Parceiro em destaque: Integração Threat Stack e Squadcast simplifica alertas com maior contexto
O Threat Stack agora é F5 Distributed Cloud App Infrastructure Protection (AIP). Comece a usar o Distributed Cloud AIP com sua equipe hoje mesmo .
Esta é uma colaboração de postagem de convidado entre Squadcast e Threat Stack
É comum que profissionais de segurança sejam inundados por alertas, especialmente porque os ambientes de nuvem continuam a crescer em ritmo acelerado. De fato, em uma pesquisa recente da SecOps , 83% dos profissionais relataram sofrer com fadiga de alerta. No entanto, o contexto é fundamental e, com as ferramentas e integrações certas, é fácil ajustar seus alertas para gerar insights mais inteligentes que ajudam você a tomar decisões mais informadas e agir mais rapidamente.
Na Threat Stack, reconhecemos o quão importante é fornecer os alertas mais significativos aos profissionais de segurança cibernética que trabalham para reduzir KPIs importantes, como MTTK (tempo médio para saber) e MTTR (tempo médio para responder). Por meio de parcerias como com a Squadcast , uma plataforma de resposta a incidentes (IR), podemos fornecer aos usuários da Squadcast as regras líderes do setor do Threat Stack, equipando-os com insights poderosos obtidos de riscos em tempo real e detecção de anomalias baseada em ML com contexto enriquecido. Também fazemos parcerias com os principais provedores de nuvem pública, como a AWS, para integrar perfeitamente ao seu ambiente de nuvem, eliminando o incômodo de alternar entre diferentes plataformas.
Com essas parcerias e integrações entre o Squadcast e o Threat Stack, os clientes podem agregar seus alertas em níveis de gravidade distintos para entender melhor o risco em seu ambiente.
Por que a observabilidade do Full Stack é importante
Qualquer pessoa familiarizada com infraestrutura de nuvem entenderá a necessidade de monitorar seus sistemas para identificar e responder aos riscos de perto. Os sistemas são alvos cada vez mais díspares, complexos e lucrativos para os cibercriminosos. Portanto, é essencial ter ferramentas que possam ajudar a monitorar, identificar e remediar problemas de forma rápida e ativa.
Por exemplo, uma empresa com infraestrutura na AWS pode usar ferramentas nativas como o AWS CloudWatch para fins básicos de monitoramento. No entanto, o monitoramento básico só vai até certo ponto, e as equipes de segurança devem aproveitar ferramentas dedicadas adicionais que forneçam observabilidade, ou seja, recursos avançados para monitoramento e maior visualização dos ambientes.
O Threat Stack permite a observabilidade completa da pilha coletando telemetria avançada de cargas de trabalho na nuvem, incluindo as camadas de infraestrutura e aplicativos, permitindo que as equipes de segurança descubram atividades suspeitas rapidamente.
O monitoramento avançado permite alertas de segurança ricos em contexto
Abordar rapidamente incidentes de segurança e conformidade é essencial para o sucesso dos negócios SaaS modernos de hoje. Se um site ou serviço ficar inativo por um minuto, isso pode causar perda significativa de receita, danos à reputação da marca e desconfiança entre os clientes.
É aqui que entra em jogo a combinação de plataformas modernas de IR, como o Squadcast, e a observabilidade do Threat Stack. Em caso de incidente, eventos detalhados do Threat Stack podem ser encaminhados aos respectivos usuários via Squadcast.
Quando o Threat Stack detecta um risco de segurança e/ou anomalia, ele atua como fonte de alerta e o envia ao Squadcast. Aproveitando as melhores práticas de Engenharia de Confiabilidade do Site (SRE), o Squadcast agrega e encaminha esses alertas para o engenheiro de plantão. No entanto, as equipes de SRE e Segurança só agem depois que tais incidentes são relatados.
Pode haver várias equipes responsáveis por diferentes componentes da infraestrutura. E como o Squadcast se integra nativamente com várias ferramentas de monitoramento de desempenho de aplicativos (APM)/registro e rastreamento de erros, ele pode notificar a equipe apropriada roteando alertas de forma inteligente e ajudando-os a colaborar em tempo real para lidar com incidentes no Squadcast.
Combinando o poder do Squadcast e do Threat Stack
Para entender completamente a profundidade da integração do Squadcast + Threat Stack , vamos pegar o exemplo anterior de um cliente cuja infraestrutura está na AWS. Nesse cenário, a Threat Stack Cloud Security Platform® observa as diversas camadas de infraestruturas modernas para detectar uma ampla variedade de comportamentos em seu ambiente. Combinadas com o AWS CloudWatch, essas soluções permitem o monitoramento da pilha de infraestrutura/aplicativos e rastreiam Indicadores de Nível de Serviço (SLIs) e Objetivos de Nível de Serviço (SLOs). Se e quando um SLO for violado, alertas serão enviados para a plataforma Squadcast.
Simplificando, sempre que houver um alerta na plataforma Threat Stack, o Webhook configurado para o Squadcast será sinalizado e um incidente será criado. Da mesma forma, se o Threat Stack enviar mais de um alerta, a plataforma Squadcast pode organizar e agrupar alertas (desduplicação) , fornecendo contexto completo aos usuários que trabalham na resolução do incidente. Vamos explorar por que isso é benéfico.
Quatro benefícios da integração de plataformas de monitoramento em nuvem e resposta a incidentes
Tempo de recuperação mais rápido: O primeiro passo para o gerenciamento ideal de incidentes é adicionar contexto relevante aos incidentes à medida que eles são detectados. As cargas de incidentes que vão do Threat Stack para o Squadcast podem ter tags adicionadas para tornar os alertas mais ricos em contexto. Exemplos dessas tags são prioridade do incidente , gravidade do incidente , nome do ambiente , etc., que fornecem maior contexto para os engenheiros de segurança quando eles recebem um alerta, ajudando a iniciar uma resposta mais rápida ao incidente e, por fim, reduzindo o MTTR.
Maior transparência de incidentes: Como regra geral, maior transparência não só resulta em um melhor processo de gerenciamento e resposta a incidentes, mas, mais importante, aumenta a confiança entre os membros da equipe. Isso os ajuda a solucionar melhor o que deu errado antes de planejar as próximas etapas para resolver o problema.
Juntos, o Threat Stack e o Squadcast permitem uma abordagem holística ao gerenciamento de incidentes por meio de total transparência nos riscos e recursos de resposta em tempo real — tudo isso minimizando o atrito no ciclo de vida de resposta a incidentes. Da mesma forma, com melhor colaboração e transparência, a confiabilidade geral dos sistemas e serviços críticos de TI melhora significativamente.
Postmortems sem culpa: Muitos incidentes podem ser corrigidos rapidamente com ferramentas como automação de infraestrutura, runbooks, sinalizadores de recursos, controle de versão e entrega contínua para manter sua equipe informada com chatops e páginas de status . Embora benéficas para corrigir a situação em questão, essas ações não fornecem muito valor para ajudar as equipes de segurança a entender o que falhou e por quê. Mas entender isso é um passo crucial para evitar ocorrências semelhantes no futuro e garantir que as equipes desenvolvam uma cultura em torno de revisões post-mortem de incidentes sem culpa. Também deve ser observado que capacitá-los com uma maneira fácil e automatizada de capturar informações sobre incidentes e publicar o relatório final com listas de verificação e modelos reutilizáveis poderia tornar as reuniões post mortem de incidentes menos terríveis.
Insights de confiabilidade granular: O recurso de relatórios e análises do Squadcast revelará o desempenho da equipe no reconhecimento e resolução de alertas e ajudará a identificar áreas para melhoria. Ele pode ajudar as equipes a visualizar e analisar a distribuição de incidentes entre serviços por um período de tempo especificado e o status de cada serviço.
Com o número crescente de incidentes, muitos padrões surgirão para redobrar a atenção em problemas frequentes. Você pode fazer análises exploratórias de dados usando representações gráficas e entender mais sobre os incidentes passados. Esses dados também podem ser exportados por filtragem com base nas tags que os incidentes carregam, como tags de gravidade, fonte de alerta, status, data e hora, etc.
Concluindo, combinar o poder do Threat Stack e do Squadcast ajudará você a detectar e responder rapidamente aos riscos de segurança e conformidade em suas cargas de trabalho na nuvem, contribuindo enormemente para reduzir KPIs como MTTK e MTTR.
Se você estiver interessado em unificar essas duas ferramentas, as equipes de suporte do Squadcast e do Threat Stack estão disponíveis para ajudá-lo a alcançar o sucesso. Se você tiver outras práticas recomendadas para compartilhar ou quiser assistência com a configuração da integração do Threat Stack/Squadcast, sinta-se à vontade para entrar em contato com a Equipe de Suporte do Squadcast.
O Threat Stack agora é F5 Distributed Cloud App Infrastructure Protection (AIP). Comece a usar o Distributed Cloud AIP com sua equipe hoje mesmo .