As equipes que trabalham no centro de operações de segurança (SOC) andam bem atarefadas ultimamente.
É delas a responsabilidade por monitorar todos os sistemas e conexões de rede para prevenir, detectar, investigar e responder a incidentes de segurança.
De acordo com uma pesquisa do ESG, 63% das organizações afirmam que a análise e as operações de segurança são mais difíceis hoje do que há 2 anos. E há dois principais fatores que têm contribuído para isso:
- Os ataques cibernéticos estão crescendo e são cada vez mais sofisticados, burlando os sistemas de segurança existentes.
- As áreas para um potencial ataque também estão crescendo, na medida em que as empresas adotam cada vez mais o trabalho em casa e os aplicativos SaaS, movem cargas de trabalho para a nuvem pública, desenvolvem aplicativos nativos da nuvem e implantam dispositivos IoT / OT.
Sim, os riscos são maiores a cada dia. O que fazer? Há duas coisas que podem ser feitas e vão melhorar muito a segurança dos dados. São elas:
Modernização do SOC
A modernização inclui a integração de tecnologias de segurança, com automação de processos, análises avançadas das ameaças e sua contextualização, enriquecimento de inteligência de ameaças, aproveitando informações fornecidas por tecnologias de operações de segurança. O objetivo é criar uma arquitetura de plataforma de análise e operações de segurança interoperável para ajudar a equipe SOC a reforçar a eficácia da segurança e a eficiência operacional.
Integração de sistemas SIEM e NDR
SIEM e Network Traffic Analysis/Network Detection and Response (NDR) devem trabalhar juntos. Os SIEMs ancoram suas análises aos dados de eventos e registros, enquanto o NDR monitora os fluxos, pacotes e metadados da rede. O SIEM e o NDR procuram ameaças de maneiras diferentes, usando dados diferentes.
Muitas organizações usam os sistemas de forma independente, quando eles realmente têm um propósito comum: a detecção de ameaças e resposta a incidentes, feitas de forma eficiente e precisa. Ao combinar esses dois sistemas, as empresas podem se beneficiar de alertas de maior fidelidade e detalhados. Isso pode levar a melhorias no tempo médio de detecção (MTTD) e no tempo médio de resposta (MTTR) às ameaças.
Ao combinar SIEM com NDR, as organizações podem se beneficiar de:
- Detecção de ameaças aprimorada. Quando o SIEM e o NDR são integrados, há alertas de alta fidelidade, com todos os dados de log e rede apresentados aos analistas simultaneamente. Os principais sistemas também incluirão análises avançadas em busca de comportamento malicioso em uma cadeia de destruição que inclui dados de log e de rede.
- Operações de segurança aceleradas e simplificadas. Ao combinar todos os dados suspeitos em nível de rede e sistema, a combinação de SIEM e NDR pode ajudar as organizações a otimizar e acelerar as operações de segurança, apresentando eventos suspeitos, rede e dados de registro em alertas de segurança compactos e abrangentes.
- Alinhamento de SIEM e NDR com outras fontes de dados e serviços de operações de segurança. Isso pode ser mais simples do que parece, uma vez que muitos SIEMs (o IBM QRadar entre eles) já integram outros serviços, como o enriquecimento dos alertas de segurança com detalhes de inteligência de ameaças, como IoCs maliciosos ou padrões de ataque relacionados. Ou com a integração com sistemas SOAR para automação de processos. Isso pode acelerar bastante o MTTD / MTTR, enquanto melhora a produtividade dos analistas de segurança.
É possível levar a integração de SIEM e NDR a outro patamar, gerando análises que agregam os dados de ambas as tecnologias e que são exibidas numa interface comum. Nos últimos tempos, temos ajudado nossos clientes com a implementação de soluções de segurança, a ter uma melhor visibilidade e os recursos aprimorados de detecção, investigação e resposta necessários às equipes de segurança para manter o ritmo no ambiente de hoje.