Você está visualizando atualmente Plataforma de Resposta SHQ e Centro de Risco para Capacitar Gestores e Analistas

Plataforma de Resposta SHQ e Centro de Risco para Capacitar Gestores e Analistas

Na última década, tem havido um crescente desconexão entre os analistas de primeira linha e a alta administração em TI e Segurança Cibernética. Os desafios bem documentados enfrentados por analistas modernos giram em torno de um alto volume de alertas, falsos positivos, fraca visibilidade dos ambientes técnicos e os analistas passando muito tempo em tarefas manuais.

O impacto da fadiga de alerta e falsos positivos

Os analistas estão sobrecarregados com alertas. O efeito colateral disso é que analistas cansados correm o risco de perder detalhes importantes em incidentes e muitas vezes realizam tarefas de triagem demoradas manualmente apenas para acabar copiando e colando um comentário genérico de encerramento em um alerta falso positivo.

É provável que sempre haverá falsos positivos. E muitos argumentariam que um falso positivo é melhor do que um falso negativo. Mas para ações proativas serem tomadas, devemos nos aproximar do cerne de um incidente. Isso requer mergulhar em como os analistas conduzem o processo de triagem e investigação.

Plataforma SHQ Response para Triagem e Investigação

Um processo típico de triagem é frequentemente manual e usa analistas para realizar buscas individuais de logs para obter informações contextuais. A partir dessas informações, eles começam a juntar uma história do que ocorreu e fornecer uma ideia da escala de risco geral.

A Plataforma de Resposta SHQ utiliza a Inteligência Artificial (IA) para correlação de logs, puxando informações de diferentes fontes e visualizando-as em uma única página de incidente. A partir disso, dados críticos são apresentados em uma linha do tempo clara, e artefatos são atualizados automaticamente no portal.

Ao ter os dados mais importantes apresentados em um só lugar, um analista investigativo pode cortar o ruído e permanecer em uma única interface. Eles não precisam mais se mover entre várias fontes de log ou conduzir buscas manuais no SIEM para reunir os logs relevantes e, em seguida, entender a história de um incidente de segurança.

A função de linha do tempo também permite que um analista investigue a lógica por trás de um alerta ou gatilho de caso de uso. Isso é mostrado com os Indicadores de Comprometimento (IoCs) relevantes, que podem ser bloqueados automaticamente usando ferramentas integradas nos bastidores.

Plataforma de Resposta a Incidentes para Stakeholders Sênior

Analistas sobrecarregados inundados por falsos positivos são endêmicos. O chefe das operações globais do SOC na SecurityHQ, Deodatta Wandhekar, colocou da melhor forma explicando que:

“Sessenta por cento dos incidentes de SOC são descobertas repetidas que continuam ressurgindo devido a riscos latentes não mitigados. Os atores podem ser diferentes; no entanto, o risco é principalmente o mesmo. Isso está causando uma fadiga de alerta significativa.”

Deve-se considerar como preencher essa lacuna, com um claro foco nos objetivos de negócio e apetite ao risco, mantendo um nível de detalhe técnico.

Registro de Risco para Colaboração e Estratégia

O Registro de Riscos integrado da SecurityHQ permite que analistas e líderes de negócios trabalhem juntos para impulsionar atividades de mitigação, usando o conhecimento técnico da equipe operacional para informar decisões estratégicas de negócios.

Isso permite que analistas desempenhem um papel na condução de um programa de cibersegurança. Ao ter um nível de propriedade técnica, uma abordagem mais colaborativa é incentivada entre os analistas operacionais e a equipe de administração. Também permite que os analistas, antes sobrecarregados, vejam claramente os frutos de seu trabalho refletidos nas práticas de negócios mais amplas.

Próximos Passos

A SecurityHQ, como parceiro consultivo e proprietário de uma plataforma, contribui para o desenvolvimento de uma relação melhor entre a administração e os analistas, fornecendo um registro de risco intuitivo e amigável para executivos.

A partir daqui, o foco em abordagens e planos proativos em vez de simplesmente “apagar incêndios” e fechar incidentes dentro de um Acordo de Nível de Serviço (SLA) cria a oportunidade para mudanças significativas em uma empresa.