Relatório CrowdStrike revela atitudes das organizações em relação à prontidão para segurança cibernética

Relatório CrowdStrike revela atitudes das organizações em relação à prontidão para segurança cibernética

Um novo relatório da empresa de pesquisa independente Vanson Bourne intitulado The Global Security Attitude Survey 2019estuda como as organizações avaliam sua prontidão em segurança cibernética diante de um cenário de ameaças globais cada vez mais complexo. O estudo patrocinado pela CrowdStrike® entrevistou 1.900 tomadores de decisão e profissionais seniores de TI nos EUA, Canadá, Reino Unido, México, Oriente Médio, Austrália, Alemanha, Japão, França, Índia e Cingapura, atraindo entrevistados de uma ampla variedade de indústrias. Entre as descobertas, o estudo indica que a esmagadora maioria das organizações não possui prontidão para segurança cibernética para impedir que um invasor acesse suas redes e dados. De fato, 80% dos entrevistados relataram que suas organizações não conseguiram impedir que invasores de suas redes acessassem seus dados de destino nos últimos 12 meses.

 

Por que as invasões são bem-sucedidas

Com foco na velocidade para detectar, responder e corrigir como um indicador-chave da preparação para a cibersegurança de uma organização, a pesquisa investigou o tempo que as organizações levam para lidar com êxito com uma invasão. A CrowdStrike recomenda há muito tempo que as organizações se esforçam para cumprir a regra 1-10-60– detectar em um minuto, fazer triagem em 10 minutos e conter e remediar em 60 minutos. No entanto, a grande maioria das organizações nesta pesquisa está longe de cumprir essas métricas, que são ditadas pelo que o CrowdStrike chama de “tempo de interrupção”. O tempo de interrupção mede quanto tempo leva para que um invasor comece a se mover lateralmente na rede da vítima, uma vez que a máquina tenha foi comprometido. As organizações devem ser capazes de superar o tempo de interrupção para interromper um invasor antes que ocorram danos. Na pesquisa, os entrevistados relataram que eles levam em média quase sete dias trabalhando 24 horas para detectar, investigar e conter um incidente de segurança cibernética – 162 horas. Somente a contenção leva em média 32 horas após a detecção e investigação de um incidente.

Onde o foco das equipes de TI é fundamental

Embora 86% dos respondentes da pesquisa considerem a capacidade de detectar um invasor dentro de um minuto como uma “mudança de jogo”, apenas 19% vêem a detecção como seu foco principal de prontidão. Quase o dobro disso – 39% – acredita que seu foco principal deve ser a prevenção do acesso. Quando perguntados sobre o que os impede de obter uma detecção mais rápida, as respostas variaram da falta de recursos de segurança cibernética até a fragmentação da TI e da rede.

Na fase de investigação da regra 1-10-60, quatro em cada dez entrevistados descobriram que ter mais conhecimento sobre “quem, o quê e por quê” de um ataque é essencial. De fato, 67% acham que saber mais sobre seus atacantes e suas motivações é fundamental para proteger os dados que o ator da ameaça está alvejando. No entanto, o estudo também descobriu que as organizações levam em média cinco horas para triar uma ameaça e seis horas para entendê-la completamente – e apenas 53% dos entrevistados relatam ter conseguido descobrir a identidade do agente de ameaça com o qual estão lidando.

Quando se trata de contenção e correção – 33% acreditam que podem fazer isso em uma hora, depois que o invasor for detectado e investigado. No entanto, como os tempos médios de detecção e investigação são tão prolongados, é improvável obter uma recuperação completa em uma hora.

Os tipos de ataques variam

No início deste ano, a CrowdStrike lançou o The Global Threat Report 2019, que forneceu informações valiosas sobre os adversários cibernéticos que as organizações enfrentam e o tipo de comércio que estão utilizando para realizar seus ataques. O relatório de ameaças também delineou os tempos de fuga dos atores de ameaças, o que destacou a importância de conhecer o máximo possível sobre o invasor. O tempo de pausa variou de meros 18 minutos para adversários russos – e mais de nove horas para atores de eCrime.

O relatório de ameaças também mostrou que alguns atores do estado-nação estão empregando objetivos típicos de eCrime, como roubar dinheiro, enquanto muitos atores estão obtendo acesso a ferramentas mais sofisticadas no estilo de nação-estado através de fóruns de hackers. As perspectivas de avanço da prontidão em um ecossistema em evolução de ameaças são ainda mais destacadas pelos resultados da pesquisa de atitudes de segurança: Globalmente, as organizações estão mal preparadas para impedir os adversários que estão direcionando suas redes.

Aqui estão algumas descobertas adicionais da Pesquisa de Atitude de Segurança Global de 2019:

  • Em comparação com as descobertas da pesquisa do ano passado, os ataques à cadeia de suprimentos de software aumentaram este ano – mais do que dobrando de 16% para 34% entre os entrevistados. Surpreendentemente, o estudo deste ano também mostra que as preocupações com esses ataques realmente diminuíram, de 33% dos entrevistados em 2018 para 28% em 2019.
  • O ransomware continua difundido: o número de organizações que pagaram um resgate para descriptografar e recuperar seus dados cresceu substancialmente, de 14% em 2018 para 40% este ano.
  • As organizações percebem o perigo que ataques de Estado-nação representam, com 94% dos entrevistados globais reconhecendo que sua organização pode estar em risco de um ataque patrocinado por um Estado-nação. Esse risco foi mais significativo para os entrevistados na Índia (99%), Cingapura (99%) e EUA (94%).

As organizações devem mudar sua abordagem

Embora a regra 1-10-60 seja o que as equipes de segurança do Gold Standard devem se esforçar para alcançar, o estudo mostra claramente que as organizações carecem muito de suas habilidades para não apenas detectar e impedir um ataque, mas também para responder e remediar o incidente. De fato, 95% dos entrevistados reconhecem que algo mais precisa ser feito para impedir uma fuga assim que um invasor estiver na rede. Para melhorar suas habilidades para conseguir isso, eles defendem uma variedade de soluções, desde o aumento de orçamentos, treinamento e pessoal adicional, até uma compreensão mais abrangente dos atacantes que atacam suas organizações e adotam uma abordagem mais proativa de “caça às ameaças” para a prontidão.

Claramente, a dependência da infraestrutura herdada, exacerbada pela falta de recursos e conhecimento, prejudicou a capacidade das organizações de montar uma defesa eficaz contra os adversários que enfrentam.

Recomendações da CrowdStrike

A Pesquisa Global de Atitude de 2019 revela que as organizações precisam acelerar os tempos de resposta, adotar técnicas proativas de prevenção baseadas em comportamento e fechar as lacunas de segurança que as tornam vulneráveis ​​a ataques. A seguir, é apresentado um resumo das recomendações incluídas no relatório:

Empregue soluções com busca de ameaças: As organizações que estão na mira de adversários sofisticados devem empregar recursos proativos de busca de ameaças – seja por meio de uma equipe interna ou implementando um serviço de detecção e resposta gerenciada (MDR), como o Falcon OverWatch ™. Isso permite que as organizações detectem, investiguem e corrijam rapidamente intrusões antes que os adversários possam atingir seus objetivos e causar uma violação de dados. Um foco na atividade prática no teclado versus o gerenciamento de alertas é fundamental.

Os recursos de correção rápida impedem que pequenos problemas se tornem grandes: a disponibilidade de inteligência de ameaças contextualizada é fundamental para acelerar a investigação e a resposta. Ter essas informações na ponta dos dedos permite que as equipes de segurança entendam melhor os incidentes e tomem decisões mais informadas para se antecipar a futuros ataques. O Falcon X ™ é a solução líder em inteligência de ameaças da CrowdStrike. Integrado à proteção de terminais Falcon, ele fornece o contexto necessário para prever ataques futuros e implantar contramedidas proativas.

As soluções de segurança de última geração são fundamentais: as empresas modernas devem empregar soluções que ofereçam análise comportamental e aprendizado de máquina (ML) para interromper ataques de malware, além de ir além do malware para detectar indicadores de ataque (IOAs) que podem identificar a atividade do invasor. progresso. Isso é essencial para eliminar ou reduzir os danos. A integração de uma solução de detecção e resposta de ponto de extremidade (EDR), como o Falcon Insight ™, não apenas reduzirá o ciclo de detecção, mas também operará em um ritmo que poderá prejudicar as habilidades e operações dos adversários direcionados à sua organização. Além disso, as organizações podem aumentar imediatamente seus níveis de maturidade em segurança cibernética adicionando uma plataforma abrangente, como o Falcon Complete TM, que combina a próxima geração de antivírus, EDR, caça proativa a ameaças, higiene de TI e uma equipe de especialistas, criando uma única solução pronta para uso que lida com todos os aspectos da segurança de terminais de uma organização.

A segurança proativa é crítica: a preparação para lidar com o próximo ataque é parte integrante do gerenciamento de riscos. É por isso que é necessário preparar e testar proativamente um plano de segurança de forma contínua diante da evolução da tradição de invasores. A equipe do CrowdStrike Services não apenas fornece os Serviços de resposta a incidentes líderes de mercado (consulte os Serviços de resposta a incidentes da Forrester Wave, primeiro trimestre de 2019 e IDC MarketScape: Avaliação de fornecedores de serviços de prontidão para incidentes, resposta e resiliência dos EUA em 2018relatórios) na sequência de um ataque, mas também oferece serviços proativos às organizações, incluindo exercícios de mesa, equipes vermelhas, equipes azuis e outros Serviços de Assessoria e Avaliação Técnica para garantir que a maturidade da segurança cibernética esteja no nível necessário, fornecendo uma avaliação precisa do seu exposição atual e um roteiro para melhorar as defesas.

O tempo de interrupção é uma métrica crítica: como a pesquisa revela – poucas organizações podem se aproximar da regra 1-10-60: um minuto para detectar, 10 para investigar e 60 para conter e remediar. De fato, os entrevistados levam em média mais de 162 horas para concluir essas tarefas. A plataforma CrowdStrike Falcon permite que as equipes de segurança reduzam o tempo para investigar e entender ameaças, fornecendo contexto profundo, inteligência de ameaças perfeitamente integrada e visualizações sofisticadas.

.

 

Fonte:https://www.crowdstrike.com/blog/global-security-attitude-survey-takeaways-2019/