50% dos ataques de cibersegurança são de reincidentes

29

A falta de consciência e as lacunas no conhecimento são um elo fraco para a liderança de cibersegurança que são responsáveis pelo planejamento estratégico das defesas de segurança cibernética, deixando as organizações expostas a riscos, revela uma pesquisa da Ponemon.

Com 2021 já reivindicando vítimas de alto perfil, como Colonial Pipeline e JBS, juntamente com o primeiro banco do mundo anunciando um orçamento de US$ 1 bilhão em segurança cibernética, é urgente que os CISOs repensem sua estratégia e procurem formas alternativas de capacitar suas equipes.

A pesquisa questionou quase 1800 líderes e profissionais de cibersegurança sobre suas opiniões especificamente sobre a caça de ameaças externas e as pessoas envolvidas nesta técnica emergente e cada vez mais necessária que as organizações técnicas estão adotando para construir suas capacidades defensivas.

Grave interrupção nos negócios causada por reincidentes

Nas novas descobertas, metade dos ataques às organizações que causaram graves interrupções nos negócios foram de reincidentes – e 61% dessas vítimas disseram não conseguir remediar esses compromissos, deixando em risco sistemas críticos e dados. A pesquisa revela que as organizações reconhecem que estão sofrendo, não apenas por ataques cibernéticos disruptivos, mas por reincidentes, e para muitas organizações de vítimas, a remediação completa não foi possível.

Apenas 35% dos entrevistados disseram estar aproveitando efetivamente seus analistas de segurança, indicando falta de maturidade em relação à caça de ameaças. A caça a ameaças, particularmente a caça de ameaças externas, capacitou organizações de segurança mais sofisticadas a identificar e bloquear ataques iminentes, aumentar a detecção de ameaças e alcançar uma remediação abrangente. No entanto, a maioria dos entrevistados indica que suas organizações não estão alocando recursos suficientes para realizar todo o potencial de suas equipes de analistas e caça a ameaças.

Os resultados da pesquisa indicam que o orçamento médio de 2021 para as organizações dos entrevistados para operações de TI é de US$ 117 milhões. Uma média de 19% disso é atribuída à segurança de TI e, em média, 22% é destinada a atividades de analistas e inteligência de ameaças.

“A liderança de TI e segurança cibernética muitas vezes depende fortemente do aprendizado de máquina e da automação como uma maneira de alcançar a eficiência, vendo a caça de ameaças como uma função tática e reacionária”, comentou David Monnier, Team Cymru Fellow.

Publicações Relacionadas

“No entanto, pela nossa experiência, as organizações que conseguem se antecipar às ameaças, tanto internamente quanto em seus ecossistemas de terceiros, dedicaram uma proporção significativa do orçamento para tornar a caça de ameaças externas uma prioridade estratégica.”

Josh Picolet, Chefe da Equipe de Análise de Inteligência da Equipe Cymru acrescenta: “Ao construir um programa de segurança eficaz, sempre recomendo que os CISOs equilibrem análises automatizadas com análises humanas e dê aos seus analistas a inteligência necessária para realizar o mapeamento da infraestrutura adversária e da cadeia de suprimentos. O uso da telemetria interna com telemetria de tráfego de internet resulta em resultados de defesa de rede mais duradouros.”

Opiniões sobre caça a ameaças

Os entrevistados tinham opiniões variadas sobre o que era a caça à ameaça ou como ela era alavancada. Apenas 24% definiram a caça de ameaças como olhar para fora de suas fronteiras corporativas para monitorar adversários e identificar ataques iminentes. A maioria via a caça de ameaças como um método reativo de detecção interna de ameaças, procurando atividades maliciosas que já tomaram conta.

Dado que 70% dos entrevistados disseram ter um alto grau de dificuldade em obter uma perspectiva de um invasor sobre suas organizações, o fato de tantas organizações adotarem uma abordagem interna de caça a ameaças faz sentido.

Sessenta e dois por cento das organizações estão aumentando o investimento em analistas e inteligência de ameaças “para melhorar a prevenção e a detecção”. No entanto, as respostas indicam que eles estão fazendo isso com uma percepção muito tática e reacionária do que uma equipe de analistas deve ser.

Os três principais tipos de dados de inteligência que os entrevistados disseram ter eram dados da dark web (47%), dados de registro de domínio (42%) e telemetria de ponto final (42%). Sessenta e um por cento reconheceram que a inteligência de ameaças não poderia acompanhar as mudanças na forma como os atores de ameaças atacam suas organizações.

Além disso, apesar do conhecimento de que as fontes tradicionais de inteligência de ameaças fornecem informações obsoletas, apenas 31% dos entrevistados disseram que a telemetria bruta de tráfego da Internet é importante em sua capacidade de planejar medidas preventivas, detectar ameaças e resolver incidentes de segurança.

Isso sugere a possibilidade de que a maioria das organizações esteja construindo suas equipes de analistas e capacidades de inteligência com o objetivo de perseguir mais alertas e realizar investigações pós-incidente, em vez de alcançar uma postura de segurança proativa.

“Se essa estatística é uma representação precisa, é decepcionante”, afirmou Monnier. “À medida que as organizações constroem suas equipes de analistas e capacidades de inteligência, elas verão um retorno muito maior sobre o investimento se derem a esse grupo a visibilidade que precisa para rastrear, mapear e monitorar a infraestrutura adversária e suas interações com ativos corporativos ou de terceiros.”

você pode gostar também