Com os ciberatacantes estabelecendo novos recordes de velocidade, cada equipe do Centro de Operações de Segurança (SOC) precisa explorar como a IA pode reverter a situação a seu favor.
Recentes insights de George Kurtz, CEO e cofundador da CrowdStrike, destacam estatísticas alarmantes: os atacantes podem se mover lateralmente em um sistema em apenas dois minutos e sete segundos após obter acesso e podem baixar uma ferramenta em 31 segundos para iniciar a investigação em sistemas comprometidos. Kurtz compartilhou essas informações em sua palestra principal na RSAC 2024, intitulada “Next-Gen SIEM: Convergindo Dados, Segurança, TI, Automação de Fluxo de Trabalho e IA”.
A Urgência da IA na Cibersegurança
Kurtz enfatizou a necessidade de as equipes de segurança analisarem rapidamente grandes volumes de dados para detectar e responder a ameaças. “A velocidade dos ataques cibernéticos atuais desafia as capacidades dos sistemas SIEM tradicionais”, observou. “As organizações buscam tecnologia avançada que ofereça um retorno sobre investimento mais rápido, ao mesmo tempo reduzindo os custos totais de propriedade. Os dados críticos de segurança estão principalmente na plataforma Falcon, minimizando o tempo e as despesas associadas à transferência de dados para soluções SIEM obsoletas. Nossa arquitetura unificada integra dados nativos e de terceiros usando IA e automação de fluxo de trabalho, cumprindo assim o potencial de um SOC nativo em IA.”
Desafios com SIEMs Legados
À medida que os atacantes aprimoram suas metodologias, as lacunas entre segurança de endpoints e identidade aumentam. Dados de endpoints podem fornecer insights cruciais para prever tentativas de intrusão, se coletados de forma eficaz. “Um problema significativo na cibersegurança é gerenciar a complexidade dos dados”, observou Kurtz. “Foi por isso que fundei a CrowdStrike. As equipes do SOC lutam para navegar por volumes esmagadores de dados para identificar ameaças.”
Os SIEMs legados tornaram-se um fardo para as equipes do SOC. Os analistas frequentemente fazem “integração de cadeira giratória”, alternando entre sistemas conflitantes que consomem tempo. Eles devem processar dados de múltiplas fontes através de várias ferramentas para verificar pontuações de risco, resultando em atrasos, especialmente durante incidentes urgentes. Kurtz apontou: “Consultar dados pode levar dias, durante os quais alertas cruciais podem ser perdidos. É vital encontrar maneiras de superar os adversários.”
Usando a evolução dos planos de telefonia celular como analogia, Kurtz argumentou que os SIEMs de nova geração devem permitir a ingestão escalável de dados sem aumentar drasticamente os custos, permitindo que as organizações tomem decisões de segurança informadas sem limitações financeiras. Ele enfatizou a necessidade de romper a curva de produtividade de custos, capacitando os clientes a utilizar todas as fontes de dados disponíveis de maneira eficaz.
Empoderando os Defensores com IA
Kurtz lançou as inovações do Falcon Next-Gen SIEM na RSAC 2024 para demonstrar a necessidade de equipar os defensores com as ferramentas certas para melhorar a eficiência operacional. Sua palestra destacou a importância de remover as limitações impostas pelos SIEMs legados e fortalecer os SOCs com capacidades de IA. Notavelmente, a CrowdStrike está oferecendo aos clientes do Falcon Insight 10 gigabytes de ingestão de dados de terceiros diariamente, sem custo adicional, para demonstrar a velocidade e eficácia do SIEM de nova geração.
A IA é parte integrante da arquitetura do Falcon Next-Gen SIEM, automatizando a análise e normalização de dados, enriquecendo conjuntos de dados para melhor identificação de ameaças e apoiando a detecção avançada de ameaças e mecanismos de resposta automatizada. “Um SOC nativo em IA aprende continuamente”, explicou Kurtz. “Cada organização possui insights únicos sobre seus colaboradores e ambiente, e as organizações não devem depender exclusivamente de fornecedores para essa inteligência. O sistema deve reconhecer como é um insider malicioso dentro de seu contexto e se adaptar ao longo do tempo.”
Acelerando o Desempenho do SOC
O Falcon Next-Gen SIEM da CrowdStrike visa aprimorar o desempenho do SOC, oferecendo capacidade de busca até 150 vezes mais rápida e um custo total de propriedade 80% menor em comparação aos SIEMs tradicionais. Isso aborda pontos críticos para os SOCs: lentidão e tempos de resposta.
As principais inovações no Falcon Next-Gen SIEM incluem:
IA Generativa e Automação de Fluxo de Trabalho:
- Charlotte AI: O assistente de IA generativa da CrowdStrike pode fornecer dados e documentação do Falcon em linguagem simples, acelerando os tempos de resposta para os analistas.
- Eficiência Investigativa: A IA correlaciona automaticamente contextos relacionados em um único incidente, gerando resumos que aceleram as investigações.
- Livros de Prompts Personalizados: Os analistas podem definir fluxos de trabalho reutilizáveis de detecção e resposta, permitindo resolução rápida de incidentes.
- Integração SOAR: A nova interface Fusion SOAR permite que analistas do SOC agilizem fluxos de trabalho por meio de uma interface de arrastar e soltar, melhorando a eficiência operacional.
- Investigações Automatizadas: Fluxos de trabalho automatizados aprimoram a busca de ameaças e integram ações entre o Falcon e ferramentas de terceiros.
Ingestão Rápida de Dados:
- Ecossistema Expandido: Novos conectores integram diversos dados de TI e segurança de terceiros na plataforma Falcon.
- Conectores em Nuvem: Conexões abrangentes para AWS, Azure e GCP simplificam o acesso e monitoramento de dados.
- Normalização Automática de Dados: O onboarding simplificado de dados garante detecção rápida e precisa em todas as fontes.
- Gestão Eficiente de Dados: Capacidades aprimoradas simplificam o monitoramento e a gestão do status e saúde da ingestão de dados.
Experiência Aprimorada dos Analistas com Gestão de Incidentes:
- Enriquecimento Automatizado: Informações contextuais são adicionadas automaticamente aos incidentes, acelerando as investigações.
- Ferramentas de Colaboração: Visões e notificações aprimoradas facilitam respostas coordenadas entre analistas.
- Integração de Inteligência de Ameaças: Os analistas podem incorporar inteligência de ameaças personalizadas em suas buscas de forma transparente.
As inovações da CrowdStrike posicionam o Falcon Next-Gen SIEM como uma solução vital para aprimorar a eficiência e a capacidade de resposta do SOC em um cenário de cibersegurança em rápida evolução.
Classificação
