Produtos e serviços PRODUTOS E SERVIÇOS

Defensores x Adversários: a corrida de cibersegurança em duas velocidades em 2023

Retardados por vários ventos contrários, os defensores estão ficando para trás enquanto os adversários continuam a acelerar. As organizações precisam acelerar o volante de defesa para que possam avançar.
Escrito por
April 4, 2023
Products & Services

Um novo estudo de pesquisa da Sophos com 3.000 líderes de segurança cibernética/TI em 14 países revela que a realidade de hoje é um sistema de segurança cibernética de duas velocidades com adversários e defensores movendo-se em velocidades diferentes. Ele também fornece informações valiosas sobre como as organizações podem se antecipar aos invasores em 2023. Baixe o relatório completo aqui.

Os adversários estão acelerando

Conforme relatado no Relatório de Ameaças Sophos 2023, uma das mudanças mais significativas no cenário de ameaças no ano passado foi a transformação da economia cibercriminosa em uma indústria em si, com uma rede de serviços de suporte e abordagens profissionalizadas e bem estabelecidas às operações.

Assim como as empresas de tecnologia mudaram para ofertas “como serviço”, o mesmo aconteceu com o ecossistema do cibercrime, diminuindo as barreiras de entrada para possíveis criminosos cibernéticos. Juntamente com o crescimento do uso de tecnologias de automação e adaptação constante, o modelo “as-a-service” permitiu que os agentes de ameaças acelerassem o volume, a velocidade e o impacto de seus ataques.

O resultado é que os adversários agora podem executar uma ampla gama de ataques sofisticados em escala. 94% das organizações sofreram algum tipo de ataque cibernético no ano passado e, embora o ransomware tenha sido o ataque mais amplamente relatado, as organizações enfrentaram muitas outras ameaças.

Um dos maiores riscos cibernéticos para as organizações atualmente são os adversários ativos, agentes de ameaças que adaptam suas técnicas, táticas e procedimentos (TTPs) em tempo real, usando ações práticas em tempo real no teclado em resposta a ações de tecnologias de segurança e defensores, e como uma tática para evitar a detecção. Esses ataques, que geralmente resultam em incidentes devastadores de ransomware e violação de dados, estão entre os mais difíceis de interromper.

23% dos entrevistados relataram que sua organização sofreu um ataque envolvendo um ataque adversário ativo no ano passado. A taxa de ataque foi consistente independentemente do tamanho da organização, variando apenas dois pontos percentuais em todas as divisões de segmento de tamanho da organização.

Curiosamente, para organizações com menos de US$ 10 milhões em receita anual, a taxa de ataques de adversários ativos relatados caiu para apenas 11%, o que pode indicar que os invasores estão se concentrando deliberadamente em alvos com bolsos mais profundos. Detectar adversários ativos requer um alto nível de habilidade e é provável que a taxa real de incidentes seja ainda maior.

Refletindo a potencial devastação desses ataques, 30% dos entrevistados relataram que os adversários ativos são uma de suas principais preocupações com ameaças cibernéticas para 2023.

Defensores são incapazes de acompanhar

Retardados pela falta de experiência, um volume avassalador de alertas e muito tempo gasto na resposta a incidentes, os defensores estão cansados ​​e ficando para trás.

93% das organizações consideram a execução de tarefas essenciais de operações de segurança “desafiadoras”, incluindo identificar sinais de ruído, obter o contexto em torno deles e corrigir alertas em tempo hábil.

Refletindo essas dificuldades, o tempo médio para detectar, investigar e responder a um alerta de segurança é de nove horas para organizações com 100 a 3.000 funcionários, subindo para 15 horas para organizações com 3.001 a 5.000 funcionários, provavelmente refletindo a maior complexidade de seus ambientes operacionais. Embora a maioria dos alertas não exija o processo completo de três etapas, está claro que a sobrecarga humana da resposta à ameaça é considerável.

Operacionalmente, os defensores carecem de confiança em seus processos, com a configuração incorreta da ferramenta de segurança identificada como o principal risco de segurança percebido em 2023, seguido por ameaças de dia zero e falta de habilidades/experiência interna em segurança cibernética.

Como resultado desses ventos contrários, mais da metade (52%) dos profissionais de segurança cibernética/TI dizem que as ameaças cibernéticas agora são muito avançadas para suas organizações lidarem sozinhas, aumentando para 64% entre as pequenas empresas (100-250 funcionários).

O sistema de duas velocidades tem grandes consequências para os negócios

As repercussões financeiras diretas de um incidente cibernético são enormes e já bem conhecidas, com o custo médio para uma organização de pequeno ou médio porte para remediar um ataque de ransomware chegando a US$ 1,4 milhão. Esses custos de limpeza de incidentes são, no entanto, apenas parte da história.

O tempo e o esforço necessários para lidar com a segurança cibernética resultam em capacidade reduzida para a entrega de programas de TI, com 55% dos entrevistados relatando que lidar com ameaças cibernéticas afetou negativamente o trabalho da equipe de TI em outros projetos. Além disso, a natureza urgente e imprevisível da segurança cibernética também atrapalha os esforços focados nos negócios: 64% gostariam que a equipe de TI pudesse dedicar mais tempo a questões estratégicas e menos tempo a combater incêndios.

O longo tempo gasto na detecção, investigação e correção de alertas de segurança também tem um impacto financeiro. Com o salário médio do especialista em segurança de TI nos Estados Unidos atualmente a menos de US$ 100.000 por ano [www.indeed.com], o custo de recursos para cada investigação de alerta de segurança é considerável.

A situação também cria um fardo pesado para os funcionários. 57% dos profissionais de TI dizem que a preocupação com o fato de a organização ser atingida por um ataque cibernético às vezes os mantém acordados à noite. A propensão das preocupações com segurança cibernética para impedir que as pessoas durmam aumenta constantemente à medida que a receita da organização cresce, começando em 43% em organizações com receita anual inferior a US$ 10 milhões e subindo para 67% em organizações que faturam mais de US$ 5 bilhões

Burn out é um grande problema em segurança cibernética. Muitos alertas e ter muito o que fazer colocam um estresse considerável nos funcionários. Equipes sobrecarregadas têm maior probabilidade de perder sinais importantes, aumentando ainda mais a pressão. Em última análise, as pessoas acabarão quebrando.

Acelere o Volante do Defender

Permitir que os defensores ultrapassem os invasores na corrida de segurança cibernética de 2023 requer uma abordagem abrangente, mas direta.

Em primeiro lugar, as organizações precisam configurar um processo de resposta a incidentes que possa ser dimensionado, minimizando a superfície de ataque e o volume de alertas que exigem atenção e otimizando o tempo de resposta, aproveitando os serviços especializados.

Em seguida, eles precisam implementar defesas adaptativas que se ajustam automaticamente à situação. Isso permite que eles desacelerem os adversários e ganhem tempo para os defensores responderem.

Por fim, eles também precisam estabelecer um ciclo virtuoso que combine tecnologia e experiência humana para turbinar as defesas, permitindo aumento de velocidade, eficácia e impacto. Juntos, eles aceleram o volante de defesa, permitindo-lhes avançar.

Escudos Fortes São Essenciais

A qualidade de suas tecnologias de segurança cibernética é fundamental e os controles de segurança devem:

  • Otimize a prevenção, detectando e interrompendo automaticamente o maior número possível de ameaças no início da cadeia de ataque. Ao fazer isso, você reduz o risco para a organização enquanto libera os defensores para se concentrarem em menos incidentes.
  • Reduza a exposição facilitando a garantia de que os investimentos em segurança sejam implantados de maneira correta e otimizada e evite problemas de configuração incorreta.
  • Perturbe os adversários. As tecnologias que detectam e interrompem automaticamente a atividade adversária frustram os invasores enquanto ganham tempo para os defensores neutralizarem o incidente.

Aborde a causa raiz com pessoas e tecnologia

Juntamente com escudos fortes, a correção da causa raiz oportuna, bem informada e bem executada também é essencial. Os defensores devem usar o tempo valioso que seus escudos compram para investigar e responder a ataques.

Como a pesquisa mostrou, os adversários não seguem um único caminho. Aproveitando a telemetria de todo o ambiente de segurança, usando os controles de segurança que as organizações já possuem, os defensores podem ver e responder às ameaças mais rapidamente, aumentando o retorno dos investimentos existentes.

Encontrar atividade maliciosa entre os alertas benignos geralmente é semelhante a procurar a agulha no palheiro (ou mesmo a agulha na pilha de agulhas). Processar os sinais por meio de uma plataforma Extended Detection and Response (XDR) que adiciona insights contextuais e correlaciona alertas relacionados permite que os defensores internos se concentrem rapidamente no que é importante.

A investigação e a resposta podem ser realizadas por meio de uma plataforma XDR pela equipe interna. Alternativamente, as organizações podem terceirizar o trabalho de detecção, investigação e resposta para um serviço especializado de Detecção e Resposta Gerenciada (MDR).

Acelerando o Volante do Defender
Uma vez que um volante começa a girar em alta velocidade, ele quer continuar girando. Quanto mais força por trás de um volante, mais rápido ele vai. As organizações podem acelerar seu volante de segurança cibernética combinando tecnologias de segurança e experiência humana. Controles de segurança robustos reduzem o volume de alertas com os quais os defensores precisam lidar, permitindo que eles se concentrem em neutralizar ataques e elevar sua postura de segurança. Por sua vez, isso aumenta a eficácia de seus controles de segurança, criando um círculo virtuoso.

Organizações planejam adotar recursos de detecção e resposta

A pesquisa revelou que a maioria das organizações planeja adicionar soluções de detecção e resposta a ameaças à sua pilha de segurança nos próximos 12 meses.

Mais de três quartos (78%) planejam adicionar ferramentas de Detecção e Resposta de Endpoint (EDR) e/ou Detecção e Resposta Estendida (XDR) no próximo ano, enquanto 44% planejam contratar serviços de Detecção e Resposta Gerenciada (MDR). Com a escassez de habilidades/experiência interna em segurança cibernética listada como um dos três principais riscos cibernéticos percebidos para 2023, as organizações devem procurar suporte de especialistas terceirizados.

Para um mergulho mais profundo nos resultados da pesquisa, baixe o relatório completo aqui.

A Sophos pode ajudar

A Sophos fornece os serviços e tecnologias que permitem que as organizações acelerem o volante de defesa e se movam à frente dos adversários.

Nossas soluções de endpoint/EDR, firewall, e-mail, rede e nuvem fornecem os escudos mais fortes, retardando os invasores e dando aos defensores o tempo e os insights de que precisam para responder:

  • Otimize a prevenção: a Sophos bloqueia 99,98% das ameaças automaticamente, minimizando o risco e permitindo que os defensores se concentrem em menos incidentes que exijam intervenção humana
  • Reduza a exposição: as configurações ideais de proteção são implementadas automaticamente desde o primeiro dia, eliminando falhas de segurança. As verificações de integridade da conta integradas destacam problemas de software e configuração ausentes que podem levar a infecções evitáveis
  • Perturbe os adversários. A Proteção adaptativa contra invasores ativa imediatamente defesas intensificadas quando uma intrusão “manual no teclado” é detectada, frustrando os invasores e ganhando tempo para os defensores responderem

Quanto mais os defensores veem, mais rápido eles podem agir. Usamos detecções de todo o ambiente de segurança, integrando a telemetria da Sophos e de controles de segurança de terceiros para acelerar a detecção e a resposta e aumentar o retorno dos investimentos existentes em segurança.

O serviço Sophos MDR reúne mais de 500 especialistas para caçar, investigar e responder a adversários ativos e outros ataques em seu nome 24/7/365. Com um tempo médio de resposta a ameaças de apenas 38 minutos, o Sophos MDR é consideravelmente mais rápido do que a média da equipe interna relatada na pesquisa.

Alternativamente, as organizações podem usar a plataforma Sophos XDR que inclui funcionalidade EDR completa para investigar e responder a ataques diretamente ou trabalhar em colaboração com a equipe Sophos MDR.

Para obter mais informações, visite www.sophos.com ou fale com um consultor de segurança.

Sobre o autor

Raja Patel is Chief Product Officer at Sophos. With a passion for developing world class products and teams, and broad leadership experience, Raja drives Sophos’ innovative product strategy and roadmap to deliver better security outcomes for customers around the globe. Prior to Sophos Raja held senior leadership positions at Akamai, McAfee, Intel and Cisco.

Leia artigos similares

Deixe uma resposta

Your email address will not be published. Required fields are marked *