A RSA, a divisão de segurança da EMC, difundiu os resultados de uma nova pesquisa de eficácia na detecção de ameaçadas que reuniu a percepção de mais de 160 organizações do mundo todo.

A pesquisa fornece uma valiosa percepção global sobre qual tecnologia é usada pelas organizações, que dados elas coletam para apoiar esse esforço e qual a satisfação com os conjuntos de ferramentas atuais.

Além disso, as organizações foram perguntadas em quais tecnologias planejam investir e como pretendem aprimorar suas estratégias no futuro. O principal resultado da pesquisa é que as empresas ainda contam com uma base fragmentada de dados, e que a tecnologia de detecção e investigação não é capaz de atingir os resultados esperados por seus programas de monitoramento e segurança.

Os participantes expressaram insatisfação com seus atuais recursos de detecção e investigação. Quase 80% das organizações consultadas afirmaram não estar satisfeitos com sua capacidade para detectar e investigar ameaças. A velocidade nessa área é amplamente reconhecida como um fator crítico para minimizar perdas e danos e de ataques cibernéticos. Até 90% manifestaram não poder detectar ameaças rapidamente, e 88% admitem não ser capazes de investigar ameaças com rapidez. A incapacidade de detectar ameaças rapidamente é um fator essencial do motivo pelo qual as organizações estão passando por violações de dados em que os invasores são capazes de permanecer na rede por longos períodos antes de serem descobertos.

Os participantes não consideraram nenhuma de suas tecnologias de detecção e investigação particularmente eficazes, dando a todas, uma classificação média de “algo eficaz.” As organizações continuam a demonstrar um excesso de confiança no SIEM (Security information and event management), que embora seja utilizado por mais de dois terços dos participantes, não é consistentemente somado com tecnologias como captura de pacote de rede, ferramentas avançadas de ponto de extremidade e antimalware que poderiam aprimorar de modo considerável os recursos de detecção e investigação de ameaças.

Os dados que as organizações coletam atualmente não fornecem a visibilidade adequada. Menos da metade das organizações consultadas estão coletando dados de pacote de rede ou dados de fluxo de rede, que oferecem uma percepção confiável sobre ataques avançados, e apenas 59% coletam dados de pontos de extremidade que podem ser usados para encontrar pontos de comprometimento.

Entretanto, as organizações que incorporaram essas fontes de dados em suas estratégias de detecção as consideram extremamente valiosas: as organizações que coletam dados de pacote de rede atribuíram 66% mais valor a esses dados para detectar e investigar ameaças que aquelas que não o fazem, e as que coletam dados de pontos de extremidade atribuíram 57% mais valor a esses dados que aquelas que não o fazem.

A integração de dados também é um problema. Um quarto dos participantes não integram nenhum tipo de dado, e somente 21% faz com que todos seus dados possam ser acessados em uma só fonte. A prevalência de dados isolados impede a correlação entre fontes, retarda as investigações e limita a visibilidade do escopo completo de um ataque. Apenas 10% dos participantes sentem que podem conectar “muito bem” a atividade de invasores entre todas as fontes de dados que coletam.

Finalmente, uma descoberta motivadora foi o aumento da importância de dados de identidade para auxiliar a detecção e investigação. Embora apenas pouco mais da metade das organizações colete dados de identidade e sistemas de acesso atualmente, aquelas que o fazem atribuíram 77% mais valor a esses dados para a detecção que aquelas que não o fazem.

Além disso, a lógica analítica comportamental, que pode ajudar as organizações a simplificar a detecção com base na identificação de padrões anormais de atividade é o investimento planejado em tecnologia mais comum, e 33% dos participantes planejam adotar essa tecnologia dentro dos próximos 12 meses.

Metodologia
A pesquisa global quantitativa da RSA foi realizada on-line entre janeiro e fevereiro de 2016. Todos os participantes qualificados informaram pessoalmente todos os dados. Mais de 160 organizações participaram, sendo 44% com menos de 1.000 funcionários, 31% entre 1.000 e 10.000 funcionários, e 25% com mais de 10.000 funcionários. Os participantes representavam 22 setores diferentes, com 58% provenientes do continente americano, 26|% da Europa e do Oriente Médio e 15% da Ásia Pacífico e Japão.

DECLARAÇÃO DE EXECUTIVO:
Amit Yoran, presidente, RSA

“Esta pesquisa reforça nossa maior preocupação de que as organizações atualmente não estão tomando, e em muitos casos não estão planejando tomar, as medidas necessárias para se proteger de ameaças avançadas. Elas não estão coletando os dados corretos, não estão integrando os dados coletados e estão se concentrando em tecnologias de prevenção antiquadas. A realidade atual demanda que elas completem lacunas de visibilidade, tenham uma abordagem mais consistente na implementação das tecnologias mais importante e acelerem o abandono das estratégias preventivas.”