As organizações estão bem cientes do perigo dos ciberataques

Um mundo sem riscos cibernéticos é, infelizmente, um sonho impossível. Felizmente, as organizações podem evitar muito sofrimento e, quando ocorre um ataque, resolvê-lo adequadamente. As organizações estão bem conscientes do perigo dos ciberataques, de acordo com o inquérito de referência sobre cibersegurança realizado pela Conscia em colaboração com a empresa de estudos de mercado comercial The Blue Hour.

Por exemplo, 43% dos inquiridos indicaram que a maior parte do tempo que dedicam à segurança das TI é gasto na prevenção. Em 85%, a "sensibilização e formação" é uma medida importante adoptada para prevenir incidentes de cibersegurança. No entanto, quando ocorre um incidente, a investigação mostra que, normalmente, são necessários mais de 200 dias para que o incidente seja detectado. Maarten Werff, Consultor de Soluções de Cibersegurança na Conscia: "É por isso que continua a ser imperativo ter medidas de deteção e resposta, para além da prevenção, para também obter informações sobre os ataques que não são travados por medidas preventivas. Esta parece ser uma pequena percentagem, mas pode causar muito sofrimento".

SOC: construir a sua própria empresa ou subcontratar?

Um Centro de Operações de Segurança (SOC) pode ser a solução. A opinião geral é muitas vezes a de que um SOC envolve custos elevados, exige muito tempo, conhecimentos e energia dos funcionários e, por conseguinte, é apenas para as grandes organizações. Mas será que isso é verdade?

Um cálculo simples: um estudo da Forrester mostra que, em média, as organizações precisam de 14 analistas de segurança FTE para criar e manter a sua própria função SOC (11 FTE para organizações com menos de 5000 empregados e 20 FTE para organizações com mais de 5000 empregados). Isto tem em conta o facto de as pessoas trabalharem dia e noite e também irem de férias de vez em quando.

Se considerarmos o custo de um serviço externo de Deteção e Resposta Gerida (MDR) com monitorização 24 horas por dia, 7 dias por semana, para 1000 funcionários, esse valor ronda os 6 000 euros por mês. Ou seja, é ainda menos do que 1 FTE. Quando as organizações criam o seu próprio SOC, precisam - para além das pessoas certas - de uma plataforma tecnológica adequada. Este facto faz aumentar os custos totais de propriedade de um SOC interno para três vezes o custo de um SOC externalizado (com CAPEX elevado).

Atrair e reter analistas de segurança

Atualmente, criar a sua própria função SOC também tem vantagens definitivas. Os riscos específicos da organização são compreendidos mais rapidamente e melhor pelo pessoal interno. Por outro lado, é difícil encontrar e manter boas pessoas. E também não é a menor das suas tarefas. A Forrester afirma que 96% dos analistas de segurança sofrem um impacto pessoal após um incidente. Pense em longas jornadas de trabalho, stress em casa, falta de sono. Tudo isto é o resultado da chamada "Fadiga de Alerta".

As organizações não enfrentam este problema quando subcontratam a função SOC, bem como as oportunidades de aumento de escala. O inquérito de referência mostra que 15% dos inquiridos já subcontrataram a função SOC. Em 55% dos casos, a monitorização e a análise dos alertas de segurança são efectuadas pela equipa de TI interna. Além disso, 6% das organizações afirmam ter o seu próprio SOC que monitoriza e analisa durante o horário de expediente (3%) ou 24 horas por dia, 7 dias por semana (3%). Quase um quarto dos inquiridos não assegurou ou assegurou de outra forma a deteção de alertas de segurança.

O cenário de ameaças exige uma abordagem diferente

De acordo com Maarten Werff, há outra boa razão para mudar para o MDR: "Na última década, concentrámo-nos principalmente na rede, mas com a mudança do cenário de ameaças devido ao aumento do trabalho em casa, da nuvem e da encriptação, a visibilidade através das medidas tradicionais de segurança da rede é muito menor. Atualmente, a segurança exige uma abordagem diferente. Temos de tomar medidas de segurança para aquilo que queremos proteger: as nossas informações, os nossos utilizadores e os nossos pontos terminais."

Atualmente, 41% dos inquiridos afirmam ter tomado medidas de proteção dos terminais. Não é novidade quando dizemos que os funcionários - com todo o respeito - são frequentemente o maior problema. No caso da presença de acesso anormal a ficheiros e de ficheiros encriptados, 46% dos inquiridos afirmam receber um alerta. Entretanto, 21% podem ver quais os ficheiros que foram afectados por um incidente cibernético e recuperá-los.

De acordo com Maarten Werff, os desenvolvimentos tecnológicos, como o EDR, o SOAR e o XDR, permitem alterar a estratégia de deteção. Olhando para estas soluções, 15% dos inquiridos têm EDR e 3% têm SOAR. "Colocar a identidade e o endpoint no centro da estratégia de deteção e resposta cria uma visibilidade materialmente maior nos alertas e permite uma intervenção mais rápida. Esta abordagem não se centra na procura da 'agulha no palheiro' e, por conseguinte, é também menos dispendiosa."

Fonte: Conscia