Apesar do aumento de violações e incidentes de segurança nas manchetes de hoje, muitas equipes de resposta a incidentes têm falta de pessoal ou lutam para encontrar o conjunto de habilidades certo para realizar o trabalho.
Como tal, muitas equipes de resposta a incidentes corporativos procuram ativamente oportunidades para automatizar processos que levam muito tempo para analistas altamente qualificados.
Esses processos geralmente exigem muita repetição e fornecem pouco valor nas investigações. As atividades comuns que muitas equipes consideram automatizar incluem:
- Identificar e correlacionar alertas:
Muitos analistas gastam quantidades excessivas de tempo passando por alertas e alarmes repetitivos de muitas fontes de log e eventos e, em seguida, gastam tempo reunindo estratégias de correlação para eventos semelhantes.
Embora isso seja valioso para as fases posteriores das investigações, também pode ser altamente repetitivo e pode ser automatizado até certo ponto. - Identificar e suprimir falsos positivos:
Pode ser um trabalho tedioso em um dia bom e esmagador em um dia ruim. A identificação de falsos positivos pode ser simplificada ou automatizada usando ferramentas modernas de gerenciamento de eventos e automação de respostas a incidentes. - Investigação inicial e caça de ameaças:
Os analistas precisam encontrar rapidamente evidências de um sistema comprometido ou atividade incomum, e geralmente precisam fazê-lo em escala. - Abertura e atualização de tickets / casos de incidentes:
Devido à integração aprimorada com os sistemas de chamados, as ferramentas de gerenciamento e monitoramento de eventos usadas pelas equipes de resposta podem gerar tickets para os membros certos e atualizá-los conforme as evidências chegarem. - Produzir relatórios e métricas.
Depois que as evidências são coletadas e os casos estão em andamento ou resolvidos, a geração de relatórios e métricas pode levar muito tempo para os analistas.
Casos de uso de automação de resposta a incidentes
A automação da resposta a incidentes pode permitir que as empresas respondam rapidamente e atenuem as ameaças à segurança. Considere implementar um ou mais dos seguintes casos de uso para melhorar a resposta a incidentes:
- Pesquisas DNS automatizadas de nomes de domínio nunca vistas antes e direcionadas por logs de proxy e DNS.
- Pesquisas automatizadas por indicadores de comprometimento detectados.
- Imagem forense automatizada de disco e memória de um sistema suspeito, acionado por alertas disparados em plataformas e ferramentas antimalware baseadas em rede e em host.
- Controles de acesso à rede que bloqueiam automaticamente os canais de comando e controle de saída de um sistema suspeito.
A automação da resposta a incidentes também pode ajudar na coleta de evidências forenses, na caça de ameaças e até em atividades automatizadas de quarentena ou remediação em sistemas suspeitos.
Decidir quais gatilhos implementar e quais ações executar é o aspecto mais demorado da criação de uma estrutura de resposta automatizada ou semi automática.
Você se concentra nas ações do usuário?
Eventos específicos gerados por instâncias ou objetos de armazenamento?
Eventos de falha?
Passar um tempo aprendendo sobre os comportamentos do ambiente e trabalhando para entender melhor os padrões normais de uso pode ter um grande valor operacional.
Nenhuma dessas ferramentas ou métodos substituirá analistas de segurança qualificados e conhecedores que entendem o ambiente e como reagir adequadamente durante um cenário de incidente. No entanto, a menos que os profissionais de segurança comecem a detectar e responder mais rapidamente, será impossível ficar à frente dos invasores de hoje e de amanhã.
A Conversys pode ajudar sua empresa a reduzir os riscos e impactos dessa crise global. Entre em contato agora mesmo com os nossos especialistas e conheça as soluções de segurança, gerenciamento de redes e conectividade da Aruba Networks. Estamos à disposição para ajudar a vencer esse desafio.
Sobre a Conversys
A Conversys IT Solutions é uma provedora de serviços e soluções de Tecnologia da Informação e Comunicação com atuação em todo o Brasil.
Com uma equipe técnica e comercial altamente qualificada e uma rede de parceiros que incluem os principais fabricantes globais de tecnologia, a Conversys IT Solutions está apta a entregar aos clientes soluções customizadas de Infraestrutura de TI e Telecom.
Investimos em nossos colaboradores e parceiros e primamos por uma relação duradoura com os nossos clientes, pois acreditamos que desta forma conquistamos competências e conhecimentos necessários para inovar e gerar valor aos negócios em que atuamos.
Sobre a Aruba
A ARUBA, uma companhia da Hewlett Parkard Enterprise, está redefinindo a rede inteligente, com soluções de mobilidade e IoT para as organizações de todos os portes globalmente.
Oferecendo soluções de TI que capacitam as organizações a atender à Geração Móvel – usuários habilidosos em mobilidade que dependem de aplicativos baseados na nuvem para todos os aspectos de seu trabalho e vidas pessoais – e para dominar o poder dos insights, para transformar os processos de negócios.
Com os serviços de infraestrutura oferecidos como software da nuvem privada ou pública, a Aruba oferece conectividade segura para mobilidade e IoT permitindo que os profissionais de TI criem redes que acompanham no ritmo das mudanças.
