O incidente CrowdStrike, que paralisou a economia global, fazendo com que inúmeras telas ao redor do mundo ficassem permanentemente azuis em julho passado, aparentemente serviu como um alerta para muitas empresas. E não apenas para aquelas cujos sistemas foram diretamente afetados. De todos os especialistas em TI e segurança cibernética pesquisados no estudo “OTRS Spotlight: Corporate Security 2024”, 93% responderam ao incidente e tomaram medidas para se preparar melhor para futuros incidentes desse tipo.
O método mais popular: pouco menos da metade dos entrevistados (45%) diversificou seu cenário e sistemas de TI para se tornarem menos dependentes de provedores de software individuais. Para o estudo, a empresa de software OTRS Group, em colaboração com a empresa de pesquisa de mercado Pollfish, entrevistou 476 profissionais de TI e segurança cibernética, incluindo 100 no Brasil.
Melhor tarde do que nunca: equipes de segurança se preparam após o incidente CrowdStrike
Parece que muitas das empresas diretamente afetadas estavam inadequadamente preparadas para mitigar o impacto do incidente usando seus próprios recursos. A maioria tomou as ações descritas pela CrowdStrike para resolver o problema (44%) e/ou instalou a correção fornecida (43%) assim que estava disponível.
Apenas 38% tinham acesso a sistemas avançados de monitoramento e alerta em tempo real para permitir uma intervenção rápida em tal evento. De todas as empresas — afetadas ou não — 40% só introduziram esses sistemas após o incidente.
Quase o mesmo número (39% cada) posteriormente introduziu testes adicionais para novos patches e atualizações, ou um plano de resposta a incidentes, ou atualizou o existente. Apenas três em cada dez empresas afetadas já tinham um plano de resposta a incidentes robusto em vigor, permitindo que identificassem, isolassem e resolvessem o problema rapidamente.
Apenas 31% já estavam usando o Unified Endpoint Management (UEM), o que lhes permitiu identificar rapidamente os sistemas afetados e iniciar as medidas apropriadas remotamente. Pouco menos de um quarto de todas as empresas (24%) introduziram o UEM após o incidente.
Condições difíceis para equipes de segurança de TI
Apesar das medidas tomadas, ainda há necessidade de ação. Com um aumento de 11%, apenas um pouco mais de entrevistados acreditam atualmente que sua empresa está preparada de forma ideal para incidentes de segurança do que no ano anterior (2023: 44%; 2024: 49%). O maior desafio para as equipes de segurança é o número crescente de incidentes de segurança a cada ano. Mais de oito em cada dez registraram um ligeiro aumento (56%) ou mesmo um aumento acentuado (26%) nos últimos doze meses.
A maioria das equipes também vê esse cenário de ameaças em rápida mudança como o maior desafio de resposta a incidentes (34%). Em segundo lugar está a implementação de revisões abrangentes pós-incidente (15%). Empatados em doze por cento cada estão: a falta de integração entre as ferramentas; comunicação oportuna e apropriada com o público e falta de pessoal qualificado.
Equipes de segurança de TI estão cada vez mais contando com automação
Mais frequentemente do que no ano anterior, equipes de segurança estão lidando com esses desafios automatizando seus processos de resposta a incidentes em maior extensão, entre outras coisas. No ano passado, pouco menos da metade dos entrevistados (49%) automatizou tarefas de rotina, mantendo o controle humano sobre decisões críticas. Este ano, a proporção aumentou para 57%.
Outros 21% (2023: 19%) usam automação básica para alertas e, de outra forma, dependem fortemente de decisões humanas. Um grupo menor de 16% automatiza o máximo possível, limitando a intervenção humana na resposta a incidentes ao mínimo. Apenas 6% não automatizam seus processos e dependem inteiramente da intervenção humana.
Diretrizes realistas, claras e fáceis de implementar para segurança de TI
“É um jogo de gato e rato: os invasores estão aproveitando novas tecnologias, como inteligência artificial e aprendizado de máquina, para atacar com mais frequência, mais rápido e com maior sofisticação. Por outro lado, as equipes de segurança estão perseguindo-os e tentando agilizar e acelerar seus processos por meio da automação”, explica Jens Bothe, vice-presidente de segurança da informação do OTRS Group. “Mas é uma batalha desigual. Isso ocorre porque as organizações são vinculadas a muitas regras, muitas vezes opacas, que os maus atores não cumprem. As obrigações que surgem para as empresas de regulamentações como NIS-2 ou DORA são necessárias e apropriadas, mas têm um longo tempo de atraso antes que a conformidade seja exigida. Os formuladores de políticas precisam agir mais rápido e contratar os serviços de especialistas em segurança de TI de forma abrangente e em um estágio inicial para desenvolver diretrizes claras e realistas que as empresas possam implementar de forma rápida e fácil.
Veja a postagem original em: CisoAdvisor
