Em muitas circunstâncias, a equipe de segurança não é quem toma todas as decisões, e não é uma boa prática que a equipe de segurança avalie situações de baixo risco, entre em contato com a empresa para consultar seu ponto de vista e com base nisso faça a decisão, mas geralmente é conveniente estabelecer mecanismos automatizados para coletar o ponto de vista do negócio e tomar uma decisão automatizada com base no que o negócio considera.
Vejamos um exemplo.
Se um ataque a uma vulnerabilidade crítica de aplicativo estiver sendo detectado, não perguntaremos à empresa se eles desejam permitir ou não, apenas o bloquearemos.
No entanto, se detectarmos um comportamento anômalo associado a um grupo de endereços IP, como um alto número de solicitações detectadas por uma regra baseada em taxa no AWS WAF, que afeta apenas uma carga maior para o aplicativo, podemos oferecer suporte sem colocar em risco a estabilidade do mesmo … poderíamos enriquecer as informações adicionando os nomes dos usuários autenticados associados aos referidos endereços IP, e enviar um e-mail para a empresa indicando os dados do achado, explicando a situação, e tomar a decisão de permitir que o tráfego continue ou bloquear com base em seus critérios (por exemplo, indicadores de fraude podem ser levados em consideração nesses usuários, como a data de criação, ou o número de transações bem-sucedidas no passado, ou o uso de dados de contato de baixa reputação).
Desta forma, cuidamos do recurso mais escasso da equipa de segurança, o seu pessoal qualificado, permitindo-lhes assumir funções menos operacionais e mais estratégicas.