Um novo relatório publicado pela Kaspersky revela uma vulnerabilidade estrutural preocupante nos Centros de Operações de Segurança (SOC) empresariais. Apesar de o desempenho ser habitualmente avaliado pela rapidez de resposta, a maioria das organizações acumula enormes volumes de informação que não chegam a ser analisados em tempo real, criando espaços vazios na segurança que escapam às métricas tradicionais.
O problema da recolha excessiva de informação
A eficácia operacional destas equipas depende de como utilizam a informação para encontrar intrusões, mas o mercado continua focado apenas na velocidade. A análise indica que a eficácia é frequentemente medida através do tempo médio de resposta e deteção, deixando para segundo plano detalhes como a taxa de falsos positivos.
Os números apontam que a cobertura média das regras de correlação ativa se fica pelos 43%. Na prática, isto traduz-se no facto de mais de metade das fontes de dados integradas no sistema não participarem na monitorização imediata. O restante volume é armazenado para cumprir requisitos legais ou para consultas retrospetivas, permanecendo invisível no momento em que os incidentes ocorrem.
Lacunas na infraestrutura à medida que o sistema cresce
O cenário torna-se mais complexo com o crescimento das organizações. Centros com maior capacidade de processamento chegam a aplicar a sua lógica de deteção ativa a apenas 30% das fontes. Elementos que deveriam ser a base de qualquer monitorização, como bases de dados, telemetria de rede e servidores web, são as áreas mais afetadas pela ausência de cobertura contínua.
Metade das equipas analisadas continua dependente das regras fornecidas pelos próprios criadores de software, o que resulta frequentemente num elevado número de alarmes falsos. Por outro lado, as organizações que desenvolvem as suas próprias soluções debatem-se com pontos cegos na correlação de diferentes fontes.
Roman Nazarov, responsável de consultoria SOC na empresa, refere que avaliar internamente a real eficácia do serviço é um processo difícil devido ao viés de perspetiva da própria equipa. Como solução, recomenda a implementação de processos repetíveis de engenharia, focados em testar, validar e atualizar regularmente as lógicas de segurança. A dificuldade em gerir estes ecossistemas reflete-se na procura do mercado corporativo, que durante o ano de 2025 procurou sobretudo serviços de avaliação técnica e de desenvolvimento estrutural para garantir que os sistemas estão realmente a identificar as ameaças corretas.
Nenhum comentário
Seja o primeiro!