Na Recorded Future, estamos constantemente procurando maneiras de ajudar as equipes de segurança a trabalhar com mais eficiência, para que possam concentrar seus conhecimentos onde é mais importante: impedir ameaças antes que elas afetem os negócios.
Nos últimos anos, à medida que passávamos algum tempo conversando com nossos clientes e observando a forma como seus SOCs realmente funcionam no dia a dia, descobrimos um padrão preocupante. Todas as segundas-feiras de manhã, os analistas iniciavam uma nova rodada de caça às ameaças, coletando informações manualmente, escrevendo consultas para diferentes ferramentas, correlacionando descobertas e documentando resultados. Na sexta-feira, eles terminariam seus relatórios. Enquanto isso, os invasores que podem ter violado a rede na terça-feira podem já ter se movido lateralmente, estabelecido persistência e potencialmente exfiltrado dados.
A lacuna das operações manuais
Essa abordagem ineficiente para caçar ameaças não era um problema pessoal. Foi um problema de processo.
Identificamos que a caça manual tradicional a ameaças exigia 27 etapas distintas, desde a seleção dos atores da ameaça e a coleta de fontes de inteligência até a validação de anomalias e a elaboração de relatórios para as partes interessadas.
Cada uma das 27 etapas consumiu horas do tempo do analista, e todo o fluxo de trabalho manual criou o que hoje chamamos de lacuna de operações manuais – a perigosa janela entre o momento em que as ameaças surgem e o momento em que as equipes de segurança podem responder.
Em vez de aceitar esta lacuna como uma realidade inevitável, colocámo-nos uma questão: quantas ameaças mais poderiam ser evitadas e como poderíamos melhorar as defesas das organizações em geral, se pudéssemos tornar autónomas as operações manuais de ameaças?
Repensando fluxos de trabalho manuais
A caça a ameaças representou o caso de uso perfeito para operações autônomas. É uma função de segurança crítica altamente repetitiva, que abrange diversas ferramentas, exige atualizações constantes à medida que as ameaças evoluem e deve acontecer continuamente, não apenas durante o horário comercial. Sabíamos que se conseguíssemos trazer funcionalidade autônoma para a caça a ameaças, poderíamos demonstrar um novo modelo para operações de segurança.
A inovação veio da reinvenção de todo o fluxo de trabalho em torno de alguns princípios fundamentais: automação orientada por inteligência, orquestração perfeita entre ferramentas e operações autônomas contínuas. Em vez de os analistas traduzirem manualmente a inteligência em consultas para cada ferramenta de segurança, e se seus sistemas pudessem iniciar automaticamente buscas em SIEM, EDR e outras plataformas simultaneamente? Em vez de os analistas terem que agendar ciclos de busca semanais, e se a caça às ameaças pudesse ocorrer 24 horas por dia, 7 dias por semana, adaptando-se em tempo real à medida que novas informações surgissem?
O resultado desta reimaginação é Operações autônomas de ameaças e a capacidade autônoma de caça a ameaças, uma nova solução que reduz 27 etapas manuais a apenas cinco etapas amplamente automatizadas, proporcionando a velocidade, a escala e a eficácia que o cenário moderno de ameaças exige.
Fechando a lacuna com operações autônomas
A transição de gargalos manuais para operações autônomas não envolve apenas trabalhar mais rápido – trata-se de trabalhar de maneira mais inteligente. As equipes de segurança precisam de fluxos de trabalho que ampliem seus conhecimentos em vez de limitá-los, sistemas que integrem seus investimentos existentes em vez de substituí-los e processos que demonstrem um ROI mensurável para justificar o investimento contínuo.
As organizações que padronizam operações baseadas em inteligência muitas vezes demonstram ganhos mensuráveis no tempo de detecção e no tempo de resposta. Podem colmatar a lacuna entre o surgimento de ameaças e a ação defensiva, transformando a segurança de um centro de custos reativo numa função proativa de redução de riscos.
Quer ver exatamente como as organizações líderes estão fazendo essa transformação? Nosso novo manual detalha as etapas específicas para passar da busca manual de ameaças para operações autônomas, incluindo a metodologia precisa para reduzir processos complexos de vários dias em fluxos de trabalho simplificados que são executados continuamente.
Descubra como eliminar gargalos no fluxo de trabalho, obter cobertura contra ameaças 24 horas por dia, 7 dias por semana e comprovar o ROI de seus investimentos em segurança na era autônoma.
Download: Reduza a caça a ameaças de 27 etapas para 5 etapas simples
