Para lidar com a sofisticação e agilidade das ameaças atuais.
Investimentos em Security Operational Centers (SOCs) precisam concentrar-se em tecnologias modernas, como MDR, ambientes convergentes e orientados por APIs, OT e nuvem, bem como no treinamento e conscientização das pessoas, para fortalecer a cibersegurança e gerar insights para continuidade dos negócios.
Esta é a percepção de Eduardo Lopes, CEO da Redbelt Security, consultoria especializada em cibersegurança, que foi compartilhada recentemente durante o Mind The SEC, evento que reuniu a nata dos gestores e fornecedores de soluções de cibersegurança brasileiros na capital paulista.—“Na minha opinião, as empresas precisam executar muito bem o básico, ter cada vez mais inteligência e rapidez na resposta, para serem mais eficientes e rápidas no combate aos ataques atuais. Isto é possível com tecnologias de ponta, como MDR, ambientes convergentes e orientado por APIS, OT e nuvem, além de constante treinamento e conscientização das pessoas— afirmou o executivo.
Segundo dados da Esentire, os custos dos danos causados por cibercrimes devem crescer em USD 7,5 trilhões até 2025, ao passo que a Future Market Insights acredita que os investimentos em SOC devem chegar a US$ 10,5 bilhões até 2032. Uma clara disparidade, que exige planejamento estratégico das empresas na hora de investir no aperfeiçoamento de suas infraestruturas de defesa.
Por outro lado, investimentos altos sem considerar o contexto e a jornada de maturidade em cibersegurança da empresa também podem ser pouco eficientes. —Muitas empresas, ao pensarem em cibersegurança, investem primeiro em soluções caras que não necessariamente irão elevar o nível de maturidade de segurança do negócio, como, por exemplo, Cloud Access Security Broker (CASB) ou criptografia de dados, antes mesmo de ter um sistema efetivo de backup e recuperação de dados— exemplifica Lopes.
A mesma lógica se aplica para tecnologias muito comentadas ou consideradas tendência. Ainda que inovadoras, não representam garantia de resultado para todos os tipos de negócio. Caso de gestores que seguem o hype e acabam investindo em soluções de External Attack Surface Management (EASM) ou de Breach and Attack Simulation (BAS), antes mesmo de estruturarem internamente uma ferramenta avançada contra ameaças, como um EDR ou um XDR. —Todas as soluções são boas, desde que adotadas no momento certo— pontua Lopes.
Ações de conscientização, políticas e processos efetivos, assessment e gestão dos ativos existentes no ambiente, gestão básica de identidade de acesso (MFA e Single Sign-on) e um profissional com foco em segurança, custam menos recursos da empresa e são mais efetivos que a inserção isolada de vários produtos de ponta. —Sabemos que hoje, 90% dos ataques cibernéticos poderiam ser frustrados por higiene básica de segurança. As pessoas ainda subestimam o poder do básico bem-feito— segundo Lopes.
Uma das explicações para investimentos feitos de forma precipitada é a falta de visibilidade do ambiente e dos riscos, cenário comum em muitas empresas. Nesse contexto, um SOC representa uma das soluções mais contratadas para resolver o problema.
—Os serviços do SOC são um conjunto de pessoas, processos e tecnologias. Esses pilares precisam estar muito bem alinhados. Se a empresa utilizar apenas um desses pilares, que é o de tecnologias, estará gerando mais alertas, porém menos informação sobre a superfície de ameaças. Em outras palavras, continuará cega sobre o que precisa de fato ver —diz o CEO da Redbelt. Da mesma maneira, de acordo com ele, que utilizar somente pessoas inviabiliza o trabalho de tratar os milhares de eventos que acontecem no ambiente a cada hora. Processos também não são suficientes, já que eles dependem de pessoas e de ferramentas para serem medidos e aprimorados. —E mesmo cibersegurança sendo algo tão dinâmico, ainda vemos muitas empresas ofertarem a ‘bala de prata’, que sabemos não existir em nosso segmento— lembra o CEO.
Eduardo Lopes acredita que um SOC hoje, para atender às necessidades de empresas, deve ser formado por profissionais capacitados, e ferramentas consolidadas no mercado integradas com feeds de Threat Intel, capaz de fazer correlação de dados e análises comportamentais. —A ideia não é ‘quero monitorar tudo’. Mas, sim, levantar a fundo todos os ativos do ambiente, quais são as ‘joias da coroa’, aplicar pesos de riscos para esses ativos, e não focar no monitoramento de dados considerados apenas ‘informativos’, mas no risco da continuidade do negócio. Esse sim é o melhor meio para o sucesso—afirma ele.
A evolução disso, na visão do CEO da Redbelt Security, seria a gestão das vulnerabilidades. Na prática, gestores e responsáveis pelo ambiente digital da empresa identificando fragilidades do ambiente e portas de entrada para possíveis invasores. —Pessoas às vezes acreditam que porque estão com MFA ativo e 100% utilizado, estão protegidas. Mas, alguém está monitorando quantos usuários erraram o MFA de forma repetitiva nas últimas horas? Isso pode ser sinal de um ataque —comenta Lopes. O terceiro nível de maturidade seria o treinamento e a conscientização dos colaboradores. Eles são o elo mais forte da corrente, se estiverem atentos aos riscos — explicou o CEO da Redbelt Security.
De acordo com Lopes, outra prioridade para garantir um SOC altamente eficiente é investir em tecnologias de Managed Detection and Response (MDR), associada com Securtiy Orchestration, Automation and Response (SOAR), pois estas duas soluções ajudam a operação e redução no tempo de resposta a possíveis incidentes. Estimativas do mercado apontam que devem ser investidos USD 6,2 bilhões em MDR até 2028 e cerca de USD 2,5 bilhões em SOAR até 2032, mas o CEO da Redbelt acredita que deveriam ser maiores, pois são soluções essenciais.
Em poucos minutos, com o uso destas tecnologias é possível responder a um incidente, o que compensa o valor do investimento nestas soluções, que alguns anos atrás eram consideradas caras, mas não são em função dos benefícios oferecidos para proteção cibernética das companhias. —O retorno de investimento (ROI) pode ser considerado realmente interessante se avaliarmos que em uma estrutura tradicional de SOC, com consultores nível 1 e Nível 2, processos bem elaborados e playbooks o tempo gasto pode chegar a ser de mais de uma hora, período no qual os danos causados por um criminoso aos ativos, às finanças e a reputação da empresa podem ser incalculáveis— alertou Lopes.