Empresas não se sentem capazes de detectar ameaças cibernéticas com agilidade, diz RSA

CyberwarFirewallGestãoSegurança

Esse é um dos resultados da pesquisa global realizada pela RSA, divisão de segurança da EMC. O estudo realizado on-line, entre janeiro e fevereiro de 2016, abordou mais de 160 organizações para saber sobre a detecção de ameaçadas.

O levantamento pôde identificar qual tecnologia é usada pelas empresas, quais dados elas coletam para apoiar esse esforço e qual a satisfação com os conjuntos de ferramentas atuais.

Como as companhias pretendem aprimorar suas estratégias no futuro também fez parte da análise. O principal resultado da pesquisa, de acordo com a RSA, é que as empresas ainda contam com uma base fragmentada de dados, e que a tecnologia de detecção e investigação não é capaz de atingir os resultados esperados por seus programas de monitoramento e segurança.

Os participantes expressaram insatisfação com seus atuais recursos de detecção e investigação. Quase 80% das organizações consultadas afirmaram não estar satisfeitos com sua capacidade para detectar e investigar ameaças. A velocidade nessa área é amplamente reconhecida como um fator crítico para minimizar perdas e danos e de ataques cibernéticos.

“As organizações não estão coletando os dados corretos, não estão integrando os dados coletados e estão se concentrando em tecnologias de prevenção antiquadas. A realidade atual demanda que elas completem lacunas de visibilidade, tenham uma abordagem mais consistente na implementação das tecnologias mais importante e acelerem o abandono das estratégias preventivas”, diz Amit Yoran, presidente da RSA .

Até 90% manifestaram não conseguirem detectar ameaças rapidamente, e 88% admitem não ser capazes de investigar ameaças com rapidez. A incapacidade de detectar ameaças rapidamente é um fator essencial do motivo pelo qual as organizações estão passando por violações de dados em que os invasores são capazes de permanecer na rede por longos períodos antes de serem descobertos.

Os participantes não consideraram nenhuma de suas tecnologias de detecção e investigação particularmente eficazes, dando a todas, uma classificação média de “algo eficaz.” Continuam a demonstrar um excesso de confiança no SIEM (Security information and event management), que embora seja utilizado por mais de dois terços dos participantes, não é consistentemente somado com tecnologias como captura de pacote de rede, ferramentas avançadas de ponto de extremidade e antimalware que poderiam aprimorar de modo considerável os recursos de detecção e investigação de ameaças.

Os dados que as organizações coletam atualmente não fornecem a visibilidade adequada.  Menos da metade das organizações consultadas estão coletando dados de pacote de rede ou dados de fluxo de rede, que oferecem uma percepção confiável sobre ataques avançados, e apenas 59% coletam dados de pontos de extremidade que podem ser usados para encontrar pontos de comprometimento.

Entretanto, as organizações que incorporaram essas fontes de dados em suas estratégias de detecção as consideram extremamente valiosas: as organizações que coletam dados de pacote de rede atribuíram 66% mais valor a esses dados para detectar e investigar ameaças que aquelas que não o fazem, e as que coletam dados de pontos de extremidade atribuíram 57% mais valor a esses dados que aquelas que não o fazem.

Integração de dados é um problema

Um quarto dos participantes não integram nenhum tipo de dado, e somente 21% faz com que todos seus dados possam ser acessados em uma só fonte. A prevalência de dados isolados impede a correlação entre fontes, retarda as investigações e limita a visibilidade do escopo completo de um ataque. Apenas 10% dos participantes sentem que podem conectar “muito bem” a atividade de invasores entre todas as fontes de dados que coletam.


Clique para ler a bio do autor  Clique para fechar a bio do autor