De 60 minutos para um minuto. Essa é a diferença entre o tempo de resposta a um incidente cibernético da maneira tradicional para a automatizada no SOC. É uma disparidade que pode ser vital para o seu negócio, em um momento em que os prejuízos financeiros ocasionados por ciberataques são cada vez maiores, apesar dos altos investimentos em cibersegurança feitos pelas empresas.
*Eduardo Lopes I RedBelt
Diante desse contexto, é mandatório que as organizações substituam o aporte em tecnologias “hypadas” por uma estratégia de automação de respostas a incidentes. E o SOC tem um papel fundamental nesse processo.
Estima-se que os investimentos em SOC como serviço terá um crescimento esperado de US$ 10,5 bilhões até 2032, enquanto o valor do custo de danos do cibercrime deve atingir aproximadamente US$ 7,5 trilhões até 2025. A diferença é gritante e mostra a importância de desenvolver uma estratégia de segurança mais assertiva. Embora seja um pilar crítico de cibersegurança para qualquer empresa moderna, o SOC precisa passar por inovações que o deixem mais preparado para lidar com o atual cenário de ameaças.
São muitos os desafios pelos quais os Centros de Operações de Segurança estão passando ultimamente, entre eles:
- Integração insuficiente: falta de adequação entre sistemas e ferramentas de automação
- Dependência excessiva de automação: confiar inteiramente em automação sem monitoramento humano
- Configuração errada de playbooks: erros na criação de playbooks automáticos, que podem resultar em respostas incorretas ou excessivamente genéricas
- Ausência de visibilidade em tempo real: acarretando atrasos na identificação de erros na própria automação
- Falta de personalização: usar soluções de automação sem adaptar as respostas para o ambiente específico de cada empresa
- Atualizações negligenciadas: deixar as ferramentas de automação desatualizadas, ignorando as novas ameaças ou as melhorias nos procedimentos
- Respostas automáticas mal calibradas: automação que executa ações excessivamente agressivas ou bloqueia serviços críticos sem uma verificação adequada
- Falta de treinamento da equipe: confiar na automação sem treinar adequadamente a equipe para supervisionar, ajustar e intervir quando necessário
Como se pode ver, para que o SOC cumpra o seu papel, de fato, e ajude a reduzir o tempo de resposta a incidente por meio de automação, ele precisa do suporte de algumas tecnologias, como o Managed Detection and Response (MDR), o Security Information and Event Management (SIEM) e o Security Orchestration, Automation, and Response (SOAR). Enquanto o SIEM coleta, faz correlação e análise de dados, identifica padrões de comportamento e detecta anomalias, o MDR utiliza essas informações para tomar decisões estratégicas. Já o SOAR pode automatizar os processos de resposta a incidentes garantindo uma resposta mais rápida e eficiente.
É a combinação da inteligência humana com a automação que permitirá às organizações a terem um melhor tempo de resposta a incidentes, e não a adoção desenfreada de novas tecnologias. Como vimos no início deste artigo, os danos causados pelos ciberataques só tendem a aumentar nos próximos anos e já passou da hora do board aproveitar melhor as soluções que já “têm em casa”, como o SOC. Com as ferramentas certas e automatizado, ele tem tudo para reduzir ao mínimo o tempo de resposta a incidentes e garantir a continuidade do negócio.