Automação do SOC: como diminuir o tempo de resposta a incidentes de 60 minutos para um minuto

0

De 60 minutos para um minuto. Essa é a diferença entre o tempo de resposta a um incidente cibernético da maneira tradicional para a automatizada. É uma disparidade que pode ser vital para o seu negócio, em um momento em que os prejuízos financeiros ocasionados por ciberataques são cada vez maiores, apesar dos altos investimentos em cibersegurança feitos pelas empresas. Diante desse contexto, é mandatório que as organizações substituam o aporte em tecnologias "hypadas" por uma estratégia de automação de respostas a incidentes. E o SOC tem um papel fundamental nesse processo.

Estima-se que os investimentos em SOC como serviço terá um crescimento esperado de US$ 10,5 bilhões até 2032, enquanto o valor do custo de danos do cibercrime deve atingir aproximadamente US$ 7,5 trilhões até 2025. A diferença é gritante e mostra a importância de desenvolver uma estratégia de segurança mais assertiva. Embora seja um pilar crítico de cibersegurança para qualquer empresa moderna, o SOC precisa passar por inovações que o deixem mais preparado para lidar com o atual cenário de ameaças.

São muitos os desafios pelos quais os Centros de Operações de Segurança estão passando ultimamente, entre eles:

Integração insuficiente: falta de adequação entre sistemas e ferramentas de automação

Dependência excessiva de automação: confiar inteiramente em automação sem monitoramento humano

Configuração errada de playbooks: erros na criação de playbooks automáticos, que podem resultar em respostas incorretas ou excessivamente genéricas

Ausência de visibilidade em tempo real: acarretando atrasos na identificação de erros na própria automação

Falta de personalização: usar soluções de automação sem adaptar as respostas para o ambiente específico de cada empresa

Atualizações negligenciadas: deixar as ferramentas de automação desatualizadas, ignorando as novas ameaças ou as melhorias nos procedimentos

Respostas automáticas mal calibradas: automação que executa ações excessivamente agressivas ou bloqueia serviços críticos sem uma verificação adequada

Falta de treinamento da equipe: confiar na automação sem treinar adequadamente a equipe para supervisionar, ajustar e intervir quando necessário

Como se pode ver, para que o SOC cumpra o seu papel, de fato, e ajude a reduzir o tempo de resposta a incidente por meio de automação, ele precisa do suporte de algumas tecnologias, como o Managed Detection and Response (MDR), o Security Information and Event Management (SIEM) e o Security Orchestration, Automation, and Response (SOAR). Enquanto o SIEM coleta, faz correlação e análise de dados, identifica padrões de comportamento e detecta anomalias, o MDR utiliza essas informações para tomar decisões estratégicas. Já o SOAR pode automatizar os processos de resposta a incidentes garantindo uma resposta mais rápida e eficiente.

É a combinação da inteligência humana com a automação que permitirá às organizações a terem um melhor tempo de resposta a incidentes, e não a adoção desenfreada de novas tecnologias. Como vimos no início deste artigo, os danos causados pelos ciberataques só tendem a aumentar nos próximos anos e já passou da hora do board aproveitar melhor as soluções que já "têm em casa", como o SOC. Com as ferramentas certas e automatizado, ele tem tudo para reduzir ao mínimo o tempo de resposta a incidentes e garantir a continuidade do negócio.

Eduardo Lopes, CEO da Redbelt Security.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.