Neste blog, você saberá como as operações de segurança (SecOps) evoluíram de reativas para proativas. Saiba mais sobre os desafios dos processos manuais e por que os especialistas em segurança são necessários. Como esses desafios podem ser eliminados pela inteligência artificial (IA)? As empresas estão adotando a inteligência artificial? Quais são as vantagens que a inteligência artificial promete e traz para o SecOps?
Durante muito tempo, o Security Operations Center (SOC) era uma sala enorme com telas grandes que exibiam constantemente mensagens de aviso. As equipes de segurança ficavam sentadas em frente a essas telas, monitorando e analisando constantemente os alertas. Os SOCs foram originalmente projetados para organizações governamentais e de defesa e lidavam principalmente com alertas de rede. Depois vieram os sistemas de detecção de intrusão (IDS), firewalls, proteção contra vírus e assim por diante. As operações de segurança estão em constante evolução para acompanhar o ritmo das crescentes ameaças. Por exemplo, o SIEM (Security Information and Event Management) foi introduzido em 2005 para otimizar a detecção e a resposta a ameaças (Incident Detection and Response).
À medida que os riscos cibernéticos evoluíram, especialmente as ameaças persistentes avançadas (APTs), as ferramentas para combatê-los também melhoraram. A partir de 2016, o mercado viu o aumento dos serviços de detecção e resposta gerenciadas (MDR) com funções modernas de detecção de ameaças. Hoje, as operações de segurança não funcionam mais de forma reativa, mas proativa. No início de 2024, tecnologias como automação e inteligência artificial estarão totalmente integradas ao SecOps. Tecnologias como a inteligência artificial ajudam as empresas a manter uma visão geral, processar melhor os dados e eliminar ameaças com eficiência.
Aqui estão alguns desafios para as operações de segurança tradicionais.1
Espera-se que um Security Operations Center (SOC) moderno não apenas garanta a segurança, mas também atenda aos requisitos de conformidade, geração de relatórios e treinamento. Com sistemas de segurança desatualizados, os analistas de segurança enfrentam muitos desafios operacionais – por exemplo, eles são constantemente inundados com alertas.
Quando se trata de segurança cibernética, o contexto é sempre crucial. As operações de segurança baseiam-se fundamentalmente na utilização da inteligência contra ameaças que pode evitar riscos. No entanto, uma enxurrada de informações, alarmes falsos e falta de contexto contrariam o objetivo da minimização de riscos.
Os analistas recebem milhares de alertas todos os dias – aqui estão alguns resultados de um estudo2:
Essa enxurrada de mensagens de aviso inevitavelmente coloca os analistas de segurança em uma situação difícil. Por exemplo, 97% deles temem perder uma mensagem de aviso importante quando é crucial. Isso aconteceu na Target Corporation, uma grande empresa de varejo dos EUA. Em 2013, a Target foi vítima de uma das maiores violações de dados de todos os tempos, na qual os dados de cartões de crédito e débito de cerca de 41 milhões de clientes foram roubados. Essa violação de dados custou à empresa 18,5 milhões de dólares para a liquidação de ações judiciais e também levou a uma má reputação e a um colapso nos preços das ações.
O que é realmente preocupante, no entanto, é que, embora o software de monitoramento da Target (FireEye) tenha emitido mensagens de aviso, os especialistas em segurança não responderam a elas. Eles provavelmente consideraram os avisos como alarmes falsos ou de importância secundária e os ignoraram, pois recebiam centenas dessas mensagens todos os dias.3
Por que a segurança das informações operacionais é complexa
O excesso de alertas e o número reduzido de analistas de segurança que podem lidar com eles são um grande desafio. A raiz desse problema está na dependência de processos manuais. Um estudo realizado em 2023 mostrou que 81% dos profissionais de operações de segurança acreditam que as investigações manuais os atrasam. Eles precisam iniciar manualmente a correção.4 O mesmo estudo também constatou que o tempo médio para detectar e responder aumentou nos últimos dois anos. Os analistas gastam cerca de um terço de seu tempo de trabalho diário investigando ameaças que não são reais.
O cerne do problema é a falta de especialistas em segurança capazes de gerenciar grandes sistemas. O uso de tecnologias digitais e de nuvem cresceu muito, o que aumenta a superfície de ataque. No entanto, o número de especialistas qualificados no setor de segurança não aumentou nas últimas duas décadas. A Forbes informa que 3,5 milhões de empregos foram abertos na área de segurança cibernética somente em 2023. São necessários, em média, 150 dias para preencher uma vaga no setor de segurança.5 Os especialistas em segurança têm a impressão de que seu trabalho é mais difícil do que era há dois anos. Os motivos para isso são a complexidade crescente, a superfície de ataque crescente, a necessidade constante de treinamento e atualizações, a pressão orçamentária e o estresse de cumprir as normas legais.6
Como há menos funcionários disponíveis, o tempo necessário para reconhecer, analisar e responder é maior para o indivíduo. Há outros desafios, como operações em escala, erro humano na interpretação de dados, monitoramento 24 horas, adaptabilidade a mudanças rápidas etc. É claro que há uma escassez de mão de obra qualificada, mas se a dependência de humanos for reduzida, a maioria dos problemas associados às operações de segurança poderá ser resolvida. A automação de processos e o uso de IA podem aliviar a pressão sobre as equipes.
Em vista do ambiente complexo, dos inúmeros alertas e da velocidade dos ataques, as empresas não podem mais confiar apenas nas medidas de segurança convencionais. As operações de segurança modernas devem conseguir reconhecer padrões, reagir em tempo real, obter o contexto correto e garantir a conformidade. Cerca de 63% dos funcionários do SOC acreditam que tecnologias como inteligência artificial e automação (ou simplesmente "automação inteligente") podem reduzir significativamente os tempos de resposta.7
A detecção tradicional baseada em assinaturas não é mais suficiente, pois não consegue reconhecer novos ataques de dia zero e acompanhar o ritmo dos grandes volumes de malware. A inteligência artificial pode ajudar a equipe de operações de segurança a identificar riscos cibernéticos conhecidos e desconhecidos, mesmo que nenhuma assinatura esteja disponível. A inteligência artificial usa algoritmos de aprendizado de máquina (ML) para analisar grandes quantidades de dados e detectar anomalias e padrões. A detecção de phishing baseada em regras também está desatualizada, pois não consegue mais reconhecer e-mails de phishing mais novos e desconhecidos. A IA, por outro lado, analisa a estrutura do e-mail, o conteúdo e a interação do usuário para detectar uma possível tentativa de phishing.
O mesmo se aplica à análise do protocolo: As análises de protocolos de segurança baseadas em IA podem processar grandes volumes em tempo real em comparação com os sistemas baseados em regras. A IA pode detectar não apenas ameaças externas, mas também internas, como acesso não autorizado ou transferências suspeitas de dados.
A IA também oferece uma segurança de rede muito eficaz, pois seus algoritmos podem monitorar redes, detectar padrões de tráfego incomuns, identificar dispositivos não autorizados ou suspeitos na rede etc. As empresas podem usar a inteligência artificial para evitar eficientemente violações de dados e incidentes de segurança. Uma característica fundamental da IA é que ela aprende e se aprimora com o tempo. À medida que surgem novas ameaças cibernéticas, os modelos de IA podem aprender com os novos dados para criar uma defesa ainda mais forte. Nas organizações que usam serviços de MDR com proteção de endpoint baseada em IA, as equipes de segurança respondem com mais rapidez e eficiência. Em resumo, o uso da IA nas operações de segurança aumenta a eficiência, melhora a detecção em tempo real, aumenta a escalabilidade e torna a tomada de decisões mais precisa.
A IA libera as equipes de segurança de tarefas tediosas. Isso permite que elas se concentrem em tarefas mais críticas e complexas. Com a automação inteligente, podem ser otimizadas tarefas importantes, como varredura de vulnerabilidades, gerenciamento de patches, detecção de ameaças e resposta a incidentes. A IA também recomenda medidas e apoia as equipes de segurança na defesa contra ameaças. As empresas que usam IA se beneficiam do rápido processamento de dados de várias fontes, do reconhecimento de padrões e da identificação de ameaças cibernéticas em tempo real. Elas economizaram cerca de 108 dias no tempo de resposta a violações de dados em comparação com empresas que não investiram em IA.8
Ao otimizar as tarefas repetitivas, a necessidade de intervenções manuais frequentes pode ser reduzida significativamente. A necessidade de pessoal "adicional" para tarefas de rotina é reduzida ou até mesmo completamente eliminada. Além disso, graças ao conhecimento preciso sobre ameaças, os analistas de segurança não precisam perder muito tempo investigando alarmes falsos. Ao melhorar as taxas de detecção, os recursos podem ser usados para tarefas mais importantes.
Ao reduzir o tempo de resposta a incidentes, é possível evitar grandes ataques, violações de dados ou ransomware, entre outros, que poderiam levar a perdas financeiras, multas, processos judiciais, danos à reputação etc.
Para compreender o sucesso da implementação de operações de segurança baseadas em IA, as organizações precisam ficar atentas às seguintes métricas:
Funções XSIAM da Palo Alto Networks
Com nossos serviços abrangentes de MDR, ajudamos as empresas a aprimorar as operações de segurança, reduzir os riscos de segurança e aumentar sem comprometer a transformação digital. Nossos utilizam tecnologias modernas baseadas em IA, como o Cortex XSIAM da Palo Alto Networks. Com a ajuda das funções de IA, podemos coletar dados de mais fontes, correlacionar melhor os diferentes alertas e reduzir o número de alertas de alta prioridade. Isso, portanto, reduz o tempo de solução de dias para minutos. O tempo desnecessário gasto na investigação de alerta de baixa prioridade ou alarmes falsos é eliminado.
Funções XSIAM da Palo Alto Networks:
A T-Systems e a podem otimizar suas operações de segurança existentes sem que você precise fazer grandes investimentos em ferramentas de segurança e reprojetar todo o seu SOC. Melhore a segurança da sua empresa e aumente a resiliência cibernética contra ataques modernos.
Com nossos serviços de MDR baseados em IA você poderá:
Entre em contato conosco agora se quiser otimizar seu SecOps ou usar nossos serviços de MDR para melhorar a segurança da sua empresa.
1 SANS 2023 SOC Survey, 2023, Medium
2 Security Alert Article, Help Net, 2023, Security
3 Target Data Breach Case Study, 2023, Card Connect
4 Global SOC Study Results, 2023, IBM
5 Cybersecurity Skills Gap, 2023, Forbes
6 The Life and Times of Cybersecurity Professionals, 2023, Enterprise Strategy Group
7 Global SOC Study Results, 2023, IBM
8, 9 Costs of Data Breach Report, 2023, IBM
