soc security operations center ibm

Alerta causa fadiga e queda de produtividade de equipes no SOC

Principal causa da fadiga, dizem os profissionais de segurança, está na quantidade de falsos positivos e carência de ferramentas automatizadas
Da Redação
16/02/2021

O estado de alerta constante está levando os analistas de segurança a um outro estado: o de fadiga generalizada, resultando em alertas ignorados, aumento do estresse e medo de deixar escapar alertas que resultam em incidentes. A constatação está no estudo “The Voice of the Analysts: Improving Security Operations Center Processes Through Adapted Technologies”, desenvolvido pela IDC para a FireEye e publicado hoje. A pesquisa foi feita com 300 analistas e gestores de segurança feita com recursos próprios e com serviços gerenciados, e concluiu que os profissionais estão se tornando menos produtivos devido à fadiga de alerta.

Veja isso
Baixo investimento ajudou sucesso de ataques no Brasil, mostra pesquisa
Excesso de alertas e sobrecarga são causas de estresse em profissionais

Os analistas de segurança continuam a sentir a pressão do aumento dos alertas, gastando quase metade do tempo em falsos positivos:

  • Falsos positivos criam “fadiga de alerta”: os entrevistados indicaram que 45% dos alertas são falsos positivos, tornando o trabalho interno dos analistas menos eficiente e retardando o fluxo de trabalho. Para gerenciar a sobrecarga de alerta no SOC, 35% da equipe admite que ignora alertas
  • Os MSSPs gastam ainda mais tempo examinando falsos positivos e ignoram mais alertas: os analistas de MSSP indicaram que 53% dos alertas que recebem são falsos positivos. Ao mesmo tempo, 44% dos analistas de provedores de serviços gerenciados disseram ignorar os alertas quando a fila fica muito cheia, o que pode levar a uma violação envolvendo vários clientes

O medo de perder incidentes (fear of missing incidents ou FOMI) está afetando a maioria dos analistas e gerentes de segurança:

  • À medida em que os analistas enfrentam mais desafios para gerenciar alertas manualmente, sua preocupação em perder um incidente também aumenta: 75% dos analistas estão preocupados com a perda de incidentes; 25% se preocupam “muito” com a perda de incidentes
  • Esse medo afeta os gerentes de segurança ainda mais do que seus analistas: mais de 6% relataram ter perdido o sono devido ao medo de incidentes perdidos

Os analistas pedem soluções de SOC automatizadas para resolver o FOMI

  • Menos da metade das equipes de segurança corporativa está usando ferramentas para automatizar atividades no SOC: apenas 43% usam inteligência artificial e tecnologias de aprendizado de máquina; 46% usam Automação de Orquestração de Segurança e Resposta (SOAR), 45% usam SIEM (software de gerenciamento de informações e eventos de segurança), 45% fazem threat hunting e outras funções de segurança. Além disso, apenas 40% dos analistas usam inteligência artificial e tecnologias de aprendizado de máquina associadas a outras ferramentas.
  • Para gerenciar SOCs, as equipes de segurança precisam de soluções automatizadas avançadas para reduzir a fadiga do alerta e melhorar o sucesso, concentrando-se em tarefas mais habilidosas como caça a ameaças e investigações cibernéticas: ao classificar as atividades mais adequadas para automação, a detecção de ameaças foi a mais alta (18 por cento) na lista de desejos dos analistas, seguido de inteligência de ameaças (13 por cento) e triagem de incidentes (9 por cento).

Com agências internacionais

Compartilhar:

Últimas Notícias