As Centrais de Operações de Cibersegurança SOC (SOCs) estão enfrentando a tempestade perfeita. A falta de visibilidade em ambientes operacionais complexos, a incapacidade de analisar volumes de dados em escala de nuvem e a luta para melhorar o desempenho da equipe estão diminuindo a produtividade e criando maiores riscos de segurança. De acordo com o Relatório de Desempenho Devo SOC de 2022, apenas 26% dos entrevistados classificaram sua SOC como “muito eficaz”.
No atual cenário de ameaças em rápida evolução, com volumes crescentes de ataques sofisticados, SOCs ineficazes estão abrindo as portas para criminosos cibernéticos. De acordo com uma pesquisa do setor, 75% das organizações divulgaram pelo menos um ataque de ransomware no ano passado, e mais da metade dessas organizações disse acreditar que possíveis ataques cibernéticos provavelmente seriam um desastre para sua organização.
Uma SOC ineficaz sobrecarrega os analistas, fazendo com que ainda mais talentos de segurança cibernética se sintam esgotados e deixem seus empregos. Isso deixa os sistemas das empresas vulneráveis a ataques potencialmente debilitantes, como vazamentos de dados, que podem prejudicar permanentemente a reputação e a situação financeira de uma empresa. Para reduzir o ruído e focar nas ameaças mais importantes, as organizações modernas precisam fazer a transição de suas SOCs para a autonomia.
O que significa autonomia para a SOC?
Na última década, os invasores cibernéticos se tornaram mais sofisticados e criativos. A indústria cibernética respondeu criando mais tecnologias e plataformas para detectar invasões ou atividades maliciosas. Juntamente com o aumento da atividade cibernética (especialmente durante o movimento de aumento do home office), isso levou a uma explosão de dados, chegando em um ritmo insustentável para as SOCs lidarem com eficácia.
As equipes de segurança também estão ingerindo dados de um número crescente de fontes, incluindo aplicativos, dispositivos IoT, dispositivos móveis, transações e o ambiente de nuvem residente, apenas para obter visibilidade em toda a superfície de ataque. Mas, mesmo assim, é difícil ver a imagem completa quando essa superfície está mudando continuamente.
É aí que entra a autonomia. Uma SOC autônoma pode entender de forma completa toda a história do ataque e evoluir à medida que suas condições mudam, aprendendo continuamente com as situações usando inteligência artificial (IA) e ciência de dados. Ela complementa os analistas com um “segundo cérebro” e os equipa com uma abordagem acionável.
Este método é ideal para investigação de ameaças. Quando uma atividade suspeita é detectada, a SOC autônoma reúne tudo sobre o ataque e gera o contexto que os analistas precisam para detectar, isolar e neutralizar o ataque de forma rápida e fácil, sem perder tempo com alertas irrelevantes. Isso decorre da enxurrada de informações que atualmente está sobrecarregando os analistas e oferece mais propósito e valor às notificações. Portanto, as equipes de segurança levarão essas notificações de forma mais crítica – sabendo que o sistema inteligente já as examinou – e terão a capacidade de tratá-las com confiança.
O impacto que isso terá na demanda de funcionários não pode ser exagerado. De acordo com o Relatório de Desempenho de SOC da Devo, 71% dos profissionais de segurança estão prestes a desistir devido a uma combinação de desafios na SOC, principalmente esgotamento causado pela crescente carga de trabalho e sobrecarga de informações, tempo de inatividade insuficiente, falta de integração de ferramentas e fadiga de alerta. 78% da equipe da SOC trabalha horas extras, trabalhando sete horas além do horário normal de trabalho a cada semana, em média.
Quando os funcionários estão livres de tarefas redundantes e tediosas e têm mais tempo para se concentrar em um alerta sem serem constantemente puxados em direções diferentes, eles podem pensar de forma mais crítica e criativa sobre os padrões de ataque que estão vendo.
Como as SOCs chegarão lá?
As SOCs de hoje não conseguiram acompanhar os criminosos cibernéticos em termos de tecnologia. Muitas ferramentas legalizadas estão desatualizadas e não possuem as análises avançadas necessárias para extrair valor da quantidade de dados que estão sendo ingeridos. Ao mesmo tempo, novas regulamentações governamentais estão aumentando as preocupações com a conformidade.
As SOCs precisam trazer uma automação baseada em IA e aprendizado de máquina (ML) mais poderosa para implementar a IA incorporada nas ferramentas de segurança existentes, permitindo que os analistas tenham uma visão completa das ameaças na infraestrutura da organização de uma maneira mais eficiente e rentável. Uma SOC autônoma que oferece aumento de análise para trazer maior eficácia à SOC deve ser capaz de fornecer coleta de dados escalável e análises poderosas por meio de um único conjunto de dados sem silos ou replicação de dados. Ela deve fornecer investigações autônomas de alerta e caça a ameaças utilizando IA de rastreamento de ataque, assumindo a maior parte do trabalho que sobrecarrega os analistas de SOC. Depois que uma narrativa detalhada e baseada em evidências de um ataque detectado é criada, a plataforma toma medidas para remediar o ataque ou alerta um analista para agir e fornecer feedback à IA. Essa parceria permite que a SOC autônoma aprenda continuamente e se torne mais integrada.
Aqueles que trabalham diariamente em uma equipe de cibersegurança estão prontos para adotar uma SOC autônoma. Quando questionados no relatório da Devo sobre como as organizações podem melhorar a SOC, 37% apontaram para ML, análises avançadas e automação. Além disso, a IDC relatou em seu “Top 10 Predictions for the Future of Trust” que “até 2026, 30% das grandes organizações empresariais migrarão para Centrais de Operações de Cibersegurança Autônomas acessadas por equipes distribuídas para remediação, gerenciamento de incidentes e resposta mais rápidos”.
Os líderes devem ouvir suas equipes e recorrer à SOC autônoma para simplificar as operações e dar suporte às equipes de segurança frequentemente sobrecarregadas e subestimadas que trabalham duro para proteger os dados de uma empresa e a estabilidade de seus negócios.
Mais informações: IBSEC