Como as pequenas e médias empresas se beneficiam da detecção e resposta de rede

10. Setembro 2021
| Sem comentários

Compartilhar postagem

A avançada tecnologia anticrime cibernético que tem sido usada por grandes organizações há anos agora está ao alcance de empresas menores: Detecção e resposta de rede.

Proteger-se na atual tempestade de crimes cibernéticos é um desafio para pequenas e médias empresas, muitas vezes com orçamentos e recursos limitados. As ameaças estão evoluindo mais rapidamente do que as soluções de segurança cibernética existentes, e os pequenos departamentos de TI não conseguem acompanhar.

Ransomware pode atingir qualquer um

Os ataques de ransomware são onipresentes, mas o cenário de ameaças não para por aí: ameaças persistentes avançadas, ameaças internas e ataques à cadeia de suprimentos estão entre as muitas ameaças cotidianas. Os invasores usam as mesmas tecnologias de ponta dos fornecedores de segurança cibernética, como inteligência artificial (IA), criptografia e verificação de vulnerabilidades. Você se beneficia de um mercado negro maduro para malware e ransomware como serviço. Eles se beneficiam de uma superfície de ataque em constante expansão, que está crescendo devido à rápida adoção de soluções em nuvem, IoT e federação de identidade. Por exemplo, ataques recentes à cadeia de suprimentos, como os da Solarwinds e da Kaseya, parecem perfeitamente legítimos para as ferramentas de segurança tradicionais. Dispositivos IoT, dispositivos não gerenciados ou pessoais e máquinas virtuais ou contêineres esquecidos criam pontos cegos de segurança.

Recursos agrupados em um painel

Quando as pequenas empresas têm a sorte de ter analistas de segurança, esses recursos precisam consultar vários painéis para detectar e entender uma ameaça ou ataque complexo. Essas são as frases típicas que se ouvem dos responsáveis ​​pela segurança de TI em empresas menores: “Tenho plena consciência de que temos pontos cegos na rede e grandes lacunas em nossa arquitetura de segurança. Vemos apenas parte da rede e dos dispositivos”. Com tantas ferramentas de segurança por aí, eles não sabem como priorizar os alertas: "O que devo fazer primeiro e o que devo ignorar?" E ao responder a ameaças, eles precisam vasculhar manualmente diferentes sistemas e logs para chegar a um resultado significativo. "É tão ineficiente e leva muito tempo para investigar a causa raiz de um incidente de segurança."

Detecção de ameaças na rede

Uma coisa permaneceu a mesma ao longo dos anos: toda grande violação de segurança envolve tráfego de rede. Por exemplo, se os hackers quiserem roubar dados, eles precisam levar o saque para um local específico. Ataques recentes, como o ataque "Sunburst" na cadeia de suprimentos, só podem ser detectados (a) reconhecendo que algo está errado com o tráfego de rede e (b) sendo capaz de reagir imediatamente a essa atividade e interrompê-la.

Isso requer detecção e resposta automatizada na camada de rede, que poucas organizações, geralmente grandes empresas, implementaram hoje. O Gartner define Network Detection and Response (NDR) como soluções que "usam principalmente técnicas não baseadas em assinatura... para detectar tráfego suspeito em redes corporativas". De acordo com os analistas, as ferramentas NDR "analisam continuamente o tráfego bruto e/ou gravações de fluxos... para construir modelos que refletem o comportamento normal da rede", e o sistema emite alertas "quando detecta padrões de tráfego suspeitos". Outras funções importantes das soluções NDR são respostas automáticas ou manuais (consulte Gartner, “Market Guide for Network Detection and Response”, publicado em 11 de junho de 2020).

A solução NDR identifica ativos na rede

Em outras palavras, uma solução NDR identifica todos os ativos na rede, incluindo dispositivos IoT e dispositivos não gerenciados. Ele analisa metadados de rede completos e tráfego de rede - tráfego leste/oeste e norte/sul (ou seja, tráfego interno e tráfego cruzando o perímetro da rede). Usando sensores colocados na rede, ele monitora o tráfego, rastreia todos os metadados da rede e integra esses dados com logs de outras soluções de segurança existentes, como soluções de segurança de endpoint, EDR, firewall, SIEM e SOAR. Como o NDR funciona com cópias desses dados, nenhum agente ou outra alteração é necessária na rede.

Visão de 360 ​​graus da rede

Como resultado, as organizações obtêm uma visão de 360 ​​graus para entender as ameaças externas ou internas. Eles veem quando os dados saem de sua rede para um local suspeito no exterior. Eles percebem quando um PC acessa domínios ou URLs maliciosos. Você percebe quando o malware coloca cópias criptografadas de dados na rede. Eles notificam os analistas de segurança quando o servidor da Web da câmera IP é considerado vulnerável. E eles podem interromper e mitigar instantaneamente muitas dessas ameaças com recursos de resposta automatizada.

Thomas Krause, Diretor Regional DACH-NL da ForeNova Technologies (Imagem: ForeNova).

O NDR não é novo e já passou por algumas mudanças. Costumava ser chamado de NTA (Network Traffic Analysis) ou NTSA (Network Traffic Security Analysis). A abordagem agora amadureceu e tem um elemento de resposta mais sofisticado. No entanto, ainda é uma ferramenta bastante rara que agora é usada quase exclusivamente em empresas muito grandes. Por que é que?

Grandes quantidades de dados podem gerar falsos positivos

O ponto chave é que essas grandes empresas sabem exatamente o que está em jogo. Conscientes do risco existencial que seus negócios enfrentam e da superfície de ataque sem fim, eles simplesmente não estão dispostos a pagar qualquer preço por uma solução que realmente ajuda. Eles também fornecem qualquer mão de obra necessária para que os especialistas os executem. Um grande desafio é que as ferramentas NDR tendem a retornar muitos falsos positivos devido à grande quantidade de dados que examinam. Então, até agora, para financiar uma equipe para lidar com a onda de falsos positivos, se você quisesse se beneficiar do NDR, precisava de um orçamento substancial de segurança cibernética. Além disso, apenas grandes empresas estavam dispostas e aptas a lidar com esse dilúvio de falsos positivos.

Torne o NDR gerenciável e acessível para PMEs

Avanços recentes tornam o NDR mais gerenciável para empresas menores. Em poucas palavras, as sete inovações NDR a seguir são revolucionárias:

  • Inteligência Artificial: As ferramentas NDR tradicionais detectaram muitos desvios do comportamento da rede modelada. Mas nem todos representam ameaças reais.Na verdade, a maioria deles eram alarmes falsos. Foram necessários muitos especialistas para cuidar desses falsos alarmes. Usando inteligência artificial, as ferramentas modernas de NDR agora podem funcionar para pequenas e médias empresas, restringindo os alertas aos eventos que realmente precisam ser resolvidos automaticamente ou que precisam ser investigados por um especialista humano.
  • Aprendizado de máquina: o aprendizado de máquina de hoje pode modelar o comportamento normal do tráfego de rede com muito mais precisão do que as gerações anteriores. Diferentes algoritmos de aprendizado identificam e correlacionam centenas de fatores nos dados da rede, levando a modelos muito mais granulares.
  • Interface de usuário altamente visualizada: nada economiza mais tempo dos analistas de segurança do que uma interface de usuário limpa e visualizada. É muito mais fácil para você ter uma visão geral do que é importante e do que precisa ser feito. Além disso, é muito mais fácil para eles explicar à gerência o que aconteceu quando obtêm relatórios claros e visualizados.
  • Detecção automática de todos os ativos na rede: pontos cegos na rede são o ponto de entrada perfeito para hackers e malware. Você não pode proteger o que não pode ver. Com a ajuda da detecção automática, as ferramentas NDR modernas eliminam os pontos cegos desde o início e fornecem aos analistas de segurança informações em tempo real sobre a rede.
  • Integração com proteção de endpoint, firewall, SIEM, EDR e outras ferramentas: A integração funciona de duas maneiras. Por um lado, a agregação de arquivos de log de tecnologias de segurança existentes ajuda a modelar o estado normal. Por outro lado, pode acelerar a reação. Por exemplo, playbooks predefinidos podem automatizar uma quarentena imediata para um endpoint infectado ou a interrupção do tráfego de saída no firewall. Se você for hackeado, o tempo é essencial para mitigar os efeitos. E a integração com outros sistemas de segurança pode economizar tempo.
  • Investigação automatizada de incidentes e correlação de eventos: Um ataque sofisticado sempre consiste em uma cadeia de ataque complexa. Quando seu sistema é violado ou algo parece suspeito, os analistas de segurança precisam descobrir de onde vem a ameaça enquanto o tempo está passando. Com mecanismos de correlação modernos, eles podem rastrear facilmente qualquer evento de volta à sua causa raiz e fechar qualquer vulnerabilidade ou lacuna.
  • Medidas de resposta padrão: como os recursos de segurança de TI são limitados, o que é o caso de quase todas as pequenas e médias empresas, as empresas precisam automatizar ao máximo a resposta às ameaças. O uso de respostas padrão predefinidas, como colocar em quarentena recursos de rede infectados, pode mitigar ataques quase em tempo real. As ferramentas NDR podem definir playbooks que acionam várias ações ao mesmo tempo, desde e-mails e SMS para membros da equipe até redefinição de senhas e atualização de regras de firewall.

Graças aos recentes desenvolvimentos de NDR, muito mais pequenas empresas agora são capazes de detectar as ameaças cada vez mais sofisticadas em sua crescente superfície de ataque. As soluções NDR exigem menos recursos porque diferenciam entre ameaças reais e falsos positivos, priorizam ações e automatizam a correção de ameaças. Ainda é a tempestade perfeita lá fora, mas com a ajuda do NDR, as PMEs estão muito mais bem equipadas para se manterem.

Mais em ForeNova.com

 

Sobre a ForeNova

A ForeNova é uma especialista em segurança cibernética com sede nos EUA que oferece a empresas de médio porte Detecção e Resposta de Rede (NDR) acessíveis e abrangentes para mitigar com eficiência os danos causados ​​por ameaças cibernéticas e minimizar os riscos comerciais. A ForeNova opera o centro de dados para clientes europeus em Frankfurt a. M. e projeta todas as soluções compatíveis com GDPR. A sede europeia fica em Amsterdã.

 

Artigos relacionados ao tema

Segurança de TI: NIS-2 torna-o uma prioridade máxima

Apenas num quarto das empresas alemãs a gestão assume a responsabilidade pela segurança informática. Especialmente em empresas menores ➡ Leia mais

Os ataques cibernéticos aumentam 104 por cento em 2023

Uma empresa de segurança cibernética deu uma olhada no cenário de ameaças do ano passado. Os resultados fornecem informações cruciais sobre ➡ Leia mais

Spyware móvel representa uma ameaça para as empresas

Cada vez mais pessoas utilizam dispositivos móveis tanto no dia a dia como nas empresas. Isto também reduz o risco de “móveis ➡ Leia mais

A segurança crowdsourced identifica muitas vulnerabilidades

A segurança crowdsourced aumentou significativamente no último ano. No sector público, foram comunicadas 151% mais vulnerabilidades do que no ano anterior. ➡ Leia mais

Segurança digital: os consumidores são os que mais confiam nos bancos

Uma pesquisa de confiança digital mostrou que os bancos, a saúde e o governo são os que mais confiam nos consumidores. A mídia- ➡ Leia mais

Bolsa de empregos Darknet: Hackers estão procurando por insiders renegados

A Darknet não é apenas uma troca de bens ilegais, mas também um lugar onde os hackers procuram novos cúmplices ➡ Leia mais

Sistemas de energia solar – quão seguros são?

Um estudo examinou a segurança de TI de sistemas de energia solar. Os problemas incluem falta de criptografia durante a transferência de dados, senhas padrão e atualizações de firmware inseguras. tendência ➡ Leia mais

Nova onda de phishing: invasores usam Adobe InDesign

Atualmente há um aumento nos ataques de phishing que abusam do Adobe InDesign, um sistema de publicação de documentos bem conhecido e confiável. ➡ Leia mais

Stories
, , , , ,