Defesa interna: Cibersegurança com uma visão interna. Devido ao perigo, as organizações estão fortalecendo suas defesas contra ataques cibernéticos de fora. No entanto, muitas vezes se esquecem de olhar para dentro. As novas tecnologias ajudam a impedir os invasores que já estão na rede.
Para os cibercriminosos, a crise da coroa e suas consequências significam uma corrida do ouro - nunca antes muitas empresas estiveram tão vulneráveis quanto hoje. No entanto, a segurança de TI está se recuperando lentamente para proteger o aumento da superfície de ataque causada por funcionários distribuídos - e aumenta as barreiras de segurança em torno da empresa e de seus funcionários que trabalham em casa. Muitas organizações ignoram o fato de que as soluções utilizadas são direcionadas apenas para fora e não para dentro - onde espreitam os perigos às vezes maiores.
Os extorsionários cibernéticos estão se tornando cada vez mais visados
A criptografia de dados de ransomware é um bom exemplo de ameaças externas. Eles são amplamente divulgados pelos invasores que usam o princípio do regador, e o sucesso dos criminosos tende a ser aleatório, dependendo de qual funcionário clicou em um e-mail de phishing. Mas mesmo que os dados tenham sido criptografados, as empresas podem usar ferramentas de descriptografia, recoveryware ou backups simples para neutralizar e recuperar os dados.
Em resposta, muitos extorsionários cibernéticos estão se tornando mais visados. Eles estão cada vez mais direcionando seus ataques a organizações cujos dados são considerados mais valiosos ou onde o potencial de danos à reputação é maior. Porque essas empresas estão mais dispostas a pagar um resgate - mesmo que seja pelo fato de os dados não se tornarem públicos. Para isso, os criminosos estudam as vítimas potenciais individualmente e em grande detalhe para poder avaliar com precisão o potencial para um ataque bem-sucedido. Em última análise, eles decidem quais organizações atacar com base nas expectativas de lucro. Essas novas ameaças muito mais direcionadas exigem uma resposta diferente dos ataques mais indiscriminados do ransomware.
Novas ameaças exigem respostas mais inteligentes
Do ponto de vista das operações de segurança de TI, grande parte do desafio na defesa contra cibercriminosos está na detecção e investigação de possíveis ataques usando Indicadores de comprometimento (IOCs). Estes podem ser endereços IP suspeitos e/ou na lista negra, URLs de phishing conhecidos e assinaturas de arquivos maliciosos. Idealmente, as ferramentas de segurança clássicas que usam esses IOCs, como detecção de intrusão, firewalls e segurança de endpoint, evitam que as organizações sejam vítimas de um ataque bem-sucedido antes delas.
Ferramentas clássicas para ataques clássicos
Essa abordagem pode funcionar para ransomware, em que os dados são criptografados imediatamente após um ataque bem-sucedido. Com ataques direcionados, os criminosos precisam procurar na rede por um tempo para encontrar os dados certos que valem a pena roubar. As empresas podem ter petabytes de dados armazenados em muitos lugares diferentes. Para obter esses dados valiosos, os criminosos precisam investir muito mais tempo e esforço. No entanto, as ferramentas de segurança voltadas para fora não podem detectar usuários internos comprometidos porque, à primeira vista, eles são completamente legítimos na rede. Para detectar ataques nesta fase, as organizações precisam de outras ferramentas de segurança. E como os criminosos às vezes podem permanecer na rede por muito tempo, é importante detectá-los o mais cedo possível, antes que possam causar mais danos.
O fator tempo oferece uma vantagem à segurança de TI
Egon Kando é vice-presidente de vendas da Europa Central, Sul e Leste da Exabeam (Foto: Exabeam).
Às vezes, os criminosos podem passar meses ou até anos dentro de uma infraestrutura, fazendo de tudo para não serem detectados enquanto percorrem a cadeia de defesa até as joias da coroa dos dados da empresa. No entanto, isso também oferece pequenas vantagens à defesa: por um lado, eles têm mais tempo para procurar os invasores em comparação com o ransomware - e, por outro lado, os criminosos deixam rastros à medida que se movem na rede.
A segurança de TI pode usar essas oportunidades para evitar que coisas piores aconteçam – desde que tenha as ferramentas necessárias para direcionar a visão de segurança para dentro. Como os IOCs são invariavelmente voltados para fora, tornando-os inúteis para detectar invasores que já estão na rede.
SIEM e UEBA: A defesa central eficaz
As soluções de SIEM (Gerenciamento de Informações e Eventos de Segurança) compilam logs de várias fontes e os analisam em busca de comportamento de rede normal e suspeito. A última geração de SIEMs é baseada em UEBA (User Entity Behavior Analytics), que se baseia em algoritmos de aprendizado de máquina e monitora continuamente o comportamento de usuários e dispositivos na rede. Por exemplo, quando arquivos incomuns são acessados ou aplicativos visíveis estão em execução. Essa análise de dados de log de rede deve ser automatizada porque simplesmente há muito para as equipes de segurança examinarem manualmente de forma eficaz e em tempo real.
Encurtar as reações aos ataques
Entretanto, identificar comportamentos suspeitos é apenas parte do trabalho. Porque agora é necessário reagir o mais rápido possível para evitar danos iminentes ou limitá-los ao máximo. Para poder definir o alcance da reação, o incidente deve ser totalmente investigado. Isso inclui a criação de uma linha do tempo que mostra todas as atividades dos usuários e dispositivos envolvidos e avalia se são normais ou incomuns. Feito isso, a resposta pode ser planejada e implementada. As equipes de segurança de TI são suportadas por soluções SOAR (Security Orchestration, Automation and Response) para automatizar e orquestrar as medidas de defesa necessárias usando diversos produtos de segurança. O SOAR é, por assim dizer, o líbero da defesa, que reage aos ataques de forma direcionada o mais rápido possível após a detecção e análise.
Playbooks dedicados podem automatizar totalmente as mitigações, como isolar um host ou banir um endereço IP para limitar o impacto. Além de tempos de resposta mais rápidos, isso reduz o tempo médio de recuperação (MTTR) nos cenários críticos em que o tempo é essencial.
Nunca se sinta seguro
Mesmo que as soluções externas de defesa, como detecção de intrusão, firewalls e segurança de endpoint, não tenham soado o alarme, a segurança de TI nas empresas deve sempre esperar que os cibercriminosos estejam de alguma forma na rede - e os invasores estejam tentando rastreá-los proativamente. Para fazer isso, ele precisa de soluções de segurança voltadas para dentro.”
Saiba mais em Exabeam.com
Sobre a Exabeam Exabeam significa Smarter SIEM™. O Exabeam permite que as organizações detectem, investiguem e respondam a ataques cibernéticos com mais eficiência, para que suas equipes de segurança e ameaças internas possam trabalhar com mais eficiência. As organizações de segurança não precisam mais conviver com preços inflacionados, ataques distribuídos perdidos e ameaças desconhecidas ou investigações e contramedidas manuais. Com a Exabeam Security Management Platform, os analistas de segurança podem coletar dados de log ilimitados, usar análises comportamentais para detectar ataques e automatizar a resposta a incidentes, tanto no local quanto na nuvem. Exabeam Smart Timelines, sequências de comportamento de usuários e entidades criadas por meio de aprendizado de máquina, reduzem ainda mais o tempo e a especialização necessários para detectar táticas, técnicas e procedimentos de invasores. A Exabeam é financiada de forma privada pela Aspect Ventures, Cisco Investments, Icon Ventures, Lightspeed Venture Partners, Norwest Venture Partners, Sapphire Ventures e pelo conhecido investidor de segurança Shlomo Kramer. Mais informações estão disponíveis em www.exabeam.com. Siga a Exabeam no Facebook, Twitter, YouTube ou LinkedIn.