Todas as equipes SOC enfrentam sobrecarga cognitiva de tempos em tempos. Danika Nilson, caçadora de ameaças cibernéticas na Forescout Frontline, enfrentou isso durante um exercício de equipe vermelha/azul de uma semana de ‘defender o castelo’ (ou seja, proteger sua rede). Em um artigo relatando a experiência, ela descreve como o exercício acabou se tornando tão repetitivo que um dos funcionários mais antigos percebeu que estava monitorando cegamente seu próprio sistema em vez da rede do oponente.
Este foi um momento revelador para Nilson, pois ela percebeu como as exigências avassaladoras de seu trabalho às vezes a faziam esquecer de ‘monitorar a si mesma’. Ela escreve: “Ao contrário dos computadores, não podemos adicionar mais RAM ou conectar um disco rígido externo ao nosso cérebro”. Caçadores de ameaças como Nilson geralmente precisam analisar milhares de eventos de rede. Repetir isso diariamente aumenta, resultando em sobrecarga cognitiva. Isso pode levar à perda de foco, insegurança e síndrome do impostor, que não é uma situação ideal para o estado mental de ninguém, muito menos para o de um analista SOC.
Cérebros sobrecarregados não são bons soldados
A sobrecarga cognitiva é uma séria ameaça cibernética. Cérebros sobrecarregados não fazem bons soldados. Os caçadores de ameaças se dedicam ativamente a encontrar possíveis ameaças ocultas na rede da organização. Se eles não estiverem em um estado de espírito positivo e saudável, isso pode levar à infiltração de agentes mal-intencionados ou ameaças não detectadas na rede.
Vejamos o exemplo da BlackMatter, uma organização de ransomware como serviço (RaaS) que se concentra em vítimas individuais e na obtenção de suas credenciais corporativas. A BlackMatter se oferece para pagar até US$ 100.000 por informações sobre credenciais roubadas e ameaças internas, visando especificamente organizações que não implementaram protocolos de autenticação como MFA. Alguns ataques acontecem após extensa pesquisa de vítimas individuais e até envolvem cargas de ransomware personalizadas com base nesse conhecimento.
Digamos que um dos funcionários da organização visada, com intenção maliciosa ou uma necessidade desesperada de dinheiro rápido, observe que um caçador de ameaças tem dificuldade em se concentrar por causa de sua sobrecarga excessiva. O funcionário detalha suas observações e vende essas informações online. Eventualmente, um agente de ameaças da BlackMatter compra essas informações e as usa para invadir um dos dispositivos que caiu no radar do caçador de ameaças e aumenta os privilégios para acessar outros sistemas. Voilá, um invasor comprometeu a rede.
Tais possibilidades são infinitas e as organizações devem tomar os cuidados necessários para eliminar as vulnerabilidades causadas pela sobrecarga cognitiva.
Abordando a sobrecarga cognitiva e as vulnerabilidades resultantes
Aqui estão algumas medidas que as organizações podem tomar para lidar com a sobrecarga cognitiva em suas equipes de segurança cibernética:
-
Tenha uma divisão clara de funções e responsabilidades: apesar das repetidas violações de dados e ataques cibernéticos de alto nível que levam a enormes perdas monetárias, um número surpreendente de organizações não investe muito em suas equipes de segurança cibernética. A falta de pessoal pode fazer com que várias responsabilidades sejam gerenciadas por poucos, o que leva a um aumento de vulnerabilidades e à possibilidade de ataques cibernéticos. As organizações devem investir na criação de equipes de segurança cibernética completas que tenham pessoas especializadas para lidar com cada requisito.
-
Invista em uma solução SIEM: nem sempre é possível evitar a sobrecarga cognitiva. Um SIEM é um ótimo investimento a ser feito para tentar melhorar a saúde de sua equipe SOC. Uma boa solução de SIEM vem equipada com recursos SOAR estendidos que podem ajudar a monitorar e responder a incidentes que os analistas de SOC podem perder.
Para saber mais sobre como uma solução SIEM robusta como o Log360 pode ajudá-lo a eliminar vulnerabilidades causadas por sobrecarga cognitiva e levar a equipes SOC mais felizes e eficientes, inscreva-se para uma demonstração gratuita e personalizada com um especialista do produto.
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Anupama.