Vivenciamos um cenário de diversos tipos de ataques, vulnerabilidades, malwares, e outros. Nesse cenário, se faz necessária a reserva de uma parte do orçamento de TI, e, mais especificamente, de segurança, para a compra de licenças e ativos que gerem valor para o negócio. O objetivo da segurança deve ser realizar a detecção e bloqueio de ameaças conhecidas e desconhecidas, evitando interrupções não planejadas da operação de sistemas e permitindo a produtividade dos usuários. Interrupções e problemas do tipo são custosos para as empresas, qualquer profissional que não possa executar suas atividades por devido a dificuldades enfrentadas pela TI representa um custo significativo.

As soluções de segurança empregadas na tarefa de evitar os problemas e interrupções muitas vezes dispõem de tecnologias baseadas em reputação, como um filtro de sites maliciosos, assinaturas de NIPS, heurística de arquivos e outros, isso possibilita a geração de alertas que não necessariamente necessitam ser tratados.

O custo do tratamento de um alerta gerado por um falso positivo torna-se considerável se contabilizarmos todos os custos envolvidos, como: hora trabalhada, capacitação, backlog, etc. O custo da compra do risco, por tratar os alertas, também pode ser alto se um deles gerar uma evasão de informações, defacement do site corporativo (dano a imagem da empresa), prejuízo financeiro (malwares bancários) etc.

Segundo estudo do Instituto Ponemon, as empresas tiveram prejuízo médio de $ 1.3 milhões de dólares no tratamento de eventos que não eram de fato problemas de segurança em um ano. No entanto, a Target, uma das maiores empresas de varejo do mundo, sofreu um ataque e foi penalizada por ter ignorado alertas de incidentes de segurança relevantes, o que resultou no vazamento de dados de milhares de clientes.

Se não podemos ignorar ou tratar todos os eventos, o que fazer?

Esse é um grande desafio de segurança, que sempre está em processo de manutenção e melhoria continua, pois, todos os dias, os comportamentos conhecidos mudam e os atacantes estão alterando sua forma de infectar novos equipamentos e obter ganhos com isso. Assim, se faz necessário um estudo continuo das ameaças e a identificação de comportamentos que nos levem a tratar apenas o que é realmente importante. Falamos muito sobre isso no post sobre a necessidade de se reduzir os alertas e melhorar a quantidade, você pode conferir aqui.

Concluímos que, analisar os incidentes de segurança que ocorrem no ambiente é muito importante, porém, devemos ir além disso, utilizando ferramentas de medição do mercado que verifiquem quais são os incidentes de segurança que realmente são relevantes e quais podem ser ignorados por gerarem índice baixo de identificação de problemas. A reincidência de falso positivo diminui a credibilidade da área de segurança da informação dentro da organização, além de aumentar consideravelmente o custo operacional.

Mais informações:

O Serviço Gerenciado de Segurança (MSS) é uma alternativa para diminuir:

Serviços Gerenciados de Segurança