Uma pesquisa recente da RSA, realizada com 170 empresas em 30 países e chamada de "Breach Readiness", mostra um cenário pessimista, aonde a maioria das empresas não tem um plano formal de resposta a incidentes.
Segundo a pesquisa, a maioria das organizações falham na adoção de práticas e de tecnologias necessárias para identificar e reagir a um ataque e melhorar a sua disponibilidade, tais como o monitoramento do ambiente, gerenciamento de vulnerabilidades e um planejamento de resposta a incidentes. Falando em números...
- 30% das empresas, em geral, não tem um plano formal de resposta a incidentes, que detalha o que deve ser feito por quem;
- Dentre as poucas empresas que tem um plano de resposta a incidentes, 57% delas raramente ou nunca revisam este plano;
- 55% (mais de metade!) dos entrevistados ainda não têm boa visibilidade das ameaças, ou seja, não tem capacidade para reunir os dados de seu ambiente e proporcionar o alerta centralizado de atividadse suspeitas;
- 50% dos entrevistados têm capacidade de identificar e ignorar falsos positivos;
- 42% dos participantes da pesquisa têm capacidades para investigação forense de rede mais complexa, incluindo a captura de pacotes e análise de fluxo de dados;
- 40% das empresas não tem um programa de gerenciamento de vulnerabilidades.
O blog da RSA sobre esta pesquisa destaca a importância de identificar e descartar alertas correspondentes a falso positivos, uma vez que estes falsos positivos facilmente se tornam uma praga mesmo para empresas que tenham uma estrutura de monitoramento. O excesso de "alarmes falsos" pode causar o que o artigo chama de "Fadiga de alertas" nos analistas, que ficam sobrecarregados tratando casos desnecessários e podem não ter disponibilidade de identificar e focar nos casos mais importantes.
Frequentemente, as análises post-mortem de ataques que tiveram sucesso identifica que os alertas do ataque foram ignorados pelo time de segurança, o que mostra claramente a importância de ter as tecnologias e processos corretos para identificar, priorizar e tratar tais alertas. Isso aconteceu no grande vazamento de dados sofrido pela Target em 2013, por exemplo.
Nenhum comentário:
Postar um comentário