. Se suspeitar de um incidente de segurança, reporte-o aqui.

Nota: Este artigo foi expertamente escrito por Tim Chambers, Gerente Sênior de Cibersegurança na SecurityHQ.

Encontrou este artigo interessante? Este artigo é uma contribuição de um de nossos parceiros valiosos. Siga-nos no Twitter e LinkedIn para ler mais conteúdos exclusivos que postamos.