Sabemos que os malwares avançados têm recursos, expertise e persistência para comprometer uma organização a qualquer hora. Esses invasores entendem a natureza das tecnologias tradicionais de segurança e suas aplicações e exploram as brechas existentes entre elas. Incansavelmente, eles direcionam seus ataques para casa, frequentemente utilizando ferramentas que foram desenvolvidas para contornar a infraestrutura de segurança escolhida como alvo da ação. Depois que entram na rede, os malwares não medem esforços para passar despercebidos, usando tecnologias e métodos que resultem em indicadores de compromisso quase imperceptíveis e, dessa forma, conseguem concluir sua missão.
O desafio das equipes de proteção está ligado às tecnologias tradicionais de segurança que detectam apenas os indicadores de compromissos relevantes, como os conhecidos malwares e outras ameaças, porém não conseguem capturar ou analisar os mais “incomuns”. Além disso, essas tecnologias só são capazes de tomar uma decisão em um ponto simples. Se esse disparo único para bloquear a ameaça se perder, a maioria dos profissionais do time de TI não terá outras formas de continuar a monitorar os arquivos depois que os invasores se tornaram maliciosos. Eventualmente, esse ataque será percebido, mas se a empresa for como a maioria, demorará meses, ou até anos, para descobrir o ataque, segundo a pesquisa Verizon 2013 Data Breach Investigations Report. Nessa situação, restará à companhia chamar uma equipe jurídica para avaliar o que foi roubado ou destruído na ação.
Para retomar o controle contra essas invasões, as equipes de proteção necessitam de uma nova abordagem, centrada na ameaça, para reagir ao ataque de forma contínua – levando em consideração o antes, o durante e o depois– com visibilidade constante sobre os indicadores de compromisso e a segurança retrospectiva, para conter e barrar rapidamente o invasor e os danos causados. Entre os exemplos de atividades que podem indicar riscos estão as tentativas de se comunicar com um endereço de IP reconhecidamente malicioso (integrante de uma “lista negra”), acessando parte da rede, um dispositivo ou uma base de dados que nunca tenha sido feito antes; ou, até mesmo, criando um processo que não seria aplicado em circunstâncias normais. A ameaça pode estar ao analisar isoladamente cada uma dessas atividades e notar que não são eventos de detecção ou prevenção, mas que estão relacionados à inteligência de malwares.
Para garantir maior efetividade e identificar os indicadores de compromisso quando um invasor entrou na rede, é necessário adotar uma abordagem centrada em duas camadas, com ferramentas e processos que combinem as capacidades de trajetória, análise de big data e visualização.
Camada 1: Análise e resposta automatizadas
Identificar tecnologias que usem capacidades de trajetória para rastrear atividades no sistema, origem dos arquivos e ligações entre eles, e, então, alavancar a análise de big data para chegar à causa do problema. Quando combinadas, essas tecnologias podem destacar e apontar padrões sutis de comportamento e indicadores discretos, sugerindo que ocorreu um comprometimento ou invasão ao sistema. A habilidade de alertar e, automaticamente, entrar em ação pode acelerar o tempo de resposta e ajudar a evitar maiores danos.
Camada 2: Inteligência acionável
A visualização de tecnologias é importante para que a sequência de eventos seja entendida de forma rápida e para que seja evitado o comprometimento do sistema. Isso também permite aplicar o contexto baseado na expertise, perspectiva e conhecimento das atividades, instantaneamente, para determinar uma ação suspeita e identificar os indicadores de compromisso. Se ele for localizado, é possível observar o que está acontecendo, avaliar eventos já ocorridos e controlar movimentações de risco. Se uma violação ocorrer, é possível barrar e solucionar o ataque por meio da localização do ponto de origem e entendimento do alcance da exposição.
Os invasores se baseiam no fato de que as equipes de proteção estão focadas em tecnologias isoladas de detecção e prevenção para procurar e remover ameaças. Como resultado, eles utilizam sinais sutis para criar indicadores de compromisso quase imperceptíveis que os fazem escapar dos radares de proteção. Já que detecção e prevenção são essenciais para qualquer estratégia de defesa, as equipes também precisam de habilidade e rapidez para relacionar eventos e identificar as ameaças que escaparam das linhas de defesa. Com um olhar decisivo a partir da trajetória, análise de big data e visualização de capacidades, as equipes de proteção poderão melhorar seus radares, compreender os invasores e agir de forma mais assertiva.
Fonte: Tabajara, Marcos . "Segurança de TI exige nova postura das equipes de proteção - CIO." CIO - Gestão, estratégias e negócios em TI para líderes corporativos. http://cio.uol.com.br/opiniao/2013/08/01/seguranca-de-ti-exige-nova-postura-das-equipes-de-protecao/ (accessed August 1, 2013).
Nenhum comentário:
Postar um comentário
deixe aqui seu comentário