A maioria das organizações luta para gerenciar alertas e vulnerabilidades: veja como corrigi-lo

Acompanhar as ameaças modernas não é fácil, principalmente quando sua equipe de segurança precisa gerenciar 11.000 alertas por dia.

Um novo estudo ESG da Kaspersky intitulado, Modernização do SOC e o papel do XDRfoi lançado no início desta semana e revelou que 70% das organizações lutam para acompanhar o quantity de alertas gerados por ferramentas de análise de segurança.

No entanto, não é apenas a explosão de alertas de segurança que está impedindo a produtividade das equipes de segurança. É também o número de vulnerabilidades descobertas que é esmagador – com 28.695 descoberto apenas no ano passado — um número muito alto para mitigar até mesmo a equipe de segurança com mais recursos.

Diante de um quantity tão alto de vulnerabilidades emergentes, não é surpresa que a última versão do NopSec relatório descobriram que 70% dos profissionais de segurança acreditam que seu programa de gerenciamento de vulnerabilidades é apenas um pouco eficaz. Então, como as organizações podem enfrentar esses desafios de frente?

Corrigindo a expansão do alerta

Durante anos, o alto quantity de alertas gerados no centro de operações de segurança (SOC) a partir de ferramentas de segurança permaneceu um dos maiores pontos problemáticos enfrentados pelos analistas de segurança.

Os analistas são frequentemente pressionados a manter o controle sobre dezenas de ferramentas que estão gerando seus próprios alertas exclusivos. Apenas uma pequena parte dessas notificações é útil e está relacionada a incidentes de segurança ativos, enquanto muitas são simplesmente falsos positivos.

Pesquisar mostra que 45% de todos os alertas de segurança diários são falsos positivos, que ocupam tantas horas de contato que 75% das empresas relatam que sua organização gasta uma quantidade igual ou mais pace em falsos positivos do que em ataques legítimos.

Quando se trata de lidar com a expansão de alertas, Sergey Solodatov, chefe do SOC da Kaspersky, diz que as empresas precisam usar a automação para otimizar seus processos de detecção e resposta.

“A automação em todos os estágios do processamento de alertas ajudará aqui”, disse Solodatov. “Por exemplo, em nosso SOC, temos um analista automático patenteado com inteligência synthetic que aprende com uma análise do histórico de alertas processados ​​pela equipe de analistas do SOC.”

Ele observa que o “analista automático” é a primeira linha do SOC da Kaspersky, o que ajudou a reduzir pela metade o número de alertas falso-positivos enviados à equipe de SOC da empresa para análise.

“Para alertas que devem ser processados ​​pela equipe do SOC, é necessário criar ferramentas para seu processamento automatizado para que o analista do SOC possa investigar o alerta de maneira conveniente e rápida: obtenha rapidamente as informações adicionais necessárias e a visualização das etapas do ataque”, disse Solodatov .

Subindo a montanha de vulnerabilidades

Ao tentar acompanhar o número cada vez maior de vulnerabilidades de segurança, a resposta para as empresas pode estar na priorização baseada em risco.

Uma das principais descobertas do relatório da NopSec foi que 58% dos profissionais dizem que não usam um sistema de classificação baseado em risco para priorizar vulnerabilidades. Essas organizações têm processos de gerenciamento de vulnerabilidades ineficientes que não conseguem proteger primeiro as vulnerabilidades de alto risco.

“A realidade é que a maioria das organizações está se afogando em sobrecarga de vulnerabilidade. Muitas vulnerabilidades, contexto insuficiente e mão de obra insuficiente levam a esses programas ineficazes”, disse Lisa Xu, CEO da NopSec.

“Sem o tipo certo de ferramenta para fornecer contexto actual e dar sentido às milhares de vulnerabilidades que assolam as organizações, a batalha está perdida desde o início”, disse Xu.

Para Xu, a resposta é que as organizações obtenham um contexto maior sobre a gravidade das vulnerabilidades presentes em todo o ambiente usando soluções de gerenciamento de vulnerabilidades com classificações de risco.

Dessa forma, as equipes de segurança podem priorizar a correção de vulnerabilidades críticas primeiro, em vez de aplicar patches nos sistemas de forma ad-hoc.

Levando as operações SOC para o próximo nível

Seja gerenciando alertas ou vulnerabilidades, em geral, há uma necessidade extrema de equipes de segurança buscarem a excelência operacional. Na prática, isso não significa apenas mitigar e eliminar proativamente os pontos de entrada em seus ambientes, mas também garantir que eles tenham a inteligência e a visibilidade necessárias para detectar invasões.

A Kaspersky recomenda que as organizações incentivem as equipes de segurança a trabalhar em turnos no SOC para evitar o excesso de trabalho da equipe e a distribuição de tarefas para reduzir a probabilidade de esgotamento.

Ao mesmo pace, a organização recomenda a implantação de serviços de inteligência de ameaças que fornecem feeds de inteligência de baixa manutenção que se integram a ferramentas de segurança existentes, como sistemas de informações de segurança e gerenciamento de eventos (SIEM). Isso ajuda a fornecer maior visibilidade sobre o cenário de ameaças e ajuda a automatizar o processo de triagem.

Essas medidas podem ser combinadas com serviços gerenciados de detecção e resposta (MDR) ou estendidos de detecção e resposta (XDR) para garantir que a organização tenha os processos implementados para responder rapidamente a incidentes ao vivo.

Em última análise, a resposta para a expansão de alertas e vulnerabilidades é trabalhar de forma mais inteligente, em vez de mais difícil.