Os analistas de segurança no SOC desejam detecção automatizada de ameaças para que não precisem se preocupar com a falta de incidentes. A pesquisa "Voice of the Analysts" mostra o desejo de lidar com a crescente fadiga de alarme causada por uma enxurrada de falsos positivos.
A FireEye, Inc., empresa de segurança baseada em inteligência, apresenta o briefing da IDC, "A Voz dos Analistas: Melhorando os Processos do Centro de Operações de Segurança por meio de Tecnologias Adaptadas" (em anexo). A pesquisa subjacente de 350 analistas de segurança internos e provedores de serviços de segurança gerenciados (MSSP) revelou que eles estão se tornando cada vez mais improdutivos. Isso se deve a uma “fadiga de alerta” generalizada que leva a alertas ignorados, aumento do estresse e a preocupação de perder incidentes de segurança. Para aumentar a satisfação no trabalho e a eficácia de seu Centro de Operações de Segurança (SOC), os analistas entrevistados gostariam de automatizar várias atividades.
Analistas de segurança no SOC inundados com informações
"Os analistas de segurança estão sobrecarregados com uma enxurrada de falsos positivos de soluções díspares e estão cada vez mais preocupados com a possibilidade de estarem perdendo uma ameaça real", disse Chris Triolo, vice-presidente de sucesso do cliente da FireEye. "Para enfrentar esse desafio, os analistas precisam de ferramentas avançadas de automação, como detecção e resposta estendidas (XDR), que reduzem a preocupação com incidentes perdidos e, assim, fortalecem o SOC."
O aumento dos alertas está aumentando a pressão sobre os analistas de segurança, fazendo com que gastem quase metade do tempo com falsos positivos.
- Alarmes falsos levam à “fadiga de alarme”: analistas e gerentes de segurança de TI recebem milhares de relatórios todos os dias, 45% dos quais são falsos positivos, de acordo com os entrevistados. Isso reduz a eficiência dos analistas internos e retarda os fluxos de trabalho. 35% dos entrevistados afirmaram que ignoram os alarmes para poder lidar com o fluxo de mensagens no SOC.
- Os MSSPs gastam ainda mais tempo na triagem de falsos positivos e ignoram ainda mais alertas: os analistas de MSSP relataram que 53% dos alertas que recebem são falsos positivos. Enquanto isso, 44% dos analistas de provedores de serviços gerenciados disseram que ignoram os alertas quando a fila fica cheia, o que pode levar a uma violação de segurança para vários clientes.
Fear of Missing Incidents (FOMI) afeta a maioria dos analistas e gerentes de segurança.
- Como os analistas acham mais difícil gerenciar alertas manualmente, o mesmo acontece com sua preocupação em perder um incidente: três em quatro analistas se preocupam com incidentes perdidos e um em cada quatro analistas está “muito” preocupado com incidentes perdidos .
- Esse FOMI atormenta os gerentes de segurança ainda mais do que seus analistas: mais de 6% dos gerentes de segurança disseram que dormem mal por medo de perder incidentes.
Os analistas precisam de soluções SOC automatizadas para neutralizar o FOMI.
- Menos da metade das equipes de segurança corporativa atualmente usa ferramentas para automatizar as atividades do SOC: O estudo revela as ferramentas preferidas dos analistas de segurança para revisar alertas. Ele mostra que menos da metade da inteligência artificial e aprendizado de máquina (43 por cento), ferramentas de automação e resposta de orquestração de segurança (SOAR) (46 por cento), informações de segurança e software de gerenciamento de eventos (SIEM) (45 por cento), caça a ameaças (45 por cento) e outros recursos de segurança. Além disso, apenas dois em cada cinco analistas usam inteligência artificial e aprendizado de máquina em conjunto com outras ferramentas.
- As soluções automatizadas avançadas reduzem a fadiga de alerta das equipes de segurança e melhoram o sucesso do SOC, permitindo que os analistas se concentrem em tarefas mais exigentes, como caça a ameaças e investigações cibernéticas: os analistas desejam mais automação de detecção de ameaças (18 por cento), seguido por inteligência de ameaças (13 por cento) e triagem de incidentes (9 por cento).
Metodologia do boletim informativo da IDC
A IDC pesquisou 300 gerentes de segurança de TI e analistas de segurança dos EUA que trabalham em SOCs em vários setores, incluindo finanças, saúde e governo, bem como 50 provedores de serviços de segurança gerenciados, sobre os desafios que enfrentam ao gerenciar seus SOCs. A pesquisa foi realizada no outono de 2020. Este boletim informativo da IDC foi patrocinado anteriormente pela Respond Software, agora parte da FireEye.
Saiba mais em FireEye.com
Sobre a Trellix A Trellix é uma empresa global que está redefinindo o futuro da cibersegurança. A plataforma aberta e nativa de detecção e resposta estendida (XDR) da empresa ajuda as organizações que enfrentam as ameaças mais avançadas de hoje a ganhar a confiança de que suas operações estão protegidas e resilientes. Os especialistas em segurança da Trellix, juntamente com um amplo ecossistema de parceiros, aceleram a inovação tecnológica por meio de aprendizado de máquina e automação para oferecer suporte a mais de 40.000 clientes empresariais e governamentais.