Quase três em cada quatro organizações (70 por cento) estão lutando para acompanhar o volume de alertas gerados por suas ferramentas de análise de segurança. Isso se traduz em falta de recursos para tarefas estratégicas importantes, levando as organizações a recorrer à automação e terceirização de processos, de acordo com o recente estudo do ESG, SOC Modernization and the Role of XDR, encomendado pela Kaspersky.
Além do volume de alertas, no entanto, a variedade de alertas também representa um desafio para mais de dois terços (67 por cento) dos empregados em um centro de operações de segurança (SOC). Ambos os fatores dificultam o foco dos analistas de SOC foco em tarefas mais complexas e importantes. Em uma em cada três empresas (34 por cento), as equipes de segurança cibernética, sobrecarregadas por alertas e problemas de segurança de emergência, não têm tempo suficiente para se envolver em otimizações de processos e estratégias.
Falta de pessoal não é o problema
O estudo também mostra que as empresas não atribuem essa situação à falta de pessoal. 83 por cento acreditam que seu SOC tem pessoal suficiente para proteger efetivamente uma empresa de seu porte. No entanto, acreditam que seria necessário automatizar processos e utilizar serviços externos. Mais da metade dos entrevistados (55 por cento) cita o principal motivo para usar serviços gerenciados como dar à sua equipe mais tempo para se concentrar em iniciativas mais estratégicas, em vez de gastar tempo em tarefas de operações de segurança.
"Em vez de procurar proativamente por ameaças avançadas e ameaças evasivas na infraestrutura, os analistas de SOC podem atualmente responder apenas a emergências", disse Yuliya Andreeva, gerente sênior de produtos da Kaspersky. “Reduzir o número de alertas, automatizar sua consolidação e correlação em cadeias de incidentes e reduzir o tempo de resposta geral deve ser o foco das organizações para melhorar o desempenho de seu SOC. Eles podem conseguir isso por meio de soluções de automação apropriadas e especialistas externos.”
Recomendações para otimizar as operações SOC
- Organizar turnos de trabalho no SOC para evitar sobrecarga de pessoal. Distribua as principais tarefas, como monitoramento, investigação, arquitetura e engenharia de TI, administração e gerenciamento de SOC para todos os funcionários.
- Aproveite um serviço abrangente de inteligência contra ameaças [2] que permite a integração de inteligência legível por máquina com controles de segurança existentes, como um sistema SIEM. Isso pode automatizar o processo de triagem inicial e gerar contexto suficiente para decidir se um alerta deve ser investigado imediatamente.
- Para liberar o SOC das tarefas rotineiras de triagem de alertas, as organizações podem recorrer a serviços gerenciados comprovados de detecção e resposta. Kaspersky Managed Detection and Response [3] combina tecnologias de detecção baseadas em IA com extensa caça a ameaças e experiência em resposta a incidentes de entidades profissionais, incluindo a Kaspersky Global Research & Analysis Team (GReAT).
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/