Blog WatchGuard

Três razões para a adoção de Centros de Operações de Segurança (SOC)

As equipas de TI e segurança das empresas enfrentam desafios de cibersegurança que testam cada vez mais as suas capacidades defensivas. As organizações têm de se proteger de um número crescente de incidentes (um ataque a cada 39 segundos, de acordo com a Universidade de Maryland) e ameaças sofisticadas, muitas das quais têm consequências graves. Apesar do impulso nos orçamentos de segurança das organizações, o custo dos ciberataques continua a crescer ano após ano (mais de 6 mil milhões de dólares em 2019, de acordo com um estudo do CSIS). 

Por exemplo, o trabalho a partir de casa e a mobilidade dos utilizadores alargaram o perímetro de segurança das empresas e levamos esta fronteira "connosco" para onde quer que trabalhemos. Os grupos criminosos também mudaram de tática e visam empresas que deslocaram as suas infraestruturas para a Cloud, para se esconderem entre os serviços legítimos. Além disso, os atacantes em massa desenvolveram novas formas de explorarem e se infiltrarem na rede sem serem vistos. 

Embora não se preste atenção suficiente a estes perigos, eles podem ter impactos diretos nas equipas de operações de segurança, prejudicar a sua eficácia e colocar as organizações em risco.  O novo eBook 'WatchGuard Advanced Endpoint Security for SOCs: Your Weapon to Hunt the Unknown' aborda três grandes desafios nesta área:

  • Falta de especialistas em cibersegurança: 2,9 milhões de empregos na área da cibersegurança não foram preenchidos em todo o mundo no ano passado. Como resultado desta escassez de recursos, muitas organizações não dispõem de equipas equipadas com formação suficiente em cibersegurança para lidar com as ameaças, tornando-as muito mais vulneráveis e, portanto, mais suscetíveis a consequências mais negativas.
  • O efeito " Fadiga de Alertas" cria ineficiências: perante a proliferação de ameaças e a variedade de vetores de ataque que os cibercriminosos podem utilizar para obter acesso aos sistemas, muitos SOC recorrem a uma série de soluções de cibersegurança. Isto significa que tendem a dividir o seu tempo e atenção entre diferentes plataformas e ferramentas, levando à ineficiência e ao risco crescente para a organização, uma vez que podem deixar potenciais ameaças e alertas não filtradas e não priorizadas.
  • Tempo de deteção e resposta insuficiente: de acordo com The Cost of a Data Breach Report 2021, publicado pelo Instituto Ponemon, nestas circunstâncias, o tempo médio de deteção de ameaças (212 dias) e medidas de contenção (75 dias) nas organizações é excessivamente longo. Isto significa frequentemente que os hackers têm tempo suficiente para se deslocarem lateralmente nos sistemas e atingirem os seus objetivos, tais como exfiltração de dados ou execução de malware sem serem detetados por uma solução de segurança.

É por isso que é essencial reforçar as equipas de operações de segurança das organizações com serviços geridos por especialistas em operações de segurança proativas, conhecidos na indústria como SOC Modernos. Os SOC modernos automatizam a busca proativa de potenciais atacantes à espreita dentro da organização e dos seus endpoints e aceleram uma resposta eficaz para prevenir um incidente de segurança o mais rapidamente possível, minimizando, assim, o impacto e, consequentemente, o seu custo para a organização. 

Algumas das principais medidas por detrás da eficiência dos SOC modernos são as seguintes:

  1. Adotar uma abordagem de Zero-trust. Conceder o mínimo de privilégios possível aos utilizadores, nunca confiar (mas sempre validar) na legitimidade das identidades, utilizadores e aplicações, e, finalmente, supervisionar e monitorizar sempre qualquer atividade para detetar anomalias comportamentais o mais cedo possível.
  2. Não seja reativo em relação a alertas, seja proativo na procura de comportamentos suspeitos ou técnicas sofisticadas de ataque usando um mecanismo de "living-off-the-land", que não exige que os hackers utilizem os seus próprios dispositivos e passem despercebidos.
  3. Aplicar análises de segurança automatizadas e em escala para detetar, analisar e responder ao invasor o mais rapidamente possível - fornecendo uma análise detalhada dos sistemas impactados, vulnerabilidades exploradas e a causa raiz do incidente. 
  4. Adotar serviços de threat hunting nos seus processos contínuos, uma vez que estes melhoram os mecanismos de deteção automatizada e, assim, lidam com o fluxo constante de ameaças.