Como construir um SOC de classe mundial pode aliviar o desgaste da equipe de segurança
Para os líderes de segurança, construir um Centro de Operações de Segurança maduro significa estabelecer processos robustos que reúnam equipes e tecnologia para o sucesso.
Mesmo assim, muitas equipes do SOC estão presas ao combate a incêndios, sem o tempo, a equipe, os recursos ou a visibilidade de que precisam para operar com eficácia. Esta situação não apenas aumenta as chances de alertas críticos serem perdidos, mas pode rapidamente promover um ambiente estressante e insatisfatório que deixa a equipe exausta e procurando por pastagens mais verdes.
Pesquisas recentes indicam que 51 por cento das equipes SOC se sentem emocionalmente sobrecarregadas com o volume impossível de alertas de segurança com os quais devem lidar, com o estresse afetando suas vidas domésticas.
Aumentar a maturidade de um SOC permite que os analistas parem de combater incêndios e se concentrem em trabalhos de maior valor. Com um planejamento cuidadoso e a combinação certa de automação e processos padronizados, um SOC maduro, eficaz e de classe mundial pode ser estabelecido.
O perigo de sobrecarga de alerta
O cenário da cibersegurança tornou-se cada vez mais hostil, e as equipes precisam lidar com uma enxurrada cada vez maior de alertas de segurança. As equipes relataram que gastam quase um terço de seu tempo simplesmente lidando com falsos positivos, e há muito passamos do ponto de inflexão em que esses números podem ser tratados manualmente.
Isso é exacerbado pelo fato de que a lacuna de habilidades contínua significa que recrutar e reter uma equipe completa de analistas tornou-se uma proposta cada vez mais cara. Poucas empresas podem pagar por equipes grandes e até mesmo um exército de analistas não será capaz de lidar com centenas de alertas por dia, além de suas outras funções.
Além do grande número de alertas com os quais devem lidar, as equipes do SOC são prejudicadas por processos ineficientes. Muitos analistas acabam usando um conjunto ad-hoc de soluções de segurança combinadas de diferentes fornecedores e muito tempo pode ser desperdiçado todos os dias, conforme os analistas trocam de soluções diferentes. Não há uma maneira fácil de comparar dados de diferentes ferramentas para identificar tendências e ameaças mais complexas. Unir soluções em um único sistema de gerenciamento pode ajudar a recuperar o tempo perdido e estabelecer uma visão única dos dados de ameaças.
O impacto de uma equipe de segurança esgotada
No curto prazo, essa sobrecarga de alerta significa um potencial maior para ameaças de alto risco serem perdidas conforme os analistas tentam executar tantos alertas quanto possível ao lado de suas outras funções.
Além dos problemas de segurança imediatos, esse tipo de ambiente apresenta alguns problemas sérios de longo prazo. As frustrações de equipes esgotadas podem chegar ao ponto em que os analistas decidirão deixar o emprego em busca de posições menos estressantes. Descobrimos que cerca de metade do pessoal de segurança está considerando mudar de função a qualquer momento. Eles não apenas levarão sua experiência e habilidades com eles, mas a contínua escassez cibernética significa que encontrar um substituto pode ser um processo longo e caro.
Uma equipe que passa a maior parte do tempo trabalhando em alertas e correndo para apagar incêndios de segurança também terá muito pouco tempo para qualquer atividade estratégica de nível superior. Isso pode incluir a realização de análises de risco aprofundadas e o estabelecimento de estratégias e processos de segurança aprimorados. Sem essa atividade, a organização terá dificuldade para acompanhar a evolução das ameaças cibernéticas.
Como a automação eficaz ajuda
A automação é a chave para sair dessa rotina. Quanto mais as atividades manuais demoradas e de baixo valor puderem ser automatizadas, mais tempo os analistas terão para atividades mais estratégicas. No entanto, a automação deve ser implementada corretamente para ter um impacto real. Os processos e atividades subjacentes devem ser bem compreendidos e mapeados antes de serem automatizados de maneira adequada.
As equipes de segurança precisam ser capazes de produzir documentação completa para todas as atividades antes de começar a automatizá-las. A implementação é um processo gradual, começando com as tarefas mais importantes que irão gerar mais valor e dar a maior contribuição para proteger a organização contra ameaças cibernéticas.
Investigar e responder a alertas é uma área particularmente forte para focar os esforços de automação, pois melhorará muito a eficiência da equipe SOC, aprimorando sua capacidade de detectar e eliminar ameaças e a qualidade de seu ambiente de trabalho.
A importância dos manuais
Para automatizar com eficácia suas respostas de alerta, as equipes do SOC precisarão criar manuais de seus processos, com base em seu conhecimento e experiência de diferentes ameaças. Os processos podem então ser aprimorados com ferramentas automatizadas, reduzindo gradualmente o nível de trabalho manual necessário e, em muitos casos, eliminando-o totalmente. Muitos alertas de segurança de baixo nível, como e-mails maliciosos, podem ser investigados e fechados sem a necessidade de qualquer intervenção humana.
Levando as coisas um passo adiante, os processos automatizados podem ser tratados por um único ponto focal, como uma plataforma de Orquestração, Automação e Resposta de Segurança ( SOAR ).
Os manuais também ajudarão a aumentar a eficiência e maturidade de um SOC, além de auxiliar na automação. Por exemplo, se um analista deve passar um problema a um colega quando seu turno termina, a documentação completa tornará isso uma tarefa rápida e fácil, sem a necessidade de discussões longas e redundantes.
A criação de manuais para cada ameaça que uma organização pode enfrentar também melhora as capacidades da equipe quando ocorre uma crise. Ter um conjunto detalhado de processos tornará mais fácil enfrentar ameaças como epidemias de ransomware ou contas de usuário comprometidas e também ajudará a automatizar o processo tanto quanto possível.
Enquanto os SOCs continuarão a ter que lidar com um volume cada vez maior de ameaças recebidas e uma escassez de equipe experiente, melhorar sua maturidade e eficiência os ajudará a manter o ritmo sem esgotar sua equipe. Ao desenvolver manuais detalhados de cenários e procedimentos, as equipes podem implementar processos automatizados e mais eficientes que irão liberar a equipe de gastar todo o seu tempo filtrando alertas e permitir que protejam melhor a organização.
