Na última década, houve um crescente distanciamento entre analistas da linha de frente e a alta administração em TI e Cibersegurança. Os desafios bem documentados enfrentados pelos analistas modernos giram em torno de um alto volume de alertas, falsos positivos, baixa visibilidade dos ambientes técnicos e analistas gastando muito tempo em tarefas manuais.

Os analistas estão sobrecarregados de alertas. O efeito disso é que os analistas fatigados correm o risco de perder detalhes importantes nos incidentes e muitas vezes realizam tarefas de triagem demoradas manualmente apenas para acabar copiando e colando um comentário genérico de encerramento em um alerta falso positivo.

É provável que sempre existam falsos positivos. E muitos argumentariam que um falso positivo é melhor do que um falso negativo. Mas para ações proativas serem tomadas, devemos nos aproximar do cerne de um incidente. Isso requer investigar como os analistas conduzem o processo de triagem e investigação.

A Plataforma de Resposta SHQ para Triagem e Investigação utiliza Inteligência Artificial (IA) para correlacionar logs, buscando informações de diferentes fontes e visualizando-as em uma única página de incidente. A partir disso, os dados críticos são apresentados em uma linha do tempo clara, e os artefatos são atualizados automaticamente no portal.

Ao ter os dados mais importantes apresentados em um único local, um analista investigativo pode cortar o ruído e permanecer em uma única interface. Eles não precisam mais navegar por várias fontes de log ou conduzir pesquisas manuais em SIEM para reunir os logs relevantes e entender a história de um incidente de segurança.

A função de linha do tempo também permite que um analista investigue a lógica por trás de um alerta ou acionador de caso de uso. Isso é mostrado com os relevantes Indicadores de Comprometimento (IoCs), que podem ser automaticamente bloqueados usando ferramentas integradas nos bastidores.

Analistas sobrecarregados por falsos positivos são endêmicos. O Chefe de Operações SOC Global da SecurityHQ, Deodatta Wandhekar, resumiu bem ao explicar que:

‘Sessenta por cento dos Incidentes SOC são descobertas repetidas que continuam ressurgindo devido a riscos não mitigados. Os atores podem ser diferentes; no entanto, o risco é principalmente o mesmo. Isso está causando uma fadiga significativa nos alertas.’

É preciso considerar como preencher essa lacuna, com um foco claro em objetivos de negócios e apetite por riscos, mantendo um nível de detalhes técnicos.

O Registro de Riscos integrado da SecurityHQ permite que analistas e líderes de negócios trabalhem juntos para impulsionar atividades de mitigação, usando o conhecimento técnico dos funcionários operacionais para informar decisões estratégicas de negócios.

Isso permite que os analistas desempenhem um papel na condução de um programa de cibersegurança. Ao ter um nível de propriedade técnica, uma abordagem mais colaborativa é promovida entre analistas operacionais e funcionários da gerência. Isso também permite que analistas outrora sobrecarregados vejam claramente os frutos de seu trabalho refletidos nas práticas comerciais mais amplas.

À medida que tanto um parceiro consultivo quanto o proprietário de uma plataforma, a SecurityHQ contribui para o desenvolvimento de uma melhor relação entre gerenciamento e analistas, proporcionando um registro de riscos intuitivo e amigável para executivos.

A partir daqui, o foco em abordagens proativas e roteiros em vez de simplesmente ‘apagar incêndios’ e encerrar incidentes dentro de um Acordo de Nível de Serviço (SLA) cria a oportunidade para mudanças significativas em uma empresa.

Para mais informações, fale com um especialista aqui. Se suspeitar de um incidente de segurança, reporte-o aqui.