Há
alguns anos, os SOCs (Centros de Operação de Segurança) dedicados
pareciam estar seguindo o caminho dos dinossauros – a era de grandes
salas com grandes monitores, equipes de analistas pareciam prontas para
serem substituídas por equipes distribuídas, terceirizadas ou
dissolvidas inteiramente. Se não estavam no Departamento de Defesa ou em
Wall Street, muitos pensaram: então você não precisava de um SOC. Em
seguida, ataques direcionados e ameaças internas passaram dos filmes e
planos dos governos para uma realidade cotidiana nas empresas. De acordo
com uma pesquisa da Intel Security, 68% das investigações em 2015
envolveram uma entidade específica, como um ataque externo direcionado
ou uma ameaça interna.
Hoje,
quase todas as médias (de 1.000 a 5.000 funcionários) ou grandes
empresas (mais de 5.000 funcionários) administram algum tipo de SOC, e
metade delas teve um por mais de um ano, de acordo com o último estudo
da Intel Security. À medida que o número de incidentes continua a
aumentar, as organizações de segurança parecem estar amadurecendo e
usando o que estão aprendendo para educar e melhorar a prevenção em um
ciclo virtuoso. Por exemplo, os entrevistados documentaram investimentos
para expansão dos SOCs e atribuíram um aumento nas investigações a uma
capacidade melhorada de detectar ataques. Aqueles que relataram um
declínio nas investigações de incidentes atribuíram essa vantagem à
melhor proteção e processos, que organizações maduras realizam como a
fase final de uma investigação de segurança.
Estas
são algumas das conclusões em um estudo encomendado pela Intel Security
sobre o estado atual dos ambientes de gerenciamento de segurança e a
capacidades de detecção de ameaças, bem como áreas prioritárias para o
crescimento futuro.
Quase
nove em cada dez organizações relataram ter um SOC interno ou externo,
embora as empresas médias sejam um pouco menos propensas a ter um (84%)
em comparação com as grandes companhias (91%). As pequenas organizações
em geral estão implementando SOCs um pouco mais tarde, já que apenas 44%
tiveram um por mais de 12 meses, enquanto 56% dos SOCs das grandes
empresas têm funcionado em torno de tanto tempo. A maioria dos SOCs
(60%) é atualmente administrada internamente, com 23% operando em um mix
de apoio interno e externo e 17% totalmente externo. Para os poucos que
não estabeleceram um SOC, apenas 2% das empresas não têm planos de
fazê-lo.
Dos
88% das organizações que operam um SOC, a maioria (56%) relatou usar um
modelo multifuncional combinando SOC e centro de operações de rede
(NOC). As organizações no Reino Unido (64%) e na Alemanha (63%) são
ainda mais propensas a operar neste modelo. Os SOCs dedicados estão em
uso por 15% das empresas e prevalecem nos Estados Unidos (21%). Os SOCs
virtuais são o terceiro modelo, também utilizado por cerca de 15% dos
respondentes, seguido por um SOC distribuído ou co-gerenciado, com 11%.
Esta
distribuição de implementações tem várias implicações. A maioria opera
no ponto médio da maturidade do SOC ou avança em direção ao objetivo de
uma operação de segurança proativa e otimizada. No entanto, mais de um
quarto (26%) ainda opera em modo reativo, com abordagens ad hoc para
operações de segurança, caça de ameaças e resposta a incidentes. Isso
pode ampliar significativamente os tempos de detecção e resposta,
deixando o negócio em maior risco de danos significativos, bem como
enfrentando um custo de limpeza mais elevado.
Seja
pelo aumento nos ataques ou por melhores capacidades de monitoração, a
maioria de companhias (67%) relatou um aumento em incidentes da
segurança, com 51% que dizem que aumentaram um pouco, e 16% que
aumentaram muito. Esses dados são similares ao estudo sobre prevenção de
vazamento de dados, lançado em setembro de 2016 no relatório de ameaças
do McAfee Labs. Esse estudo descobriu que as organizações que
observavam os dados mais de perto para vazamento relataram mais
incidentes de perda de dados.
Apenas
7% em geral indicam que os incidentes diminuíram e os 25% restantes
afirmam que permaneceram estáveis no ano passado. Houve pouca variação
reportada por país, mas os incidentes aumentaram à medida que as
organizações ficaram menores, possivelmente indicando que os criminosos
ampliaram suas metas de ataque. Apenas 45% das maiores organizações
(mais de 20.000 funcionários) relataram um aumento, em comparação com
73% das menores (menos de 5.000 funcionários).
O
pequeno grupo que relatou uma diminuição nos incidentes esmagadoramente
(96%) acredita que isso se deveu a melhor prevenção e processos.
Daqueles que disseram que os incidentes aumentaram, a maioria sente que
foi devido a uma combinação de melhor capacidade de detecção (73%) e
mais ataques (57%).
A
maioria das organizações é sobrecarregada por alertas e 93% não
conseguem classificar todas as ameaças relevantes. Em média, as
organizações são incapazes de investigar suficientemente 25% de seus
alertas, sem variação significativa por país ou tamanho da empresa.
Quase um quarto (22%) sente que teve sorte de escapar sem nenhum impacto
nos negócios como resultado de não investigar esses alertas. A maioria
(53%) apresentou apenas um impacto menor, mas 25% afirmam ter sofrido um
impacto comercial moderado ou grave como resultado de alertas não
investigados. As maiores organizações, talvez por causa de suas melhores
capacidades de monitoramento e níveis estáveis de incidentes, são mais
propensas a não reportar impacto comercial (33%).
(*) Chris Palm é diretor de comunicação corporativa da Intel Security
O IT Forum traz, semanalmente, os novos executivos e os principais anúncios de contratações, promoções e…
A Microsoft está enfrentando críticas após um relatório revelar um aumento alarmante em suas emissões…
O Grupo Centroflora é um fabricante de extratos botânicos, óleos essenciais e ativos isolados para…
Toda semana, o IT Forum reúne as oportunidades mais promissoras para quem está buscando expandir…
Um estudo divulgado na segunda-feira (13) pela Serasa Experian mostra que a preocupação com fraudes…
A Honeywell divulgou essa semana a sexta edição de seu Relatório de Ameaças USB de…