Desafios Enfrentados pelos Centros de Operações de Segurança (SOC)

Os profissionais dos Centros de Operações de Segurança (SOC) estão enfrentando dificuldades significativas devido ao volume avassalador de falsos alarmes provenientes de suas ferramentas de segurança. Uma pesquisa da Vectra, que entrevistou centenas de profissionais de cibersegurança, revelou um sério descontentamento dos times de SOC em relação aos seus fornecedores de software. O volume esmagador de falsos positivos gerados por suas ferramentas está causando burnout e permitindo que ameaças reais passem despercebidas.

“Não houve muita mudança em relação aos resultados do ano passado e, honestamente, não foi uma grande surpresa,” afirma Mark Wojtasiak, vice-presidente de pesquisa e estratégia da Vectra AI. “Os profissionais de SOC estão claramente ainda frustrados com as ferramentas de detecção de ameaças. E, na verdade, o que os dados nos dizem é que, mais do que um problema de detecção de ameaças, os times de SOC têm um problema de sinal de ataque. A promessa de consolidação e plataforma ainda não se concretizou, e o que os equipes de SOC realmente precisam é de um sinal de ataque preciso.”

Volume de Alertas e Suas Implicações

Os SOCs recebem em média 3.832 alertas de segurança por dia. Para compreender quão inadministrável isso pode ser, considere que um SOC médio pode ter apenas algumas dezenas de pessoas, dependendo do tamanho da organização e de seu investimento em segurança.

O resultado disso é que 81% dos funcionários do SOC passam pelo menos duas horas por dia apenas filtrando e triando alertas de segurança. Não é de se admirar que 54% dos entrevistados da Vectra afirmaram que, em vez de facilitar suas vidas, as ferramentas que utilizam aumentam sua carga de trabalho diária, e que 62% dos alertas de segurança são, em última análise, ignorados.

É claro que os operadores de SOC estão cientes das implicações de ignorar avisos de segurança. Um total de 71% relatou se preocupar toda semana em perder um ataque escondido em meio a um mar de alertas menos importantes. Além disso, 50% chegou a afirmar que suas ferramentas de detecção de ameaças são “mais um obstáculo do que uma ajuda” para identificar ataques reais.

A tensão entre o que os operadores enfrentam e o que conseguem gerenciar está fomentando um ressentimento genuíno em relação aos fornecedores. Cerca de 60% dos entrevistados relataram que têm adquirido software de segurança principalmente para cumprir exigências de conformidade, e 47% não confiam nesses programas de forma alguma. Uma porcentagem semelhante (62%) acredita que os fornecedores estão, de forma intencional e cínica, inundando-os com alertas, de modo que, quando ocorre uma violação, podem afirmar: “Nós avisamos você!”.

A maior parte (71%) dos profissionais de SOC acredita que os fornecedores precisam assumir mais responsabilidade por não prevenir as violações.

Como a Inteligência Artificial Pode Tornar os SOCs Mais Eficientes

A promessa mais prática da inteligência artificial (IA) é que ela reduzirá a monotonia associada a trabalhos repetitivos e aumentará a produtividade. Em particular, os profissionais de SOC estão bem posicionados para se beneficiar disso.

Wojtasiak afirma que a IA é o caminho para uma mudança de mentalidade completa. “A segurança pensa em termos de superfícies de ataque individuais: eu tenho uma rede, endpoints, identidades, e-mail, agora IA gerativa (GenAI). Ok. Vou comprar ferramentas para fazer a detecção de ameaças em superfícies de ataque isoladas e, em seguida, pedir a um ser humano para dar sentido a tudo isso. É assim que o pensamento de segurança tem sido fundamentalmente nos últimos 10 anos,” diz ele.

“Os atacantes modernos,” continua ele, “veem apenas uma grande superfície de ataque pela qual podem se mover. Então, por que o pensamento de segurança não é semelhante? Por que não estamos olhando para as ameaças de forma holística em toda a superfície de ataque, usando IA para juntar detecções que são indicativas do comportamento do atacante, correlacionando essas detecções e dando um sinal integrado ao analista de SOC?”

Vários SOCs já estão começando a fazer exatamente isso. Cerca de 67% dos entrevistados da pesquisa da Vectra descobriram que a IA já está melhorando sua capacidade de identificar e defender-se contra ameaças, e 73% alegaram que isso ajudou a aliviar suas sensações de burnout. Quase nove em cada dez entrevistados já aumentaram seus investimentos em IA e estão planejando investir ainda mais.

“Estou [já] ouvindo sobre os resultados positivos que estão experimentando à medida que introduzem essas novas ferramentas — redução de carga de trabalho, menos burnout e menos proliferação,” relata Wojtasiak. “A esperança é que as frustrações atuais diminuam à medida que as ferramentas legadas isoladas sejam substituídas por ferramentas acionadas por IA capazes de fornecer um sinal de ataque preciso.”

#Cibersegurança #SOCs #InteligenciaArtificial #FalsosAlarmes #Tecnologia #SegurançaDigital #GestãoDeRisco

autor ref: Nate Nelson, Contributing Writer
ref:https://www.darkreading.com/vulnerabilities-threats/soc-teams-threat-detection-tools-stifling