Na última década, houve um crescente descompasso entre os analistas da linha de frente e a alta administração em TI e Segurança Cibernética. Desafios bem documentados enfrentados pelos analistas modernos giram em torno de um alto volume de alertas, falsos positivos, baixa visibilidade dos ambientes técnicos e analistas que gastam muito tempo em tarefas manuais.
O impacto da fadiga de alerta e dos falsos positivos é significativo. Os analistas estão sobrecarregados de alertas. O efeito disso é que analistas fatigados correm o risco de perder detalhes importantes em incidentes e muitas vezes realizam tarefas de triagem demoradas manualmente, apenas para acabar copiando e colando um comentário genérico de encerramento em um alerta falso positivo.
É provável que sempre haja falsos positivos. E muitos argumentariam que um falso positivo é melhor do que um falso negativo. Mas para ações proativas serem tomadas, é necessário nos aproximarmos do cerne de um incidente. Isso requer se aprofundar em como os analistas conduzem o processo de triagem e investigação.
A plataforma de Resposta da SHQ para Triagem e Investigação aproveita a Inteligência Artificial (IA) para correlacionar logs, puxando informações de diferentes fontes e visualizando-as em uma única página de incidente. A partir disso, dados críticos são apresentados em uma linha do tempo clara, e artefatos são atualizados automaticamente no portal.
Ao ter os dados mais importantes apresentados em um só lugar, um analista investigativo pode cortar o ruído e permanecer em uma única interface. Eles não precisam mais pivotar entre várias fontes de log ou realizar buscas manuais de SIEM para reunir os logs relevantes e entender a história de um incidente de segurança.
A função de linha do tempo também permite que um analista investigue a lógica por trás de um alerta ou gatilho de caso de uso. Isso é mostrado com os Indicadores de Comprometimento (IoCs) relevantes, que podem ser automaticamente bloqueados usando ferramentas integradas nos bastidores.
Analistas sobrecarregados por falsos positivos são endêmicos. O Chefe de Operações Global do SOC na SecurityHQ, Deodatta Wandhekar, explicou da melhor forma, destacando que “Sessenta por cento dos incidentes do SOC são descobertas repetidas que continuam ressurgindo devido a riscos subjacentes não mitigados. Os atores podem ser diferentes; no entanto, o risco é em sua maioria o mesmo. Isso está causando uma fadiga significativa de alerta.”
É preciso considerar como preencher essa lacuna, com um claro foco nos objetivos de negócios e apetite ao risco, mantendo um nível de detalhe técnico.
O Registro de Risco incorporado da SecurityHQ permite que analistas e líderes empresariais trabalhem juntos para impulsionar atividades de mitigação, utilizando o conhecimento técnico da equipe operacional para informar as decisões estratégicas de negócios.
Isso permite que os analistas desempenhem um papel na condução de um programa de cibersegurança. Ao ter um nível de propriedade técnica, uma abordagem mais colaborativa é promovida entre analistas operacionais e funcionários de gerência. Isso também permite que analistas antes sobrecarregados vejam claramente os frutos de seu trabalho refletidos em práticas comerciais mais amplas.
A SecurityHQ, como parceira consultiva e proprietária de uma plataforma assim, contribui para desenvolver uma relação melhor entre a gestão e analistas, fornecendo um Registro de Risco intuitivo e amigável para executivos.
A partir disso, o foco em abordagens proativas e em mapas de ações, em vez de simplesmente “apagar incêndios” e fechar incidentes dentro de um Acordo de Nível de Serviço (SLA), cria a oportunidade para uma mudança significativa em uma empresa. Se suspeitar de um incidente de segurança, denuncie-o aqui.
Observação: Este artigo foi habilmente escrito por Tim Chambers, Gerente Sênior de Segurança Cibernética na SecurityHQ.