Combater a ação de cibercriminosos de maneira manual tem sido o primeiro passo para entrar nessa briga como perdedor. Isso porque esse grupo está cada vez mais profissionalizado e modernizado. Diante de boas motivações, eles chegam a investir pesado em recursos para burlar camadas de proteção dos diferentes ambientes digitais e alcançar os próprios objetivos, inclusive automatizando os ataques.
Quando uma organização inicia a automação nos processos de cibersegurança se torna mais capaz de enfrentar técnicas avançadas de ciberataques. Além disso, com as soluções de tecnologia adequadas e os parceiros de serviços gerenciados realmente especializados, a companhia ainda tem a oportunidade de reduzir o impacto do apagão de talentos das áreas de tecnologia e segurança da informação que tanto tem assombrado o dia a dia do negócio.
Existem alguns casos de uso de automação em que é possível promover mudanças rápidas e significativas no negócio. Veja quatro exemplos:
1. Threat Intelligence
Por meio desse conceito, é possível coletar informações de vários feeds e correlacionar esses dados de forma automática para ter uma visibilidade mais rápida e precisa do ataque.
2. Verificação de vulnerabilidades
Existem soluções no mercado que conseguem descobrir vulnerabilidades em aplicações, ambientes e sistemas, reduzindo a necessidade de realizar um scan e agregando velocidade à ação de remediar essas vulnerabilidades. Algumas dessas soluções fazem parte dos serviços de MSS (Managed Security Services ou Serviços Gerenciados de Segurança) mais robustos.
3. Análise de tráfego de log
Quando um SOC inicia a coleta de informação a partir de diversas fontes de logs e se depara com um alerta de risco de cibersegurança, imediatamente é preciso fazer uma investigação para descartar os falsos positivos. Fazer essa verificação manualmente exige um tempo que nem sempre se tem. Ao passo que, ao automatizar algumas verificações e correlações, a análise se torna mais eficiente, certeira e pronta para uma rápida ação, enquanto reduz a necessidade de horas/homens.
4. Respostas a incidentes
Com o apoio de um parceiro especializado em segurança da informação, é possível mapear todas as especificidades do ambiente digital do negócio e, a partir desses dados, elaborar um playbook. Na prática, trata-se de uma sequência de ações que são disparadas automaticamente, independentemente da ação humana, caso algum incidente de segurança se apresente.
Para aderir à automação em cibersegurança, é fundamental que a organização tenha uma disposição para aumentar seu nível de maturidade em SI. Isso quer dizer conhecer bem os seus ativos de TI e seus comportamentos, os processos do negócio e como esses fatores se correlacionam. Só assim será possível identificar com mais precisão os riscos e as vulnerabilidades do ambiente para, então, aderir às melhores práticas e soluções tecnológicas.
Essa jornada pode ser percorrida por conta própria, ou seja, com membros da equipe interna de tecnologia e segurança da informação. Mas, principalmente quando a tecnologia não é o core do negócio, é mais estratégico que a organização conte com o apoio de um parceiro especializado em Serviços Gerenciados. Isso tanto do ponto de vista do custo-benefício quanto da dificuldade para atrair e reter talentos nas áreas de TI e SI.
Porém, seja qual for a sua via, minha recomendação é: corra na direção da automação em cibersegurança. Os cibercriminosos não têm dia e hora para atacar. Mas é fato que eles sabem que os ataques são mais bem sucedidos na calada da noite ou aos finais de semana, quando as equipes estão naturalmente desguarnecidas e a comunicação com o time é mais precária. Você, como líder de negócio ou de TI e SI vai querer mais tranquilidade e alguém em quem posso confiar para te ajudar nessa situação, não é mesmo?
Adriano Galbiati é diretor de Operações da NovaRed
Fonte: convergenciadigital – Automação em cibersegurança: como e por que ela é imprescindível