Você está visualizando atualmente Plataforma de Resposta e Centro de Risco SHQ para Capacitar Gestores e Analistas

Plataforma de Resposta e Centro de Risco SHQ para Capacitar Gestores e Analistas

Na última década, houve um crescente desligamento entre os analistas de linha de frente e a alta administração em TI e cibersegurança. Os desafios bem documentados enfrentados pelos analistas modernos giram em torno de um alto volume de alertas, falsos positivos, pouca visibilidade dos ambientes técnicos e os analistas gastando muito tempo em tarefas manuais.

O impacto da fadiga de alerta e falsos positivos

Os analistas estão sobrecarregados com alertas. O efeito cascata disso é que analistas exaustos correm o risco de perder detalhes importantes em incidentes e muitas vezes realizam tarefas de triagem demoradas manualmente, apenas para acabar copiando e colando um comentário genérico de encerramento em um alerta falso positivo.

É provável que sempre existam falsos positivos. E muitos argumentariam que um falso positivo é melhor do que um falso negativo. Mas para ações proativas serem tomadas, devemos nos aproximar do cerne de um incidente. Isso requer mergulhar na maneira como os analistas conduzem o processo de triagem e investigação.

Plataforma de Resposta SHQ para Triagem e Investigação

Um processo de triagem típico é frequentemente manual, e os analistas são encarregados de realizar pesquisas de log individuais para obter informações contextuais. A partir dessas informações, eles começam a montar uma história do que ocorreu e fornecem uma ideia da escala de risco geral.

A Plataforma de Resposta SHQ utiliza Inteligência Artificial (IA) para correlacionar logs, buscando informações de diferentes fontes e visualizando-as em uma única página de incidente. A partir disso, dados críticos são apresentados em uma linha do tempo clara, e artefatos são atualizados no portal automaticamente.

Ao ter os dados mais importantes apresentados em um só lugar, um analista investigador pode cortar o barulho e permanecer em uma interface. Eles não precisam mais alternar entre várias fontes de log ou realizar pesquisas manuais de SIEM para coletar os logs relevantes e entender a história de um incidente de segurança.

A função de linha do tempo também permite que um analista investigue a lógica por trás de um alerta ou acione casos de uso. Isso é mostrado com os Indicadores de Compromisso relevantes (IoCs), que podem ser bloqueados automaticamente usando ferramentas integradas nos bastidores.

Plataforma de Resposta a Incidentes para Interessados Sênior

Analistas sobrecarregados por falsos positivos são endêmicos. O Chefe de Operações de SOC Global da SecurityHQ, Deodatta Wandhekar, explicou da melhor forma:

‘Sessenta por cento dos Incidentes de SOC são descobertas repetidas que continuam ressurgindo devido a riscos subjacentes não mitigados. Os atores podem ser diferentes; no entanto, o risco é na maioria das vezes o mesmo. Isso está causando uma fadiga significativa de alerta.’

Deve-se considerar como preencher essa lacuna, com um foco claro em objetivos comerciais e apetite por risco, mantendo um nível de detalhe técnico.

Registro de Risco para Colaboração e Estratégia

O Registro de Risco integrado da SecurityHQ permite que analistas e líderes empresariais trabalhem juntos para impulsionar atividades de mitigação, usando o conhecimento técnico da equipe operacional para informar decisões estratégicas de negócios.

Isso permite que os analistas desempenhem um papel na condução de um programa de cibersegurança. Ao ter um nível de propriedade técnica, uma abordagem mais colaborativa é incentivada entre os analistas operacionais e a equipe de gestão. Também permite que os analistas, outrora sobrecarregados, vejam claramente os frutos de seu trabalho refletidos nas práticas comerciais mais amplas.

Próximos Passos

A SecurityHQ, como parceiro consultivo e proprietário de tal plataforma, contribui para o desenvolvimento de uma relação melhor entre gestão e analistas, fornecendo um registro de risco intuitivo e amigável para executivos.

A partir disso, o foco em abordagens e roteiros proativos em detrimento de simplesmente ‘apagar incêndios’ e fechar incidentes dentro de um Acordo de Nível de Serviço (SLA) cria a oportunidade de mudanças significativas em uma empresa.

Para mais informações, fale com um especialista aqui. Se você suspeitar de um incidente de segurança, reporte um incidente aqui.

Observação: Este artigo foi escrito de forma especializada por Tim Chambers, Gerente Sênior de Cibersegurança na SecurityHQ.