Como os profissionais do SOC podem impedir mais ataques cibernéticos?

Como os profissionais do SOC podem impedir mais ataques cibernéticos? Nove em cada 10 profissionais de segurança de TI acreditam que poderiam ter interrompido os ataques cibernéticos se estivessem melhor armados para responder.

Quase nove em cada 10 profissionais de segurança de TI acreditam que poderiam ter interrompido eventos cibernéticos disruptivos se estivessem mais bem armados para responder, descobriu uma pesquisa recente da Deepwatch , um provedor de segurança de detecção e resposta gerenciada (MDR).

Muitos dos 300 profissionais de segurança do grupo de pesquisa disseram que mais automação e menos ruído de alerta reduziriam os tempos de resposta. Aqui estão algumas das principais conclusões do estudo:

  • 85% dos profissionais de segurança de TI sofreram impactos evitáveis ​​nos negócios resultantes de procedimentos de resposta insuficientes.
  • 97% disseram que alertas mais precisos aumentariam sua confiança na automação de ações de resposta a ameaças.
  • Dos 85% dos profissionais de segurança que relataram impactos evitáveis ​​nos negócios, resposta insuficiente, 63% relataram consequências do acesso bloqueado a seus sistemas, resultando em tempo de inatividade, e 47% relataram um impacto negativo na experiência do cliente.
  • Quase todos (93%) dos profissionais de segurança estão trabalhando para reduzir os tempos de resposta, e ainda mais (99%) acreditam que precisam de mais automação ou querem saber mais sobre como automatizar a resposta a incidentes de segurança em suas organizações.
  • A automação beneficiaria significativamente as organizações carentes de recursos. A pesquisa descobriu que 38% das equipes de segurança para empresas com mais de 1.000 funcionários ainda não têm recursos para cobertura SOC 24 horas por dia, 7 dias por semana; desses, 30% têm cobertura SOC apenas durante o horário comercial e 8% não têm SOC.

Tradicionalmente, os SOCs existiam apenas nas grandes empresas, que são bem dotadas de equipes de segurança sofisticadas. Agora, organizações ainda menores reconhecem a necessidade de monitoramento 24 horas por dia, 7 dias por semana, 365 dias por semana, devido ao cenário de ameaças atual”, disse Wesley Mullins, diretor de tecnologia da Deepwatch. Ninguém pode impedir que 100% das ameaças entrem em seus ambientes, por isso é tão importante ter programas maduros de detecção e resposta para interromper as ameaças antes que elas possam realmente prejudicar os negócios ou interromper as operações. A automatização da resposta e a parceria com um provedor confiável para gerenciar a detecção e a resposta são caminhos para uma contenção mais rápida de ameaças.

XDR para todos

Detecção e resposta para peritos em segurança e administradores de TI, o XDR estende as funcionalidades tradicionais do EDR. O XDR permite que você faça qualquer pergunta sobre o que aconteceu no passado e o que está acontecendo agora em seus terminais. Cace ameaças para detectar adversários ativos ou aproveite as operações de TI para manter a higiene da segurança de TI. Quando um problema é encontrado remotamente, responda com precisão. Ele reduz o número de itens a investigar, economizando tempo.

Desenvolvido para analistas de segurança que trabalham em equipes SOC dedicadas e administradores de TI que focam em segurança e outras responsabilidades de TI, o Sophos XDR capacita as organizações para responder a questões críticas aos negócios com rapidez e a agir remotamente.

O Sophos Intercept X Advanced with XDR é a única solução XDR da indústria que sincroniza a segurança nativa de endpoint, servidor, firewall, e-mail, nuvem e O365. Veja um quadro holístico do ambiente da sua organização com um rico conjunto de dados e uma análise profunda para detecção, investigação e resposta a equipes de SOC dedicadas e administradores de TI.

  • Faça o cruzamento de dados indicadores de comprometimento provenientes de diferentes fontes para identificar, localizar e neutralizar rapidamente a ameaça
  • Use eventos ATP e IPS do firewall para investigar hosts suspeitos e identificar dispositivos não protegidos em todas as suas instalações
  • Entenda os problemas da rede do escritório e determine quais aplicativos estão causando esses problemas
  • Identifique dispositivos não gerenciados, convidados e IoT em todo o seu ambiente organizacional

Extended Detection and Response (XDR) é a detecção e resposta multicamadas, que fornece recursos avançados de detecção de ameaças. O XDR coleta e correlaciona automaticamente dados em várias camadas de segurança, para que as ameaças sejam detectadas mais rapidamente e os analistas de segurança melhorem os tempos de investigação e resposta.

Qual a diferença entre XDR e EDR?

O “X” significa “Extended”, enquanto o “E”, faz referência a “Endpoint”, mas a diferença vai além de uma letra. O EDR coleta e relaciona a atividade em vários endpoints, já o XDR ele amplia a forma de detecção além dos computadores, ele analisa dados em redes, servidores, nuvem e muito mais, trazendo um relatório mais completo de detecções e ameaças do seu ambiente.

O Sophos XDR pode ser utilizado para identificar aplicativos que estão consumindo muitos recursos, de banda ou processamento, também para identificar dispositivos não gerenciados (IoT e Convidados) e causas de lentidão da rede Uma situação em que pode ocorrer é em questão de atividades de auditoria, que pode ser coletados diversos dados de segurança ou tentativa de invasão (Ameaças) e ser destacados os pontos necessários através do relatório gerado.

Com o Sophos XDR você obtém resposta a questões críticas de negócios com rapidez. Administradores de TI e profissionais de segurança cibernética verão o real valor que ele adiciona quando desempenharem tarefas diárias de operações de TI e caça a ameaças. O Sophos XDR interrompe violações antes mesmo que elas comecem. Com isso você tem a melhor proteção e gasta menos tempo investigando incidentes que deveriam ter sido interrompidos automaticamente. Você também terá acesso a inteligência de ameaças detalhada, para ter as informações necessárias e agir de modo rápido e bemfundamentado.

O Intercept X contém a proteção de Endpoint e servidores usando a tecnologia CryptoGuard, onde impede imediatamente a criptografia de arquivos não autorizados em ambiente local e remoto por software malicioso. Logo ele restaura os dados para o seu estado original, tirando o poder do ransomware sobre suas vítimas.

Diminua o tempo de detecção e investigação

Acesse imediatamente as informações que realmente importam utilizando uma biblioteca de modelos personalizados e prontos para uso que abrangem diferentes cenários de caça a ameaças e operações de TI – ou crie o seu próprio modelo. Com acesso a dados do dispositivo em tempo real, até 90 dias de dados em disco, 30 dias de dados armazenados no repositório do Sophos Data Lake na nuvem e uma lista gerada automaticamente de itens suspeitos, você sabe exatamente de onde começar.

Exemplos:

  • Por que minha máquina está lenta? É preciso reinicializá-la?
  • Quais dispositivos apresentam vulnerabilidades conhecidas, serviços desconhecidos ou extensões de navegador não autorizadas?
  • Há programas em execução na máquina que deveriam ser removidos?
  • Veja dispositivos não gerenciados e não protegidos, como notebooks, dispositivos móveis e equipamentos IoT
  • Os processos estão tentando estabelecer uma conexão de rede em portas não padrão?
  • Algum processo teve arquivos ou chaves de registro modificados recentemente?
  • Quais programas estão causando problemas na rede do escritório?
  • Analise grupos de segurança na nuvem para identificar recursos expostos à internet pública

Saiba no que se concentrar

Começando pela proteção, a Sophos economiza um tempo valioso de seus analistas. O Machine Learning e a inteligência de ameaças fornecem uma pontuação de risco priorizada por IA para cada detecção, por isso é fácil identificar itens que precisam de atenção imediata e resolvê-los rapidamente. As detecções são classificadas em uma escala de 0 a 10 e incluem informações cruciais, como tempo e descrição da detecção, nome do processo e hash. Com poucos cliques, você pode adicionar detecções a uma investigação, isolar um dispositivo ou alternar para obter informações adicionais no Sophos Data Lake.

Enriqueça os dados consultando um hash no VirusTotal, a reputação de um endereço IP no SANS, ou criando seus próprios enriquecimentos com qualquer serviço Web. A colaboração é direta, com vários analistas capazes de atribuir informações e detecções à mesma investigação, oferecendo o contexto completo de um incidente.

Acelere sua resposta a incidentes

Quando você tem a informação de que precisa, fica fácil responder com rapidez, mesmo que o dispositivo em questão não esteja fisicamente presente. Utilizando o mesmo painel de gerenciamento na nuvem, você é capaz de acessar dispositivos remotamente e fazer investigações aprofundadas, instalar e desinstalar softwares ou corrigir outros problemas.

Com uma ferramenta de linha de comando, você pode:

  • Encerre processos ativos
  • Execute scripts ou programas
  • Editar arquivos de configuração
  • Instalar/desinstalar software
  • Reinicie dispositivos
  • Executar ferramentas de análise forense de terceiros

 Dados mais abrangentes levam a uma detecção mais precisa

O Sophos XDR é alimentado por dados. Com ele, você tem cobertura total para fazer uma macroavaliação da sua organização ou obter o detalhamento granular de uma área de especial interesse.

Escopo de dados

O Sophos XDR usa dados de histórico e em tempo real para que você receba rapidamente informações críticas apenas sobre os dispositivos dos quais precisa, mesmo que estejam offline no momento. Por exemplo, em uma investigação ativa, você tem acesso aos dados de seus endpoints em tempo real e pode ver o que está acontecendo em tempo real. Depois, usando dados da nuvem armazenados no Sophos Data Lake, você pode fazer a referência cruzada com informações da rede para obter uma visão mais ampla de um incidente ou saber o que aconteceu com os dispositivos que foram postos offline no ataque. Você vê, como padrão, dados em tempo real, até 90 dias de dados em disco e 30 dias de dados armazenados na nuvem.

Fontes de dados

O Sophos XDR é a única plataforma que combina integrações nativas a endpoint, servidor, firewall, nuvem, e-mail, dispositivos móveis e Microsoft Office 365. Pronto para ser integrado diretamente, a sua organização terá uma incrível amplitude de visibilidade e proteção, tudo controlado a partir de um único painel de gerenciamento.

Desenvolvido sobre a mais poderosa proteção do mundo

Foque suas investigações interrompendo mais violações antes que ocorram

A maioria das ferramentas XDR faz os usuários desperdiçarem tempo em incidentes que deveriam ter sido bloqueados automaticamente. A Sophos combina o XDR com a melhor proteção do setor para endpoints e servidores. Juntos, eles bloqueiam a grande maioria das ameaças antes que exijam uma investigação manual. Isso se reflete em uma carga de trabalho mais leve e menos ruído, de modo que você possa se concentrar nas áreas de maior importância.

Suporte multiplataforma para diferentes sistemas operacionais

O Sophos XDR oferece as ferramentas de que você precisa para caçar ameaças avançadas e manter a higiene de operações de segurança da TI. Inspecione seus endpoints, servidores e outros recursos, tanto no local como na nuvem, em suas implantações Windows, macOS, Linux, Amazon Web Services, Microsoft Azure, Google Cloud Platform e Oracle Cloud Infrastructure.

Fonte: MSSP Alert & Sophos

 

Veja também:

Sobre mindsecblog 1781 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Como os profissionais do SOC podem impedir mais ataques cibernéticos? – Neotel Segurança Digital

Deixe sua opinião!