A Hewlett Packard Enterprise (HPE) publicou seu quarto relatório anual State of Security Operations, que fornece uma análise profunda da eficácia dos centros de operações de segurança (SOCs) das organizações e aponta as melhores práticas para reduzir riscos no cenário em evolução da cibersegurança.
Com uma maior pressão para inovar rapidamente e alinhar iniciativas de segurança com metas de negócios, um SOC fornece a base para a maneira como as empresas protegem seus ativos mais confidenciais e detectam e respondem a ameaças. No entanto, as descobertas do relatório deste ano mostram que a maioria fica abaixo dos níveis de maturidade recomendados, deixando as organizações vulneráveis no caso de um ataque.
Publicado pelo HPE Security Intelligence and Operations Consulting (SIOC), o relatório examina quase 140 SOCs, em mais de 180 avaliações em todo o mundo. O padrão utilizado segue a escala do modelo de maturidade de operações de segurança (SOMM) da HPE, que avalia pessoas, processos, tecnologia e recursos de negócios que compõem um centro de operações de segurança.
Um SOC bem definido e avaliado, além de flexível, é recomendado para as empresas, pois monitora com eficácia as ameaças existentes e emergentes. Porém, 82% dos SOCs falham ao atender a esses critérios e ficam abaixo do nível de maturidade ideal. 1 Embora essa seja uma melhoria de 3% em relação ao ano anterior, a maioria das organizações ainda enfrenta dificuldades com a falta de recursos qualificados, bem como de implementação e documentação dos processos mais eficazes.
Principais observações
- A maturidade do SOC diminui com programas apenas de busca. A implementação de equipes de busca para a procura de ameaças desconhecidas se tornou uma forte tendência no setor de segurança. Embora as organizações que adotaram equipes de busca a seus recursos de monitoramento em tempo real tenham aumentado seus níveis de maturidade, programas que focaram unicamente nessas equipes tiveram um efeito adverso.
- A automação completa é uma meta não realista. A escassez de talentos em segurança permanece sendo a principal preocupação para as operações, tornando a automação um componente essencial para qualquer SOC bem-sucedido. No entanto, ameaças avançadas ainda requerem investigação humana e as avaliações de riscos precisam de raciocínio humano, tornando essencial que as organizações encontrem um equilíbrio entre automação e recrutamento.
- Focos e metas são mais importantes do que o tamanho da organização. Não há um vínculo entre o tamanho de uma empresa e a maturidade de sua central de ciberdefesa. Em vez disso, as organizações que usam a segurança como diferencial competitivo, para liderança de mercado ou para criar alinhamento com seus setores, são melhores indicadores dos SOCs maduros.
- Soluções híbridas e modelos de formação de equipes fornecem recursos ampliados. Organizações que mantêm o gerenciamento de riscos internamente e expandem com recursos externos, como a utilização de fornecedores de serviços de segurança gerenciados (MSSPs) para formação conjunta de equipes ou soluções internas, podem aumentar sua maturidade e abordar a lacuna de qualificações.
Implicações e recomendações
À medida que as organizações continuam a criar e avançar nas implantações de SOC, juntamente com o cenário adversário em evolução, uma base sólida que combine de maneira correta pessoas, processos e tecnologia é essencial.
Para ajudar as organizações a alcançar esse equilíbrio, a HPE recomenda:
- Dominar as noções básicas da identificação de riscos e detecção de incidentes e resposta, que são a base para qualquer programa de operações de segurança eficaz, antes de utilizar novas metodologias como equipes de busca.
- Automatizar tarefas onde for possível, como uma automação de respostas, coleta de dados e correlação para ajudar a mitigar a lacuna de qualificações, mas também compreender os processos que requeiram interação humana e formação de equipes adequadamente.
- Avaliação periódica dos objetivos de gerenciamento de riscos, segurança e conformidade das organizações para ajudar a definir a estratégia de segurança e a alocação de recursos.
- Organizações que precisam aumentar seus recursos de segurança, mas não conseguem adicionar equipes, devem considerar a adoção de uma estratégia híbrida de soluções operacionais ou de recrutamento que utilize recursos internos e terceirização para um MSSP.
