Empresas não se sentem capazes de detetar ameaças cibernéticas com agilidade, diz RSA

Este é um dos resultados da pesquisa global realizada pela RSA, divisão de segurança da EMC. O estudo realizado online, entre janeiro e fevereiro de 2016, abordou mais de 160 organizações para saber sobre a deteção de ameaçadas.

O levantamento pôde identificar que tecnologia é usada pelas empresas, que dados recolhem para apoiar esse esforço e qual a satisfação com os conjuntos de ferramentas atuais.

Como as companhias pretendem aprimorar as suas estratégias no futuro também fez parte da análise. O principal resultado da pesquisa, de acordo com a RSA, é que as empresas ainda contam com uma base fragmentada de dados, e que a tecnologia de deteção e investigação não é capaz de atingir os resultados esperados pelos seus programas de monitorização e segurança.

Os participantes expressaram insatisfação com os seus atuais recursos de deteção e investigação. Quase 80% das organizações consultadas afirmaram não estar satisfeitas com a sua capacidade para detetar e investigar ameaças. A velocidade nesta área é amplamente reconhecida como um factor crítico para minimizar perdas e danos e de ataques cibernéticos.

“As organizações não estão a recolher os dados corretos, não estão a integrar os dados recolhidos e estão a concentrar-se em tecnologias de prevenção antiquadas. A realidade atual exige que elas completem lacunas de visibilidade, tenham uma abordagem mais consistente na implementação das tecnologias mais importante e acelerem o abandono das estratégias preventivas”, diz Amit Yoran, presidente da RSA .

Até 90% manifestaram não conseguirem detetar ameaças rapidamente, e 88% admitem não ser capazes de investigar ameaças com rapidez. A incapacidade de detetar ameaças rapidamente é um factor essencial do motivo pelo qual as organizações estão a passar por violações de dados em que os invasores são capazes de permanecer na rede por longos períodos antes de serem descobertos.

Os participantes não consideraram nenhuma das suas tecnologias de deteção e investigação particularmente eficazes, dando a todas, uma classificação média de “algo eficaz.” Continuam a demonstrar um excesso de confiança no SIEM (Security information and event management), que embora seja utilizado por mais de dois terços dos participantes, não é consistentemente somado com tecnologias como captura de pacote de rede, ferramentas avançadas de ponto de extremidade e antimalware que poderiam aprimorar de modo considerável os recursos de deteção e investigação de ameaças.

Os dados que as organizações recolhem atualmente não fornecem a visibilidade adequada.  Menos da metade das organizações consultadas estão a recolher dados de pacote de rede ou dados de fluxo de rede, que oferecem uma percepção confiável sobre ataques avançados, e apenas 59% recolhem dados de pontos de extremidade que podem ser usados para encontrar pontos de comprometimento.

Entretanto, as organizações que incorporaram essas fontes de dados nas suas estratégias de deteção consideram-nas extremamente valiosas: as organizações que recolhem dados de pacote de rede atribuíram 66% mais valor a esses dados para detetar e investigar ameaças que aquelas que não o fazem, e as que recolhem dados de pontos de extremidade atribuíram 57% mais valor a esses dados que aquelas que não o fazem.

Integração de dados é um problema

Um quarto dos participantes não integram nenhum tipo de dados, e somente 21% faz com que todos os seus dados possam ser acedidos numa só fonte. A prevalência de dados isolados impede a correlação entre fontes, retarda as investigações e limita a visibilidade do escopo completo de um ataque. Apenas 10% dos participantes sentem que podem conectar “muito bem” a atividade de invasores entre todas as fontes de dados que recolhem.