O Gartner é enfático ao afirmar a necessidade de se investir em detecção e resposta a incidentes de segurança: “pare de tentar proteger exageradamente sua organização e invista em detecção e resposta. A velocidade de detecção e resposta é uma das falhas mais gritantes descobertas em investigações de violação. No mundo digital, o ritmo das mudanças é rápido demais, impossibilitando a antecipação e defesa contra todos os tipos de ataque”.
Considerando a recomendação feita na “Conferência de Segurança e Gestão de Riscos”, em agosto de 2015, 4 grandes desafios se apresentam às organizações:
- Tecnologia: o SIEM (Security Information and Event Management) já se mostrou tecnologia indispensável nessa batalha. No entanto, especialistas de segurança alertam que apenas sua adoção não é suficiente e o resultado pode ser custoso e frustrante.
- Inteligência de Segurança: sem boas regras de correlação (desenvolvidas de acordo com o entendimento da anatomia das ameaças que surgem e das necessidades do ambiente), nenhum SIEM é capaz de gerar os alertas de segurança a partir da correlação de grandes volumes de logs gerados pelos ativos de TI de uma rede corporativa. Se você não sabe o que procurar, achará qualquer coisa.
- Triagem dos alertas: ainda que o SIEM conte com boas regras de correlação, o volume de dados é muito grande. É preciso ter um processo de triagem dos falso-positivos contidos nos alertas gerados para responder aos reais incidentes de segurança identificados, de acordo com sua criticidade.
- Tempo de resposta: quando uma organização sofre um ciberataque, o tempo de resposta é determinante para minimizar as consequências e proteger as informações críticas. A demora ou ineficiência no tratamento só aumentará os danos e perdas de uma violação de segurança. Para isso, uma equipe de especialistas em segurança dedicada também é fundamental.
Muitas organizações não dispõem de orçamento e expertise para encarar esses desafios sozinhas e, para isso, contam com provedores especializados e dedicados.
