Qual é o atual dos ambientes de gerenciamento de segurança e a capacidades de detecção de ameaças?
Há alguns anos, os SOCs (Centros de Operação de Segurança) dedicados pareciam estar seguindo o caminho dos dinossauros - a era de grandes salas com grandes monitores, equipes de analistas pareciam prontas para serem substituídas por equipes distribuídas, terceirizadas ou dissolvidas inteiramente. Se não estavam no Departamento de Defesa ou em Wall Street, muitos pensaram: então você não precisava de um SOC. Em seguida, ataques direcionados e ameaças internas passaram dos filmes e planos dos governos para uma realidade cotidiana nas empresas. De acordo com uma pesquisa da Intel Security, 68% das investigações em 2015 envolveram uma entidade específica, como um ataque externo direcionado ou uma ameaça interna.
Hoje, quase todas as médias (de 1.000 a 5.000 funcionários) ou grandes empresas (mais de 5.000 funcionários) administram algum tipo de SOC, e metade delas teve um por mais de um ano, de acordo com o último estudo da Intel Security. À medida que o número de incidentes continua a aumentar, as organizações de segurança parecem estar amadurecendo e usando o que estão aprendendo para educar e melhorar a prevenção em um ciclo virtuoso. Por exemplo, os entrevistados documentaram investimentos para expansão dos SOCs e atribuíram um aumento nas investigações a uma capacidade melhorada de detectar ataques. Aqueles que relataram um declínio nas investigações de incidentes atribuíram essa vantagem à melhor proteção e processos, que organizações maduras realizam como a fase final de uma investigação de segurança.
Estas são algumas das conclusões em um estudo encomendado pela Intel Security sobre o estado atual dos ambientes de gerenciamento de segurança e a capacidades de detecção de ameaças, bem como áreas prioritárias para o crescimento futuro.
Quase nove em cada dez organizações relataram ter um SOC interno ou externo, embora as empresas médias sejam um pouco menos propensas a ter um (84%) em comparação com as grandes companhias (91%). As pequenas organizações em geral estão implementando SOCs um pouco mais tarde, já que apenas 44% tiveram um por mais de 12 meses, enquanto 56% dos SOCs das grandes empresas têm funcionado em torno de tanto tempo. A maioria dos SOCs (60%) é atualmente administrada internamente, com 23% operando em um mix de apoio interno e externo e 17% totalmente externo. Para os poucos que não estabeleceram um SOC, apenas 2% das empresas não têm planos de fazê-lo.
Dos 88% das organizações que operam um SOC, a maioria (56%) relatou usar um modelo multifuncional combinando SOC e centro de operações de rede (NOC). As organizações no Reino Unido (64%) e na Alemanha (63%) são ainda mais propensas a operar neste modelo. Os SOCs dedicados estão em uso por 15% das empresas e prevalecem nos Estados Unidos (21%). Os SOCs virtuais são o terceiro modelo, também utilizado por cerca de 15% dos respondentes, seguido por um SOC distribuído ou co-gerenciado, com 11%.
Esta distribuição de implementações tem várias implicações. A maioria opera no ponto médio da maturidade do SOC ou avança em direção ao objetivo de uma operação de segurança proativa e otimizada. No entanto, mais de um quarto (26%) ainda opera em modo reativo, com abordagens ad hoc para operações de segurança, caça de ameaças e resposta a incidentes. Isso pode ampliar significativamente os tempos de detecção e resposta, deixando o negócio em maior risco de danos significativos, bem como enfrentando um custo de limpeza mais elevado.
Seja pelo aumento nos ataques ou por melhores capacidades de monitoração, a maioria de companhias (67%) relatou um aumento em incidentes da segurança, com 51% que dizem que aumentaram um pouco, e 16% que aumentaram muito. Esses dados são similares ao estudo sobre prevenção de vazamento de dados, lançado em setembro de 2016 no relatório de ameaças do McAfee Labs. Esse estudo descobriu que as organizações que observavam os dados mais de perto para vazamento relataram mais incidentes de perda de dados.
Apenas 7% em geral indicam que os incidentes diminuíram e os 25% restantes afirmam que permaneceram estáveis no ano passado. Houve pouca variação reportada por país, mas os incidentes aumentaram à medida que as organizações ficaram menores, possivelmente indicando que os criminosos ampliaram suas metas de ataque. Apenas 45% das maiores organizações (mais de 20.000 funcionários) relataram um aumento, em comparação com 73% das menores (menos de 5.000 funcionários).
O pequeno grupo que relatou uma diminuição nos incidentes esmagadoramente (96%) acredita que isso se deveu a melhor prevenção e processos. Daqueles que disseram que os incidentes aumentaram, a maioria sente que foi devido a uma combinação de melhor capacidade de detecção (73%) e mais ataques (57%).
A maioria das organizações é sobrecarregada por alertas e 93% não conseguem classificar todas as ameaças relevantes. Em média, as organizações são incapazes de investigar suficientemente 25% de seus alertas, sem variação significativa por país ou tamanho da empresa. Quase um quarto (22%) sente que teve sorte de escapar sem nenhum impacto nos negócios como resultado de não investigar esses alertas. A maioria (53%) apresentou apenas um impacto menor, mas 25% afirmam ter sofrido um impacto comercial moderado ou grave como resultado de alertas não investigados. As maiores organizações, talvez por causa de suas melhores capacidades de monitoramento e níveis estáveis de incidentes, são mais propensas a não reportar impacto comercial (33%).
(*) Chris Palm é diretor de comunicação corporativa da Intel Security