Deter os invasores
A caça a ameaças e a pesquisa sobre
evolução do SOC
www.mcafee.com/br/solutions/lp/evolution-soc.html
2Data, grupo de negócios específico
Objetivo da pesquisa
Quais são as melhores práticas, atuais e futuras, para caça a ameaças
em organizações de diferentes níveis de maturidade?
Impacto da automação, inteligência artificial
e autoaprendizagem
Consolidação de táticas específicas dos caçadores nas
operações fundamentais do SOC
O papel da tecnologia de área restrita (sandbox)
Ferramentas essenciais para realização da caça a ameaças
O papel da inteligência contra ameaças
Relatório: Deter os invasores: arte ou ciência?
3Data, grupo de negócios específico
Especificações do estudo
• 727 entrevistas
• Os dados foram coletados por meio de entrevistas on-line
• As entrevistas ocorreram em maio de 2017
Fonte da amostragem
• Clientes da McAfee, compreendendo o Security Product Advisory Council
(SPAC)
Clientes de todo o mundo e falantes de inglês
• Amostragem genérica de mercado
EUA, Canadá, Reino Unido, Alemanha, Austrália,
Nova Zelândia, Singapura
Público-alvo
• As organizações devem ter mais de 1.000 funcionários.
• Os entrevistados devem dedicar pelo menos 20% de seu tempo à caça a
ameaças.
• E precisam dispor de sandbox e SIEM para se qualificarem.
Teste de significância
• Diferenças entre segmentos (sejam tamanho da empresa, país etc.),
conforme indicadas neste relatório, baseiam-se em testes bilaterais com
um nível de significância de 95%.
• Quando as descobertas em um determinado segment são
significativamente maiores que em outro segmento, isso é indicado.
exemplo
Objetivo da pesquisa e especificações do estudo
4Data, grupo de negócios específico
Tamanho da empresa (com base no número de funcionários)
34% 8% 8% 7% 5% 4% 3% 3% 27%
País
Bases suficientemente amplas na América do Norte, Europa e Ásia
EU CA RU AU AL IN NZ SG Outros
N⁰ de entrevistas por região
302
296
129
34% 8% 21% 4% 19% 1% 2% 10% -
Corporações
Público-alvo
31% 30%
16%13%
6% 5%
1k-2,5k 2,5k-5k 5k-10k 10k-50k 50k-100k > 100k
Comerciais
5Data, grupo de negócios específico
Hunting Maturity Model (modelo de maturidade da caçada), desenvolvido por David Bianco, caçador de ameaças e tecnólogo de segurança da Sqrrl
Os entrevistados foram solicitados a qualificar sua organização em um dentre cinco níveis
6Data, grupo de negócios específico
Quase metade (45%) das organizações consultadas gostariam de estar no nível 4 daqui a três anos.
Modelo de maturidade – As empresas QUEREM melhorar
Em que nível a sua empresa está hoje?
3%
11%
32%
40%
14%
Nível 0 - Inicial
Nível 1 - Mínimo
Nível 2 - Procedimental
Nível 3 - Inovação
Nível 4 - Liderança
Em que nível gostaria de estar daqui a três anos?
1%
4%
16%
34%
45%
Nível 1 - Mínimo
Nível 1 - Mínimo
Nível 2 - Procedimental
Nível 3 - Inovação
Nível 4 - Liderança
7Data, grupo de negócios específico
Principais descobertas: os SOCs avançados proporcionam resultados comprovadamente melhores
71% dos SOCs mais avançados encerram investigações de incidentes
em menos de uma semana e 37% encerram em menos de 24 horas.
Os caçadores de ameaças das organizações mais avançadas verificam
a causa raiz 4,5 vezes mais (90% contra 20%) do que os caçadores de
ameaças nos níveis mais baixos da curva de maturidade.
No cômputo geral, os SOCs avançados obtêm até 45% mais valor
quando utilizam sandboxes, economizando tempo e dinheiro,
aprimorando os fluxos de trabalho e relevando informações que de
outra forma não estariam disponíveis.
Aumente a velocidade e a profundidade das investigações
71% encerram
investigações em
menos de uma
semana
4,5 vezes mais
causas raízes
encontradas
45% mais valor com
o uso avançado de
sandbox
8Data, grupo de negócios específico
Então, como os SOCs avançados obtêm esses resultados?
68% afirmam que vão melhorar
por meio de melhor automação e
melhores procedimentos de caça a
ameaças.
Os SOCs mais maduros são duas
vezes mais propensos a
automatizar.
A maturidade resulta em um
melhor equilíbrio entre processos
extraordinários e ordinários,
embora ambos ainda coexistam –
a ferramenta certa para
o trabalho.
Descubra o que funciona e, então, automatize: combinação homem/máquina
0%
10%
20%
30%
40%
50%
60%
70%
80%
Qual percentual do processo
é automatizado?
Qual percentual do processo você consideraria
ideal para automação?
Nível 0/1 Nível 2 Nível 3 Nível 4
9Data, grupo de negócios específico
Proliferação de
ferramentas!
Eles usam sandboxes para investigar mais a fundo
42
63
35
45
55
65
75
Nível 0/1 Nível 2 Nível 3 Nível 4
N⁰ médio de investigações com
sandbox
Aumento de
50%
Complexidade do
ambiente!
Vamos
descompactar o
código!
“O melhor é quando você pode fazer testes de vulnerabilidade e prever a ameaça antes que ela ocorra. Sandboxing é útil nessa situação.”
Caçador de ameaças entrevistado durante as sessões qualitativas da
pesquisa sobre caçadores de ameaças da McAfee, maio de 2017
Conforme as equipes dos SOCs
amadurecem, as razões para
o uso de sandboxes evoluem,
da dependência de automação
e da consolidação de ferramentas à
realização de análises sofisticadas de
ameaças avançadas.
Os SOCs mais maduros utilizam
várias sandboxes e vão além da
condenação, investigando e
validando ameaças em arquivos.
10Data, grupo de negócios específico
Eles assimilam canais de inteligência contra ameaças de acordo com suas necessidades e compram o que falta
Os SOCs de nível 0/1 dependem de
canais públicos de inteligência
contra ameaças 50% mais do que
de qualquer outro tipo de canal sobre
ameaças.
Em comparação, os SOCs de nível 4 são
2 vezes mais pro-pensos a pagar por
inteligência contra ameaças especializada
e quase 50% mais inclinados a usar
canais personalizados.
0 10 20 30 40 50 60 70
Pagam por canais de TI
Interno
Personalizado
Canais de TI públicos
Nível 0/1
0 20 40 60 80 100
Canais de TI públicos
Interno
Personalizado
Pagam por canais de TI
Nível 4
11Data, grupo de negócios específico
Eles fazem mais personalização
Os SOCs maduros investem 70% mais tempo
em personalização, utilizando scripts e código
aberto mais intensivamente.0
5
10
15
20
0%
20%
40%
60%
Nível 1 Nível 2 Nível 3 Nível 4
Ho
ras
Per
cen
tua
l do
s en
trev
ista
do
s
Quanto tempo é despendido na pesquisa
e personalização de ferramentas para caça
a ameaças?
Menos de 5 horas por mês 5 a 10 horas por mês 10 a 20 horas por mês
Mais de 20 horas por mês Horas em média
12Data, grupo de negócios específico
As organizações maduras de caça a ameaças mantêm os bons hábitos de:
Identificar quais processos podem ser automatizados
Utilizar as ferramentas à mão para investigar mais a fundo
Assimilar inteligência de acordo com suas necessidades
Personalizar e adaptar para obter insights mais detalhados
Uma boa caçada não precisa ser um trabalho duro para render resultados reais
13Data, grupo de negócios específico
Faça download do relatório, de resumos e de infográficos em
www.mcafee.com/br/solutions/lp/evolution-soc.html
Mantenha-se atualizado assinando o boletim bimestral McAfee SIEM Insider: https://www.mcafee.com/br/products/lp/siem-newsletter-
signup.aspx
Fique ligado e ouça o Dr. Peter Stephenson, editor de tecnologia da SC
Magazine, e Michael Leland, da McAfee, discutirem “Finding Context in
Advanced Threat Hunting” (Como encontrar contexto na caça a ameaças
avançada). Inscreva-se no webcast em
https://www.mcafee.com/br/events/webinars.aspx
Acompanhe a evolução do SOC!