A necessidade de automação de segurança para garantir a continuidade d

A necessidade de automação de segurança para garantir a continuidade dos negócios

A necessidade de automação de segurança para garantir a continuidade dos negócios

O grande desafio

A realidade é que quase dois terços (65%) das empresas já não tinham a equipe qualificada necessária para manter operações de segurança eficazes antes mesmo dos eventos recentes. E agora, devido aos requisitos de distanciamento social e físico, o número de funcionários de segurança disponíveis em muitas organizações foi reduzido ainda mais. E mesmo que não tenha, essas equipes sobrecarregadas estão lutando para solucionar uma nova gama de problemas, mantendo os controles de segurança com uma equipe no SOC, ou pior, a partir de um escritório em casa.

 

Esses fatores de interseção aumentam ainda mais as chances de uma violação não ser detectada.

 

A realidade é que muitas organizações vão gerar muito mais dados e logs do que nunca, pois a maioria do tráfego interno da rede, provavelmente pela primeira vez, terá origem fora do perímetro da rede. E simplesmente não é prático tentar analisar manualmente todos esses dados - a experiência mostra que é muito provável que você perca algo importante.

 

Não apenas os processos manuais, como a correlação manual dos dados de ameaças, os tempos de resposta lentos, mas a redução de pessoal pode significar que o pessoal mais jovem (ou seja, aqueles com menos experiência e treinamento) pode ser sua primeira linha de defesa. Em vez disso, sua equipe precisa se concentrar nas tarefas mais desafiadoras e é preciso automatizar o tratamento das frutas baixas.


Como?

 

Para enfrentar os desafios criados pelo aumento do risco e da equipe de segurança limitada, as organizações precisam adotar uma estratégia automatizada de proteção, detecção e resposta. Mesmo nas melhores épocas, com uma equipe completa de profissionais treinados em segurança cibernética, as ameaças de hoje se tornaram tão sofisticadas e o tempo de comprometimento se tornou tão curto que a intervenção humana não é mais uma estratégia de segurança viável.

 

Proteção avançada automatizada contra ameaças

 

Ao automatizar a Proteção Avançada contra Ameaças, as organizações agora podem ter informações de ameaças em tempo real na ponta dos dedos, o que pode ajudar a identificar ameaças, combinadas com uma resposta inteligente para interromper essas ameaças em tempo real. A pesquisa proativa de ameaças e a correlação automatizada de eventos podem impedir a exploração de novas vias de ataque. Por exemplo, as soluções de aprendizado de máquina podem capturar IOCs (indicadores de comprometimento), como endereços IP, domínios e URLs maliciosos. 

E combinando o aprendizado de máquina com os recursos de IA, esses sistemas também são capazes de avaliar continuamente novos arquivos, sites e infra-estruturas de rede. Isso permite que eles identifiquem componentes maliciosos do crime cibernético, além de gerar dinamicamente novas informações sobre ameaças que permitem às organizações prever e impedir futuras ameaças cibernéticas.

 

As operações de segurança orientadas por IA também podem escalar muito além das limitações dos analistas de segurança humana, permitindo que as organizações vejam e protejam dados e aplicativos em milhares ou milhões de usuários, sistemas, dispositivos e aplicativos críticos. Isso alivia o trabalho tedioso de estudar as características de malware para identificá-las e classificá-las em categorias de ameaças pelos analistas do SOC. E, ao mesmo tempo, a resposta aprimorada pela IA pode oferecer detecção, classificação e investigação em um segundo de ameaças sofisticadas. Isso reduz o tempo necessário para identificar os pontos iniciais de comprometimento, bem como os sistemas subsequentemente infectados em segundos.


Detecção e correlação de eventos

 

Devido à proliferação de ataques avançados, os compromissos de hoje podem ocorrer em questão de segundos e, como resultado, as redes precisam de recursos avançados de detecção. Isso requer a construção de uma arquitetura de segurança que permita a coleta e análise unificadas de dados coletados de diversas fontes de informações, incluindo logs, métricas de desempenho, alertas de segurança e alterações na configuração.

 

Para a maioria das organizações, isso requer recursos SIEM combinados com um mecanismo de correlação de eventos distribuídos para permitir a detecção complexa de padrões de eventos para permitir resposta em tempo real. E para organizações maiores, com centros de operações de rede e segurança, eles precisam integrar suas análises NOC / SOC para determinar rapidamente se um problema é um problema de desempenho ou de segurança, para que possam ocorrer contramedidas apropriadas.

 

Os sistemas automatizados também permitem a priorização de eventos e ativos, permitindo que as equipes identifiquem rapidamente os problemas mais críticos que precisam de análise imediata. A alavancagem do aprendizado de máquina permite que as equipes de segurança detectem o comportamento incomum de usuário e entidade (UEBA) sem exigir que os administradores do sistema escrevam regras complexas. E os recursos de EDR adicionados aos dispositivos remotos permitem que os sistemas de segurança detectem e desativem ameaças em tempo real, protegendo automaticamente o terminal e impedindo uma violação.

 

Orquestração e resposta integradas

 

Para acompanhar as ameaças emergentes e as novas exposições a riscos, a empresa média agora implementa 47 soluções e tecnologias de segurança diferentes. Todas essas ferramentas separadas, especialmente quando possuem consoles de gerenciamento individuais e operam principalmente isoladamente, dificultam a correlação de eventos e a execução de uma resposta coordenada e consistente às ameaças.

 

As novas tecnologias de orquestração, automação e resposta de segurança (SOAR) permitem que esses componentes separados se comuniquem e trabalhem juntos em uma coordenação defensiva para aumentar sua visibilidade. E as soluções SOAR funcionam ainda melhor quando playbooks bem definidos podem ser aproveitados para simplificar a orquestração e o gerenciamento. Esses manuais, que podem ser aprimorados continuamente por meio de aprendizado de máquina e componentes de IA, substituem os fluxos de trabalho manuais demorados por respostas automatizadas. Por exemplo, ao desligar automaticamente um host no momento em que um comportamento malicioso é detectado.

 

Os riscos e recompensas

 

Obviamente, o ditado "entrada de lixo, saída de lixo" ainda se aplica. Automatizar práticas e processos ruins ou insuficientes pode realmente piorar as coisas. E a mudança para um processo automatizado também pode expor os medos inerentes à automação que podem existir dentro de uma organização. Ao tirar os seres humanos do circuito, continua o pensamento, uma ação automatizada pode fazer algo errado que será difícil de desfazer.

 

Felizmente, esses problemas podem ser resolvidos. Pode ser um bom momento para uma auditoria de práticas de segurança interna, para garantir que você não esteja agravando um problema com a automação. E sistemas à prova de falhas podem ser implementados, como operar no modo somente monitoramento inicialmente para validar respostas antes de migrar para um sistema totalmente automatizado.

 

Obviamente, os benefícios superam os riscos potenciais. Adicionar automação à sua estratégia de segurança aumenta significativamente suas chances de detectar uma violação ou atividades maliciosas, garante respostas eficazes e oportunas e minimiza o tempo de inatividade em potencial devido a violações. Também libera recursos humanos para trabalhar em tarefas mais desafiadoras (ou seja, permite que as pessoas sejam mais produtivas), enquanto a automação de tarefas manuais reduz as chances de erro humano. E ajuda a garantir que você continue atendendo aos seus requisitos de conformidade durante períodos de mudanças incomuns. E, considerando os desafios do ritmo frenético de transformação e inovação de hoje, essas são vantagens que todos nós poderíamos usar.

Comentários 0 Comentários

Seja o primeiro a comentar.