Os sistemas de saúde usam informações de segurança e sistemas de gerenciamento de eventos para gerenciar ameaças. Eles absorvem centenas de fontes e cada uma gera sinais, diz Hughes, acrescentando que a maioria desses sinais é ruído.
Entretanto, a triagem dos sinais exige a consciência de que, por exemplo, os enfermeiros que entram e saem 15 vezes por hora não são uma ameaça, diz Hughes.
Carter observa que a fadiga causada pela ansiedade também pode levar ao desligamento, ao estresse e à rotatividade dos analistas do SOC, e substituir esses analistas fatigados é caro e prejudicial às operações, acrescenta ela.
Com todos os endpoints e dispositivos médicos, bem como conexões com fornecedores, os SOCs de saúde também têm uma das superfícies de ataque mais amplas de qualquer setor, de acordo com Carter. Isso só aumenta a fadiga do analista.
Como o gerenciamento contínuo da exposição a ameaças muda a equação do SOC
A Estrutura de Gerenciamento Contínuo de Exposição a Ameaças permite que os sistemas de saúde adotem uma abordagem iterativa para combater ameaças cibernéticas. Isso permite que os SOCs compreendam e priorizem continuamente as ameaças e atuem de acordo com a exposição de uma organização, em vez de simplesmente detectar atividades, diz Carter.
“Os modelos SOC tradicionais geralmente se concentram fortemente no processamento reativo de alertas”, diz ela. “Apresente o CTEM a partir de uma abordagem mais estratégica e iterativa ajudando as organizações a avaliar, detectar, priorizar e validar continuamente as exposições e, em seguida, mobilizar a correção com base no risco do mundo real e na probabilidade de ataque.”
O CTEM permite que os SOCs se conectem a um “fluxo de trabalho de remediação mais amplo”, diz Hughes. Isso inclui gerenciamento de vulnerabilidades, operações de TI e fornecedores. Também cria um ciclo de feedback que consiste em “escopo, detecção, correção e medição”, diz ele.
“Sem este ciclo, os alertas acumulam-se e as mesmas vulnerabilidades aparecem nos relatórios de avaliação ano após ano”, acrescenta.
Classificação assistida por IA: apoiando analistas humanos, não substituindo-os
Um desafio importante na triagem de alertas é decidir se eles são provenientes do mesmo evento de segurança ou de eventos de segurança separados, diz Taule. Os agentes de IA ajudam os SOCs a “ingerir, correlacionar e desduplicar” esses sinais, diz Taule.
Além disso, os SOCs podem realizar triagem para alertar fluxos usando aprendizado de máquina antes que humanos se envolvam. Os SOCs podem “agrupar eventos relacionados, combinar padrões com comportamentos de ataque conhecidos, enriquecer alertas com contexto de informações sobre ativos e ameaças e avaliar a gravidade provável”, diz Hughes. Ele acrescenta que, com a IA, os analistas de segurança no SOC obtêm uma fila contextualizada em vez de enormes dados brutos.
Como as decisões de segurança nos cuidados de saúde têm consequências para a saúde dos pacientes, essa responsabilidade deve recair sobre os analistas humanos, enfatiza Hughes.
“A IA detecta o sinal; os analistas fazem a ligação”, diz ele.
Com a IA, as equipes SOC podem contextualizar grandes volumes de telemetria mais rapidamente do que os humanos, diz Carter. E com a falta de pessoal nas equipes de SOC, a IA pode ajudar a melhorar a eficiência operacional e reduzir análises manuais repetitivas, diz ela.
Clique no banner abaixo registrar Tecnologia em Saúdeboletim semanal de.
