🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Por Rich Perkins, Engenheiro Principal de Vendas, Prophet Security
Seus gastos com segurança praticamente dobraram em seis anos. Seu tempo para investigar e responder não mudou. Seu CFO está perguntando por que o número de funcionários de segurança continua crescendo, enquanto as métricas importantes para o negócio não.
A arquitetura do seu SOC é o motivo. Não é sua equipe. Não é o seu investimento em ferramentas. Não é o seu funil de contratação. O modelo operacional que seu programa herdou presumia uma triagem de alertas orientada por humanos no volume que a empresa produzia há cinco anos, e a empresa parou de produzir alertas nesse volume há muito tempo.
Este é um artigo sobre por que contratar mais analistas não preencherá a lacuna, o que muda quando você corrige o modelo e as limitações e questões específicas que devem moldar qualquer avaliação do AI SOC. Inclui um diagnóstico de quatro perguntas que você pode executar em seu próprio programa no tempo que leva para terminar um café.
A matemática que a indústria não quer admitir
O recente relatório M-Trends do Google Mandiant estima o tempo médio de permanência global em 14 dias. O mesmo relatório descobriu que, em 2025, a janela de “transferência” entre o acesso inicial e a transferência subsequente para o grupo de ameaça secundário caiu para apenas 22 segundos, uma queda de 95% em relação às 8 horas de 2022. O relatório de Ameaças Globais de 2026 da Crowdstrike revelou tendências semelhantes, com o tempo médio de interrupção caindo para 29 minutos, desde o acesso inicial até a exfiltração.
A pesquisa mais recente da IBM sobre o custo de uma violação de dados estima o tempo médio para identificar e conter uma violação em 2025 em 241 dias, com um custo médio de US$ 4,88 milhões. Isso representa uma queda de 16% em relação a 2020, quando o tempo para identificar e conter uma violação era de 281 dias. Esses números não melhoraram ao ritmo que os gastos com segurança sugeririam, apesar de os gastos terem praticamente duplicado em cinco anos, nem acompanharam a janela mais curta de “ruptura” ou “transferência”.
Isso não tem como objetivo assustar os defensores e fazê-los perseguir o próximo hype. É a realidade operacional. Entra dinheiro, entra complexidade, mas a curva da detecção à investigação e contenção quase não se move.
As equipes do SOC já realizaram os movimentos óbvios de eficiência. Eles classificam a severidade. Eles fecham automaticamente classes de alerta benignas conhecidas. Eles suprimem regras de detecção de ruído. Eles sintonizam. Eles encaminham. Esse não é o problema.
O problema é que mesmo depois de todo esse trabalho, o volume que chega aos humanos para investigação real ainda excede o que os humanos podem investigar na profundidade necessária. Escrevemos um e-book completo sobre como a fila SOC é uma violação, que você pode baixar aqui.
Nas implantações nas quais trabalhei, o volume pós-classificação que atinge a triagem humana normalmente fica na faixa de 120 a 150 alertas por dia. Com 20 minutos por investigação, incluindo documentação, isso equivale a 40 a 50 horas diárias de analista. Equipes SOC de 5 a 10 analistas podem cobrir o máximo dessa faixa durante o horário comercial, deixando o restante da fila para o próximo turno, no dia seguinte ou nunca.
Essa é a lacuna que não fecha com mais funcionários. Você não pode contratar analistas suficientes para investigar 100% do volume pós-tiering na profundidade que o trabalho exige. Você pode contratar o seu caminho para obter uma melhor cobertura nas margens. Você não pode contratar o seu caminho para a mudança de modelo.
A fila é a violação: por que os atrasos de alerta são a verdadeira falha de segurança
A maioria das violações não aciona um alerta de alta gravidade. Em vez disso, os primeiros sinais aparecem em um alerta de baixa gravidade que fica enterrado em uma fila que nenhum ser humano consegue eliminar.
Este e-book da Prophet Security explica por que o backlog de alertas é a verdadeira superfície de ataque e o que muda quando a IA investiga cada alerta.
Baixe o e-book
Um diagnóstico que você pode executar em seu próprio SOC
Antes de prosseguir, execute estas quatro perguntas em seu programa. Honestamente. As respostas mapeiam seus pontos cegos de capacidade SOC de maneira mais confiável do que qualquer argumento de venda de um fornecedor.
1. Qual porcentagem de alertas acima do limite de investigação definido sua equipe realmente investigou no último trimestre? Se for inferior a 90%, você tem uma lacuna de cobertura que esconde o risco real. A lacuna existe devido à forma como o trabalho flui, não porque alguém esteja deixando a bola cair. Mais funcionários não vão fechar isso.
2. Quantas regras de detecção sua equipe suprimiu nos últimos 12 meses sem um ticket de engenharia para substituir a cobertura? Suprimir regras barulhentas é um ajuste saudável. Suprimi-los sem uma engenharia de acompanhamento para substituir o que eles estavam observando é dívida. Cada supressão não documentada é uma superfície de ataque que você parou de observar, e as ameaças para as quais essas regras foram projetadas não desaparecem porque você as desativou.
3. Qual foi a rotatividade de seu analista sênior no ano passado e quanto tempo cada substituição levou para atingir uma contribuição produtiva? Se a rotatividade ultrapassar 15% ou a rampa ultrapassar 6 meses, sua bancada está frágil. Você está a uma demissão do impacto operacional. Conhecimento tribal
Seus gastos com segurança praticamente dobraram em seis anos. Seu tempo para investigar e responder não mudou. Seu CFO está perguntando por que o número de funcionários de segurança continua crescendo, enquanto as métricas importantes para o negócio não.
A arquitetura do seu SOC é o motivo. Não é sua equipe. Não é o seu investimento em ferramentas. Não é o seu funil de contratação. O modelo operacional que seu programa herdou presumia uma triagem de alertas orientada por humanos no volume que a empresa produzia há cinco anos, e a empresa parou de produzir alertas nesse volume há muito tempo.
Este é um artigo sobre por que contratar mais analistas não preencherá a lacuna, o que muda quando você corrige o modelo e as limitações e questões específicas que devem moldar qualquer avaliação do AI SOC. Inclui um diagnóstico de quatro perguntas que você pode executar em seu próprio programa no tempo que leva para terminar um café.
A matemática que a indústria não quer admitir
O recente relatório M-Trends do Google Mandiant estima o tempo médio de permanência global em 14 dias. O mesmo relatório descobriu que, em 2025, a janela de “transferência” entre o acesso inicial e a transferência subsequente para o grupo de ameaça secundário caiu para apenas 22 segundos, uma queda de 95% em relação às 8 horas de 2022. O relatório de Ameaças Globais de 2026 da Crowdstrike revelou tendências semelhantes, com o tempo médio de interrupção caindo para 29 minutos, desde o acesso inicial até a exfiltração.
A pesquisa mais recente da IBM sobre o custo de uma violação de dados estima o tempo médio para identificar e conter uma violação em 2025 em 241 dias, com um custo médio de US$ 4,88 milhões. Isso representa uma queda de 16% em relação a 2020, quando o tempo para identificar e conter uma violação era de 281 dias. Esses números não melhoraram ao ritmo que os gastos com segurança sugeririam, apesar de os gastos terem praticamente duplicado em cinco anos, nem acompanharam a janela mais curta de “ruptura” ou “transferência”.
Isso não tem como objetivo assustar os defensores e fazê-los perseguir o próximo hype. É a realidade operacional. Entra dinheiro, entra complexidade, mas a curva da detecção à investigação e contenção quase não se move.
As equipes do SOC já realizaram os movimentos óbvios de eficiência. Eles classificam a severidade. Eles fecham automaticamente classes de alerta benignas conhecidas. Eles suprimem regras de detecção de ruído. Eles sintonizam. Eles encaminham. Esse não é o problema.
O problema é que mesmo depois de todo esse trabalho, o volume que chega aos humanos para investigação real ainda excede o que os humanos podem investigar na profundidade necessária. Escrevemos um e-book completo sobre como a fila SOC é uma violação, que você pode baixar aqui.
Nas implantações nas quais trabalhei, o volume pós-classificação que atinge a triagem humana normalmente fica na faixa de 120 a 150 alertas por dia. Com 20 minutos por investigação, incluindo documentação, isso equivale a 40 a 50 horas diárias de analista. Equipes SOC de 5 a 10 analistas podem cobrir o máximo dessa faixa durante o horário comercial, deixando o restante da fila para o próximo turno, no dia seguinte ou nunca.
Essa é a lacuna que não fecha com mais funcionários. Você não pode contratar analistas suficientes para investigar 100% do volume pós-tiering na profundidade que o trabalho exige. Você pode contratar o seu caminho para obter uma melhor cobertura nas margens. Você não pode contratar o seu caminho para a mudança de modelo.
A fila é a violação: por que os atrasos de alerta são a verdadeira falha de segurança
A maioria das violações não aciona um alerta de alta gravidade. Em vez disso, os primeiros sinais aparecem em um alerta de baixa gravidade que fica enterrado em uma fila que nenhum ser humano consegue eliminar.
Este e-book da Prophet Security explica por que o backlog de alertas é a verdadeira superfície de ataque e o que muda quando a IA investiga cada alerta.
Baixe o e-book
Um diagnóstico que você pode executar em seu próprio SOC
Antes de prosseguir, execute estas quatro perguntas em seu programa. Honestamente. As respostas mapeiam seus pontos cegos de capacidade SOC de maneira mais confiável do que qualquer argumento de venda de um fornecedor.
1. Qual porcentagem de alertas acima do limite de investigação definido sua equipe realmente investigou no último trimestre? Se for inferior a 90%, você tem uma lacuna de cobertura que esconde o risco real. A lacuna existe devido à forma como o trabalho flui, não porque alguém esteja deixando a bola cair. Mais funcionários não vão fechar isso.
2. Quantas regras de detecção sua equipe suprimiu nos últimos 12 meses sem um ticket de engenharia para substituir a cobertura? Suprimir regras barulhentas é um ajuste saudável. Suprimi-los sem uma engenharia de acompanhamento para substituir o que eles estavam observando é dívida. Cada supressão não documentada é uma superfície de ataque que você parou de observar, e as ameaças para as quais essas regras foram projetadas não desaparecem porque você as desativou.
3. Qual foi a rotatividade de seu analista sênior no ano passado e quanto tempo cada substituição levou para atingir uma contribuição produtiva? Se a rotatividade ultrapassar 15% ou a rampa ultrapassar 6 meses, sua bancada está frágil. Você está a uma demissão do impacto operacional. Conhecimento tribal
#samirnews #samir #news #boletimtec #por #que #mais #analistas #não #resolverão #o #problema #de #alerta #do #seu #soc
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário