Maximizando seus investimentos por meio da automação de segurança

Vamos enfrentá-lo, há anos falamos sobre automação de segurança. Nós lutamos para saber o quê, quando e como automatizar. Debatemos o tópico humano versus máquina. E em certos pontos, quando fomos "queimados" (desligando os sistemas automaticamente por engano), nos perguntamos se há algum lugar para a automação. Mas, no fundo do coração, sabemos há anos que a automação é o futuro. Agora o futuro está aqui.

Enquanto a maioria das organizações tinha pelo menos automação mínima dos principais processos de segurança e resposta a incidentes (IR), os eventos de 2020 serviram como um ponto de inflexão, diz Noor Boulos da ThreatQuotient . O novo SANS relatório discute como a pandemia global forçou muitas organizações a acelerar seus planos de automação, onde estão priorizando seus investimentos e os planos que têm para o futuro. A pesquisa abrangeu empresas de todos os tamanhos, representando uma mistura diversificada de setores e com operações na América do Norte, Europa, Ásia-Pacífico e África.

Algumas das principais descobertas incluem:

• Quase um terço das organizações indicou que seus planos para automação aceleraram por causa da pandemia COVID-19.

• Mais de 80% das organizações têm pelo menos automação parcial dos principais processos de segurança e RI, contra 47% em 2020.

• Perfurando mais profundamente, os processos de IR tiveram o crescimento mais significativo em automação, com a automação extensiva saltando quase 18%, de 10,5% em 2020 para 28,3% em 2021.

• As operações de segurança e o processamento de eventos ou alertas continuam sendo a principal área de automação, com 35,5% relatando ampla automação.

• O futuro parece promissor para a automação da segurança, com 85% planejando automatizar os principais processos de segurança e IR somente nos próximos 12 meses.

Ao olhar para o futuro e usar os resultados da pesquisa para ajudar a entender melhor como expandir o uso da automação nas operações de segurança, é importante considerar quando aplicar a automação no ciclo de vida da segurança para maximizar o valor do negócio.

Na ThreatQuotient, acreditamos há muito tempo que os dados são a força vital da automação de detecção e resposta, portanto, a chave para a automação eficaz começa com os dados. Vamos pegar os dois principais casos de uso no relatório, Triagem de Alerta e Resposta a Incidente, como exemplos.

Triagem de alerta:

Os analistas são inundados pelo número de alertas que requerem atenção humana, gerados por regras de SIEM barulhentas e infraestrutura de defesa padrão. Em uma tentativa de reduzir o volume e a velocidade dos alertas de segurança que eles devem enfrentar diariamente, os analistas aplicam dados de ameaças externas e feeds de inteligência de ameaças diretamente ao SIEM, mas os desafios continuam por dois motivos principais.

Primeiro, a quantidade de dados de ameaças externas é impressionante. O envio de todos esses dados diretamente para o SIEM para correlação resulta em toneladas de alertas não contextuais, cada um dos quais requer um trabalho significativo de um analista para pesquisa. Em segundo lugar, há uma falta de recursos de suporte à decisão nas ferramentas atuais para fornecer contexto e compreensão adicionais para determinar a relevância, antes de aplicar feeds de inteligência de ameaças diretamente ao SIEM. A priorização é fundamental para enfocar e determinar as próximas ações apropriadas a serem tomadas durante o processo de triagem de alerta.

Com a plataforma ThreatQ, você pode lidar com o desafio da triagem de alertas e interromper os alertas inúteis antes que eles aconteçam, alimentando SOMENTE a inteligência de ameaças que seja relevante para a organização. Ao aplicar automaticamente o contexto, a relevância e a priorização aos dados de ameaças antes de aplicá-los ao SIEM, o SIEM se torna mais eficiente e eficaz.

Pontuações de inteligência de ameaças personalizadas com base nos parâmetros que você define, juntamente com o contexto, permitem a priorização com base no que é relevante para o seu ambiente específico. Agora, usando um subconjunto de dados de ameaças que foram selecionados para inteligência de ameaças, a sobreposição adicional permite que o SIEM gere menos falsos positivos e encontre menos problemas de escalabilidade.

Resposta ao incidente:

A abordagem atual de Orquestração, Automação e Resposta de Segurança (SOAR) tem como foco a automação de processos. O desafio é que, quando aplicados à detecção e resposta, os manuais focados no processo são inerentemente ineficientes e complexos porque os critérios de tomada de decisão e a lógica são incorporados aos manuais e as atualizações precisam ser feitas em cada manual. Essa complexidade aumenta exponencialmente à medida que você aumenta o número de manuais. Automatizar e orquestrar dados ruidosos apenas amplifica o ruído.

Com o ThreatQ TDR Orchestrator, você pode adotar uma abordagem simplificada e baseada em dados para SOAR, onde os dados, ou informações, conduzem o início do manual e os dados aprendidos por ações executadas são usados ​​para análises e para melhorar a resposta futura. Colocar a “inteligência na plataforma” e não manuais individuais fornece configuração e manutenção mais simples e resultados de automação mais eficientes e eficazes. Os usuários podem selecionar e priorizar os dados antecipadamente, automatizar o que é relevante e simplificar as ações realizadas.

O autor é Noor Boulos de ThreatQuotient