Os analistas de segurança desejam capturar mais eventos para detectar ameaças mais cedo, o que requer mais regras de detecção. Mas fazer isso corre o risco de aumentar o volume de alertas, levando a problemas de fadiga de alertas.
A solução é automação que pode ser usado para aumentar o rendimento de alertas e a inteligência de ameaças em torno deles, criando uma forma “paranoica” de gerenciamento de postura. Conversamos com Martin Jakobsen, CEO da Cybanetix para saber mais sobre como isso funciona.
BN: O que é ‘gerenciamento de postura paranoica? O que isso significa na prática e como a automação ajuda a viabilizá-la?
MJ: Um grande problema para o monitoramento de segurança é que os Centros de Operações de Segurança (SOCs) podem ficar sobrecarregados pelo grande volume de alertas, e como consequência muitos SOCs acabam ignorando ou ignorando alertas de baixa gravidade. O cenário ideal é ter um grande alerta vermelho quando há uma violação, mas a realidade é que os invasores farão incursões iniciais e esses sinais reveladores serão perdidos. Se você está procurando apenas os indicadores óbvios de uma violação, a resposta a incidentes já está em desvantagem.
Os ataques modernos são tão sutis que precisamos capturar tudo para podermos criar um sistema de alerta precoce. Agora temos finalmente a tecnologia para fazer isso e lidar com o fluxo de dados resultante. Isso faz com que a empresa adote uma postura paranoica, em que o SOC monitora e analisa constantemente todos os alertas e indicadores de comprometimento para identificar possíveis violações. Isto só é possível através do uso da automação, que pode utilizar regras predefinidas para identificar esses eventos, enriquecê-los com inteligência sobre ameaças e até mesmo remediá-los.
BN: Capturar mais eventos não aumenta o risco de perder algo importante?
MJ: A maioria dos ataques é melhor identificada através de vários indicadores menores que, quando combinados, apontam claramente para uma violação. Assim como pixels individuais podem parecer irrelevantes quando observados isoladamente, mas juntos formam uma imagem completa, esses eventos aparentemente inócuos também podem indicar a intenção de um invasor. Portanto, quanto mais eventos coletarmos, melhor será a visibilidade e nossa capacidade de determinar onde estamos na cadeia de destruição para evitar que o ataque avance. No entanto, se você procurar analisar mais eventos sem ter processos automatizados, manuais e remediação automatizada em vigor, poderá aumentar o risco de perder um evento crítico. Também é fundamental observar como você aplica essa automação porque, a menos que você obtenha o equilíbrio certo entre visibilidade e ajuste, você corre o risco de reduzir a chance de detecção em primeiro lugar.
BN: Como a automação da inteligência de ameaças e o enriquecimento de informações contextuais melhoram a qualidade da investigação de um analista SOC?
MJ: A automação pode ser usada para enriquecer cada alerta processado, aprimorando-o com inteligência sobre ameaças, contexto organizacional e correlacionando-o com outros eventos pertencentes aos mesmos ativos e usuários, bem como outros dados SIEM e EDR pertencentes ao evento.
Por exemplo, o uso de Orquestração, Automação e Resposta de Segurança (SOAR) em combinação com o SOC pode ser usado para realizar as duas ou três oportunidades de enriquecimento que cada alerta normalmente apresenta, o que levaria vários minutos para um analista pesquisar manualmente, perdendo um tempo valioso.
O SOAR também pode ser usado para encerrar automaticamente casos que atendam a critérios predefinidos ou para remediar automaticamente, como por meio da contenção de usuários ou dispositivos. E, através da criação de manuais pré-construídos, pode ajudar a orientar os analistas SOC de nível um através das fases de investigação.
Todo esse enriquecimento combinado com a lógica avançada do playbook permite a análise e o processamento automatizado do alerta ou o tratamento mais rápido por um analista SOC. Ele realmente faz o trabalho pesado, lidando com alertas que atendem a critérios predefinidos ou realizando uma grande parte das ações investigativas exigidas em nome do analista.
BN: Quais são os riscos potenciais de depender demais da automação na detecção e resposta a ameaças?
MJ: A automação é mais valiosa quando aplicada de uma forma definida que atenda às necessidades de segurança do negócio. Aplicações gerais podem fazer mais mal do que bem. Quando uma organização introduz o encerramento automatizado de casos, por exemplo, ela precisa garantir que a lógica seja à prova de balas para que não resolva incidentes de segurança que exijam remediação ou escalonamento humano. Também vale a pena falar aqui sobre automação local, e com isso quero dizer IA. A IA pode ser extremamente benéfica para aumentar o analista, facilitando a busca de texto livre, explicações em linguagem natural, análise de tendências e manual de estratégia e engenharia de detecção. Mas também tem um custo. Em muitos casos, a IA está a ser utilizada para realizar muitas das ações que a automação pode realizar, mas a viabilidade comercial de grandes volumes de solicitações de IA precisa de ser tida em conta. É por esta razão que acreditamos que a automação e a IA devem ser usadas em conjunto, mas com cada uma utilizando os seus próprios pontos fortes.
BN: Como essa abordagem muda o papel dos analistas humanos do SOC? Isso torna o trabalho deles mais ou menos crítico?
MJ: O papel do analista SOC de nível um tem evoluído muito nos últimos anos. Passar da correlação manual de dados muito lenta para agora lidar com eventos enriquecidos com dados e em um ritmo mais rápido fez com que o analista SOC moderno fosse comparado a um jogador de pôquer online, jogando seis mesas ao mesmo tempo. Eles estão tendo que tomar decisões muito rápidas com base na apresentação complexa de dados e isso pode levar ao esgotamento. Felizmente, a necessidade de analistas de nível um lidarem com alertas de baixa fidelidade está diminuindo devido à automação. Além do mais, a IA e a automação estão efetivamente aprimorando as habilidades desses analistas, permitindo-lhes lidar com alertas críticos que formalmente seriam reservados a analistas mais seniores. Isto é uma boa notícia para os analistas que são agora orientados através das etapas de investigação, uma boa notícia para os MSSP porque já não têm de competir para recrutar analistas experientes a partir de um conjunto de talentos cada vez menor, e uma boa notícia para os clientes porque veem o custo desse recurso humano diminuir e com ele os custos de serviço. Mas o que é importante enfatizar aqui é que a experiência humana é uma parte muito necessária do processo. Para obter melhores detecções, você ainda precisa saber as perguntas certas a serem feitas e isso requer capacidades analíticas humanas.
Fonte: www.betanews.com
Link da Fonte
