Estudo revela que o aumento do foco nos “caçadores de ameaças” profissionais e na tecnologia automatizada resultou no surgimento de um modelo operacional mais efetivo para identificar, mitigar e prevenir ameaças cibernéticas.
A McAfee anunciou o lançamento do estudo Disrupting the Disruptors, Art or Science?(perturbar os perturbadores, arte ou ciência?), um novo relatório que investiga o papel da caça de ameaças cibernéticas e a evolução dos centros de operações de segurança (SOC). Analisando as equipes de segurança em quatro níveis de desenvolvimento (mínimo, processual, inovador e líder), o relatório constata que SOCs avançados dedicam 50% mais tempo caçando ameaças efetivamente do que os outros.
O caçador de ameaças
Caçar ameaças está se tornando uma função fundamental no combate contra agentes nocivos. Um caçador de ameaças é um profissional membro da equipe de segurança incrivelmente valioso para o processo investigativo, que tem a tarefa de examinar as ameaças cibernéticas usando pistas, hipóteses e sua experiência em pesquisar criminosos cibernéticos. De acordo com a pesquisa, as empresas estão investindo e obtendo diferentes níveis de resultados com ferramentas e processos estruturados à medida que integram atividades de “caça a ameaças” ao centro de operações de segurança.
O aumento do foco nos caçadores de ameaças profissionais e na tecnologia automatizada resultou no surgimento de um modelo operacional mais efetivo para identificar, mitigar e prevenir ameaças cibernéticas: a parceria homem-máquina. Na verdade, as principais organizações de caça a ameaças estão usando esse método no processo de investigação de ameaças mais que o dobro que as organizações no nível mínimo (75% em comparação com 31%).
“As organizações precisam desenvolver um plano sabendo que serão atacados por criminosos cibernéticos”, disse Raja Patel, Vice presidente e gerente geral de produtos para segurança corporativa da McAfee. “Os caçadores de ameaças são extremamente valiosos como parte desse plano para recuperar a vantagem daqueles que tentam interromper os negócios, mas só podem ser bem-sucedidos se forem eficientes. “Caçadores de ameaças e uma tecnologia inovadora são necessários para desenvolver uma forte estratégia de parceria homem-máquina, que mantenha as ameaças cibernéticas à distância.
Principais descobertas:
- Em média, 71% dos SOCs mais avançados concluíram investigações de incidentes em menos de uma semana e 37% concluíram investigações de ameaças em menos de 24 horas.
- Os caçadores ao nível mínimo apenas determinam a causa de 20% dos ataques, em comparação com os principais caçadores que identificam 90%.
- SOCs mais avançados obtêm até 45% mais valor do que SOCs mínimos com o uso de sandboxing, melhorando os fluxos de trabalho, economizando tempo e dinheiro e coletando informações não disponíveis em outras soluções.
Estratégias:
-
68% declaram que irão alcançar os recursos líderes através de uma automação otimizada e procedimentos de caça de ameaças.
-
SOCs mais maduros são duas vezes mais propensos a automatizar partes de seu processo de investigação de ataques.
-
Os caçadores de ameaças em SOCs maduros gastam 70% mais tempo na personalização de ferramentas e técnicas.
Táticas
-
Os caçadores de ameaças em SOCs maduros gastam 50% mais tempo caçando ameaças efetivamente.
-
A sandbox é a principal ferramenta para analistas de SOC de primeira e segunda linhas, em que as funções de maior nível contavam primeiro com a análise avançada de malwares e código aberto. Outras ferramentas padrão incluem SIEM, detecção e resposta de endpoints e análises comportamentais dos usuários; todas elas foram alvo da automação.
SOCs mais maduros usam sanbbox em 50% mais investigações do que SOCs mais novos, indo além para investigar e validar ameaças em arquivos que entram na rede.