Sua Empresa Já Está Preparada para Segurança em Automação?? - Commbox Tecnologia

BLOG

Sua Empresa Já Está Preparada para Segurança em Automação??

Um dos principais problemas que a automação de segurança enfrenta

é a atualização constante de novas ameças que surgem a todo o momento. Elas surgem tão rapidamente, que os profissionais da área simplesmente não conseguem companhar.

“Até mesmo as maiores empresas não conseguem acompanhar”, disse Jon Oltsik, analista principal do Enterprise Strategy Group.

De acordo com uma pesquisa realizada no ano passado, 91% das empresas disseram que o tempo e o esforço necessários para processos manuais limitam a eficácia da resposta a incidentes, e o mesmo número tenta ativamente aumentar suas equipes.

E 62% já possuem processos automatizados de resposta a incidentes, e outros 35% estão iniciando projetos de automação ou planejam fazê-lo nos próximos 12 a 18 meses.

“Há Dois anos atrás, ninguém conhecia sobre essa tecnologia”, disse Oltsik. “No ano passado, vi muito mais. Agora, estamos vendo itens de linha de orçamento para isso e também vemos muito investimento de capital de risco nesse espaço também”.

Ele estima que o tamanho do mercado do setor de automação de segurança e orquestração esteja entre US $ 100 milhões e US $ 200 milhões, com vários pequenos fornecedores entre US $ 10 milhões e US $ 20 milhões em vendas.

 

A automação de segurança poderia, em teoria, permitir que as empresas investigassem as ameaças recebidas e respondessem a elas imediatamente, sem intervenção humana pelo menos, para os tipos mais comuns e intensos de trabalho. Os analistas de segurança seriam então liberados para se concentrar nos tipos mais complexos de ataques.

Houve Alguns Sinais Recentes de que Isso Pode Ser Possível.

 

A automação em segurança poderia, em teoria, permitir que as empresas investigassem as ameaças recebidas e respondessem a elas imediatamente, sem intervenção humana pelo menos, para os tipos mais comuns e intensos de trabalho. Os analistas de segurança seriam então liberados para se concentrar nos tipos mais complexos de ataques.

A maior parte do progresso até agora tem sido impedir que invasores entrem na empresa em primeiro lugar. Anti-malware, firewalls de próxima geração e outros sistemas que detectam ameaças e os bloqueiam.

Mais recentemente, a inteligência de ameaças vem com sistemas de pontuação, disse Oltsik. Isso permite que as empresas adicionem mais automação a ameaças que têm uma probabilidade muito alta de serem muito perigosas e lidem com os casos questionáveis com os processos manuais antigos.

Algumas das maiores empresas também estão implantando plataformas de orquestração. Estes permitem processos automatizados que envolvem vários sistemas.

“Mas esses tipos de plataformas de resposta a incidências são limitadas agora às organizações de elite, as empresas da Fortune 500”, disse ele.

Algumas das empresas também estão implementando plataformas de orquestração. Esses processos automatizados que envolvem vários sistemas.

“Mas os tipos de plataformas de resposta às incidências são limitadas agora às organizações de elite, como as empresas da Fortune 500”, disse ele.

Além disso, as empresas também escrevem scripts para criar seus próprios processos automatizados a partir do zero, mas isso requer algum conhecimento técnico.

Quem está automatizando o quê?

De acordo com a mais recente pesquisa de resposta a incidentes do SANS Institute, a maioria dos processos ainda é muito manual.

O processo mais automatizado, com 50% dos entrevistados dizendo que tinham algum grau de automação, era para implantar remotamente conteúdo ou assinaturas personalizadas de fornecedores de segurança.

Em segundo lugar, com 49%, estava bloqueando o comando e o controle para endereços IP maliciosos, seguido pela remoção de arquivos não autorizados, em 47%.

Os processos menos prováveis de serem automatizados incluem o isolamento de máquinas infectadas da rede durante a correção e o desligamento de sistemas e a colocação deles offline.

Mas, no geral, a automação de segurança está cerca de 10 anos atrás da automação de outros processos de tecnologia, disse Ariel Tseitlin, sócio da firma de investimentos Scale Venture Partners, de Foster City, Califórnia.

“Mas vimos o tremendo efeito da automação em TI, e vamos ver isso na segurança”, disse ele.

A parte de prevenção do quebra-cabeça de segurança é a mais automatizada, disse ele. Então, nos últimos dois anos, a detecção viu uma enorme quantidade de investimento.

Agora, há muito trabalho sendo feito no limite entre detecção e resposta, onde as empresas precisam descobrir quais dos problemas que identificaram são problemas reais que precisam ser investigados.

“Então, no lado da resposta a incidentes, há uma enorme quantidade de trabalho que está sendo feito manualmente hoje”, disse ele. “É aí que acho que muito do valor virá nos próximos anos.”

No entanto, todos os produtos disponíveis hoje ainda estão em seus estágios iniciais, disse ele, e não há líderes claros estabelecidos neste espaço.

Faz sentido automatizar a detecção, mas automatizar totalmente o processo de correção é arriscado, disse Jay Leek, diretor da ClearSky Cyber Security, uma empresa de consultoria em segurança cibernética.

“Eu sempre recomendaria, pelo menos hoje, colocar uma pessoa entre essas duas divisões diferentes”, disse ele. “Você não quer ter falsos positivos aqui.”

As etapas individuais do processo de remediação podem ser automatizadas, disse ele, desde que haja um ser humano apertando o botão para começar.

“Mas eu não gosto da ideia de automatizar todo o processo de ponta a ponta hoje”, disse ele. “É muito imaturo e maduro para falsos positivos. A última coisa que você quer fazer é criar algum tipo de interrupção nos negócios.”

Há fornecedores no mercado que já prometem automatizar todo o processo, incluindo automaticamente a recriação de imagens de dispositivos terminais e o envio de usuários para treinamento antiphishing, disse Nathan Wenzler, estrategista-chefe de segurança da AsTech Consulting.

“Mas no final das contas, a realidade é que qualquer um que tenha tentado fazer isso em escala, não funcionou bem”, disse ele. “Eles obtêm tantos falsos positivos, ou muitos falsos negativos. Você fica com usuários irritados, especialmente se você tiver um sistema que seja recriado e não tenha nada de errado, ou em momentos ruins.”

Consolidação e Evolução

Em breve, a automação de segurança pode se tornar cada vez mais amplamente disponível e mais fácil de usar. Os principais fornecedores têm comprado pequenas empresas de orquestração e integrando seus recursos em suas plataformas, e os fornecedores de SIEM vêm adicionando recursos de automação e orquestração às suas plataformas.

Os fornecedores também estão começando a oferecer rotinas pré-criadas e executar livros para que as empresas não precisem criar seus processos de correção do zero.

Um aspecto positivo da evolução da tecnologia de automação é que não temos pilhas de fornecedores ou silos de tecnologia, onde os produtos de um grupo de empresas não se dão bem com os outros, de acordo com Joseph Blankenship, analista da Forrester Research.

Isso já aconteceu antes, em outras áreas da TI. Em segurança, no entanto, os ambientes corporativos tendem a ser muito heterogêneos.

“É comum as empresas terem 20, 50 ou mais fornecedores diferentes”, disse ele.

Como resultado, os fornecedores são motivados a trabalhar bem juntos, e as limitações à interoperabilidade provavelmente não serão aceitas pelos clientes, disse ele.

Preparando-se para automação

Para empresas que buscam implantar a tecnologia de automação de segurança, não é suficiente determinar se o produto do fornecedor está pronto para o horário nobre.

A empresa também precisa estar pronta, disse Blankenship.

“Definitivamente não é uma compra e conectá-lo no cenário”, disse ele. “Há definitivamente um trabalho de campo que precisa ser feito. Se você conecta dados incorretos em um sistema automatizado, tudo o que vai fazer é tomar decisões erradas mais rapidamente.”

Além disso, muitas empresas não sabem realmente quais são seus processos, e talvez ainda não tenham apostilas bem definidas, disse ele.

“Muitos têm analistas que cada um faz as suas próprias coisas na medida em que lidam com diferentes investigações”, disse ele. “Para automatizar essas coisas, você precisa ter padronização.”