Nas empresas, é sempre importante detectar ataques de hackers o mais cedo possível. Uma análise de comportamento ajuda a encurtar o "tempo de permanência" de ataques bem-sucedidos.
Os hacks costumam ser retratados em filmes como uma espécie de assalto a banco digital: os hackers rompem os mecanismos de proteção de seu alvo de maneira dramática e têm apenas alguns minutos para roubar os dados cobiçados, enquanto a segurança de TI tenta desesperadamente impedir os invasores. . A realidade é muito diferente, porque a maioria dos cibercriminosos realmente se sente em casa na rede e às vezes passa meses ou anos lá antes de serem descobertos. Se você tiver tanto tempo, é claro que pode causar muitos danos, e o tempo de permanência é um dos indicadores mais importantes ao analisar hacks bem-sucedidos para determinar a gravidade de um ataque. Em muitos casos, mesmo algumas horas de acesso podem comprometer uma quantidade significativa de dados.
Os invasores passam 56 dias no ambiente de destino antes da detecção
Em um relatório recente, o tempo médio global de permanência dos cibercriminosos antes da detecção foi de 56 dias. Esse valor foi significativamente melhor do que o do ano anterior, quando os invasores ainda tinham 78 dias antes de serem descobertos. Em alguns casos, no entanto, as violações não foram detectadas por vários anos, com sérias consequências para todos os envolvidos. Uma das razões pelas quais os ataques podem passar despercebidos por tanto tempo é a expansão crescente das redes da maioria das organizações. Quanto maiores, mais dispersas e desorganizadas essas redes se tornam, mais fácil é para os criminosos permanecerem ocultos. Uma vez lá, os invasores navegam na rede sem serem detectados, verificando e exfiltrando dados à medida que avançam. É claro que, para empresas que detêm dados confidenciais de clientes ou de pesquisas secretas, é um pesadelo imaginar que invasores possam permanecer sem serem detectados na rede por meses ou até anos. Numerosos exemplos mostram como esses vazamentos de dados duradouros são sérios para as empresas envolvidas.
O pesadelo da segurança de TI: invasores na rede não detectados por anos
Existem inúmeros exemplos de empresas que foram vítimas de hacks bem-sucedidos que custaram bilhões em danos. O provedor de serviços financeiros dos EUA Equifax, por exemplo, perdeu 2017% de seu valor no mercado de ações depois que um grande vazamento de dados se tornou conhecido em 35, teve que aceitar danos imensos à sua reputação e pagar mais de meio bilhão de dólares em multas. O caso da Cathay Pacific em 2018, no qual os dados de 9,4 milhões de passageiros foram comprometidos, também é lendário e quase inigualável em termos de tempo de permanência. A investigação da Cathay Pacific levou mais de seis meses para descobrir uma série de revelações chocantes: A primeira data conhecida de acesso não autorizado à rede foi há quase quatro anos, em outubro de 2014. Portanto, os invasores não foram detectados na rede por quatro anos completos! E como se isso não fosse embaraçoso o suficiente para a segurança de TI da Cathay Pacific, a vulnerabilidade pela qual os invasores haviam penetrado era fácil de explorar e, além disso, era de conhecimento público há muito tempo.
Ambos os casos servem como alertas do que pode acontecer na pior das hipóteses e como exemplo de que o dano pode ser limitado se a falha de segurança de TI for detectada o mais cedo possível. Há muito se reconhece que toda organização é vulnerável e é apenas uma questão de tempo até que ocorra uma violação de segurança. Isso levanta a questão de quais soluções e habilidades a segurança de TI precisa para poder detectar essas atividades maliciosas o mais cedo possível.
A análise de comportamento avançada fornece um sistema de alerta precoce muito melhor
Aparentemente, as habilidades e soluções usadas não estão em boa forma em muitas empresas quando os invasores têm em média dois meses para se sentirem confortáveis em um ambiente de destino. Quando se trata da tarefa de prevenir completamente os ataques ou reduzir seu tempo de permanência, muitas equipes de segurança estão em uma posição bastante perdida. Porque muitas soluções de segurança comuns produzem uma coisa acima de tudo: alarmes falsos. As equipes gastam muito tempo processando manualmente a enxurrada de alarmes. Isso deixa pouco ou nenhum tempo para se engajar no processo ainda mais longo de encontrar invasores que já conseguiram entrar na rede e eliminá-los.
Uma tecnologia significativamente mais eficaz do que a avaliação manual de alertas de segurança é a análise comportamental. Ele pode ajudar a identificar usuários suspeitos ou atividades de rede com mais eficiência. As soluções de análise de comportamento aproveitam os logs de incidentes de segurança pré-existentes, o que significa que já conhecem todo o escopo e o contexto dos detalhes do evento relacionado. Como resultado, os analistas de segurança não precisam mais examinar um grande número de logs de eventos para criar manualmente cronogramas de incidentes. Ao eliminar esse processo demorado, possíveis violações de segurança podem ser detectadas muito mais rapidamente, permitindo que as equipes de segurança rastreiem rapidamente os invasores e praticamente eliminando o tempo de permanência do invasor.
Conclusão: Analisar o comportamento de usuários e entidades detecta ameaças mais cedo
As regulamentações de privacidade modernas estão mais rígidas do que nunca, o que significa que as empresas simplesmente não podem mais ser complacentes com a segurança de dados. Mas como as redes agora são maiores e mais dispersas do que nunca, protegê-las com ferramentas de segurança tradicionais e análise manual tornou-se inútil. Novas tecnologias, como análise de comportamento avançada, eliminam o trabalho demorado que as ferramentas mais antigas exigiam, evitando falsos positivos e ajudando a detectar ameaças reais muito mais cedo.
[asterisco=17]