A fadiga do monitoramento de segurança coloca as organizações em risco

Saiba como a sobrecarga de dados está levando os profissionais de segurança ao limite

Quando os alertas se tornam perturbadores

Os profissionais de segurança, geralmente a primeira linha de defesa de uma organização, estão ficando esgotados. A razão? Muitas vezes, a sobrecarga de dados.

Analisar um grande volume de alertas (alguns dos quais são duplicados nas ferramentas) dificulta a compreensão de como identificar e mitigar as ameaças mais críticas e prementes para a organização.Apesar das boas intenções dos alertas de segurança, um estudo recente constatou que 68% dos profissionais de segurança admitiram reduzir o volume de alertas de recursos de alerta específicos, enquanto 49% desativaram alertas de alto volume.

Quando esses protocolos de segurança são afrouxados, eles reduzem o fardo de investigar todos os alertas, mas, ao mesmo tempo, ampliam as lacunas de segurança e aumentam a possibilidade de comprometimento. Isso pode ter consequências desastrosas; um alerta perdido pode levar a uma violação de dados, aumentar o custo da correção do ataque ou abrir a porta para novos ataques.

Como a IBM observa em seu relatório Custo de uma violação de dados de 2021, já leva aproximadamente 212 dias para identificar uma violação e outros 75 dias para contê-la, um número que provavelmente vai aumentar, a menos que seja resolvido.

Por que a segurança está esgotada

Existem duas razões cruciais pelas quais os profissionais de segurança estão enfrentando fadiga. A primeira, muitas organizações migraram, parcial ou totalmente, para a computação em nuvem. Essa infraestrutura híbrida pode ser complexa para configurar, gerenciar e proteger contra várias ameaças crescentes. E nem todos os produtos de segurança funcionam tanto em ambientes no local quanto em nuvem, forçando as organizações a adotar soluções adicionais para proteger seus usuários e dados.

A segunda, à medida que as organizações continuam a adicionar produtos de segurança à pilha, essas soluções coletam um volume maior de dados de monitoramento. Esses dados são essenciais para entender quais ameaças a organização enfrenta e mitigá-las, mas podem apresentar uma quantidade enorme de dados para analisar.

Essa fadiga de monitoramento de alerta é complicada por vários outros fatores:

Falsos positivos

Em uma pesquisa realizada pelo Ponemon Institute, os entrevistados observaram uma taxa de falsos positivos de 20 a 50%, o que impede que a segurança obtenha uma imagem precisa das ameaças enfrentadas por sua organização.

As ferramentas de segurança podem ser isoladas ou enviar alertas duplicados

Os produtos pontuais não trabalham juntos para simplificar o volume e a qualidade dos dados enviados, o que pode dificultar a avaliação da postura de segurança de uma organização e a análise das ameaças à medida que surgem. As ferramentas tradicionais de monitoramento de segurança, independentemente de operarem no nível de host, sistema, aplicativo ou rede, geralmente dependem demais de processos manuais para rastrear e resolver incidentes, enquanto muitas ferramentas de segurança em nuvem não são criadas para a escala ou complexidade de ambientes híbridos .

Os logs de dados carecem de contexto e recursos avançados

Como os logs, geralmente, são isolados em hardware e software, eles não podem oferecer um contexto que leve em consideração toda a infraestrutura de uma organização. Identificar e remediar um ataque pode ser demorado e desafiador para filtrar o alto volume de dados técnicos.

Quando tudo é importante, nada é

Com o conjunto de ferramentas errado, todos os eventos são priorizados, tornando difícil para a segurança identificar manualmente a ameaça mais premente. O conjunto de ferramentas certo é aquele que permite que a segurança priorize automaticamente os dados recebidos, permitindo identificar padrões de ataque e a evolução de outros riscos de segurança em suas organizações, sem desperdiçar tempo ou recursos valiosos.

Quando a segurança fica muito cansada de acompanhar os alertas, analisar dados de log e gerenciar ferramentas de monitoramento, os riscos para a organização aumentam.

Reduzir a fadiga do monitoramento de segurança

Combater a fadiga do monitoramento de segurança requer mais do que adotar a ferramenta de segurança “perfeita”, requer uma reconsideração sobre a segurança da rede.

Em vez de fazer malabarismos com soluções pontuais (que não são projetadas para integrar, desduplicar alertas ou oferecer visibilidade abrangente), um único plano de controle permitire que a segurança gerencie facilmente suas ferramentas de segurança e monitoramento.Ao gerenciar os recursos de detecção e mitigação de ameaças no mesmo local, as organizações podem fechar brechas de segurança e obter mais visibilidade e controle.

Há mais oportunidades para melhorar os recursos de detecção de ameaças:

Melhorar logs e modelos de aprendizagem de máquina

O log é mais útil quando a segurança tem uma imagem clara e concisa das ameaças à sua organização. As equipes podem aumentar os dados de log implementando um ou mais dos seguintes recursos:

• Análise de evento orientado por IA e causa raiz: observar o que acontece antes, durante e depois de um incidente

• Análise preditiva: identificar áreas fracas de infraestrutura que devem ser abordadas antes da ocorrência de um incidente

• Detecção e resposta de rede: eliminar silos entre DevOps, microsserviços e integrações baseadas em API para obter uma visão completa do ciclo de vida da segurança de dados

• Linha de base de comportamentos: catalogação de ações e comportamentos esperados e inesperados

Aproveitar melhor a automação

Algumas partes do processo de detecção de ameaças exigem entrada manual. Porém, automatizar os processos sempre que possível, de preferência com etapas táticas e repetíveis de investigação e análise, pode reduzir a carga de trabalho geral que a segurança enfrenta na detecção de ameaças. Por exemplo, estabelecer um fluxo de trabalho automatizado para verificar dispositivos de endpoint ou contas de e-mail é mais rápido do que configurar a verificação do zero todas as vezes.

Auditoria cadenciada das ferramentas de segurança

Auditar e simplificar regularmente as ferramentas de monitoramento de segurança existentes para garantir que estejam funcionando conforme o esperado.

Em vez de reduzir o limite de segurança, as organizações podem reduzir a complexidade da rede consolidando a segurança em uma única plataforma. Ao fazer isso, elas fortalecerão sua postura de segurança, eliminarão lacunas de segurança e fornecerão um ambiente mais favorável para que os profissionais de segurança se concentrem em ameaças críticas.

Eliminar a fadiga do monitoramento de segurança com a Cloudflare

Consolidar os serviços de segurança essenciais e implantá-los a partir da borda da rede com o Cloudflare One, uma plataforma de rede como serviço Zero Trust. O painel único da Cloudflare permite que a segurança fique por dentro das ameaças emergentes com análises de dados visualizadas, logs detalhados e notificações personalizadas, que podem ser facilmente configuradas e gerenciadas.

Criada em uma vasta rede global que aproveita a inteligência de milhões de propriedades para melhor identificar e mitigar as ameaças, as organizações se beneficiam da segurança integrada de forma nativa que melhora à medida que a rede da Cloudflare aumenta.

Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.

Principais conclusões

• Por que 68% dos profissionais de segurança estão reduzindo os alertas de segurança

• Como os produtos pontuais de segurança alimentam a sobrecarga de dados e o esgotamento

• Recomendações para reduzir a fadiga do monitoramento de segurança

Recursos relacionados

• Roteiro para a segurança Zero Trust

• ZTNA, SASE e SSE — por onde começo?

• Como manter-se atento aos ataques à cadeia de suprimentos por meio do navegador

• Gerenciamento de superfície de ataque com a Cloudflare