Você nunca
verá uma alerta de sua ferramenta de Informação de Segurança e Administração de
Eventos (SIEM, por suas siglas em inglês) para um ataque de tipo “zero-day”.
Não há nenhuma assinatura em sua lista negra de malware que tenha sido feita
sob medida para sua organização e que secretamente haja colonizado seu servidor
de mail. Não há indicador, não há coincidência de padrão, não há alerta.
Por que é
este o caso? Porque o malware está em constante mudança e porque as mentes
sofisticadas e dedicadas destes hackers de “chapéus pretos” estão trabalhando
noite e dia para desenhar uma brecha de dados especificamente desenvolvida para
cada organização que decida invadir. Quando houver o ataque, será a primeira
vez que a sua assinatura é vista.
Esta é a
razão pela qual algumas agências de investigação nacional e líderes de
segurança informática corporativa estão chamando equipes de segurança para
começar a operar sob a presunção de que já se encontram comprometidos. De fato,
a próxima grande ameaça pode ser que venha de dentro de sua organização, usando
credenciais válidas e filtradas. Nesta nova realidade, inclusive os enfoques de
defesa do perímetro mais rigoroso, apenas solucionam parte do problema.
Caça proativa de ameaças com Analytics e
Forensics
Os shows de
televisão como CSI e A Equipe Forense ilustram o que muitos investigadores de
aplicação da lei conhecem como “O princípio de Locard,” que disse que todo
contato deixa um rasto. O mesmo pode ser aplicado à segurança da rede, já que o
perpetrador de qualquer crime sempre deixa algo atrás indicando sua presença. O
objetivo é encontrar evidência da atividade do ataque antes que a fase inicial
do mesmo haja sido completada e enquanto a evidência potencial possa ser
capturada dos dados voláteis nos dispositivos afetados. Usar uma ferramenta
como EnCase® Cybersecurity,que pode preservar dados para uma
análise forense, também assegurará que não houve adulteração, caso se necessite
entregar às autoridades legais.
O objetivo
prioritário de qualquer tipo de ameaça, já seja que essa ameaça venha de
espionagem corporativa mediante um agente interno malicioso ou um externo da
organização, sempre serão dados sensíveis. Como os dados sensíveis (ou cópias
errantes do mesmo) estão amiúde armazenados em dispositivos, como ser laptops
de empregados e servidores de dados, imediatamente fica aparente que a falta de
visibilidade dentro da atividade de dispositivos é uma das maiores
vulnerabilidades de muitas corporações e agências de governo.
Linhas de Base e Anomalias: Como Endpoint
Analytics pode fortalecer a segurança
Criar e
atualizar regularmente as linhas de base da atividade do servidor e os
dispositivos fornece informação às equipes de segurança com um ponto de partida
para identificar e alertar anomalias. Há um valor gigantesco ao agregar todos
os dados, processos e outras atividades ocorrendo em centenas de laptops e
servidores em qualquer momento e criar linhas de base de comportamento
“normal”. Ao comparar-se com as linhas de base, qualquer desvio estatístico
significativo do comportamento normal pode ser una brecha potencial no
progresso e EnCase® Analytics pode mostrar-lhe ditos desvios em
um painel visual, sem necessidade de especialistas no tema..
Essa
inteligência pode permitir uma rápida detecção e toma de decisões no transcurso
de um ataque no qual cada segundo conta. A reportagem de anomalias oferece a
oportunidade para uma olhada prematura a algo incomum, ou fora de norma,
ocorrendo dentro de seu entorno e dessa forma contribuir para detectar uma
intrusão em suas etapas iniciais. Você pode encontrar mais sobre EnCase Analytics aqui. Comentários e sugestões sobre
como você está lutando contra os “chapéus pretos”, serão bem-vindos.
Sam Maccherolaé o Vice-Presidente e
Administrador Geral da região EMEA/APAC para Guidance Software e reside no
Reino Unido. Leia o artigo original em inglês aqui.
RELACIONADOS
A Infraestrutura da Cibersegurança: Identificação, Colaboração e Defesa Proativa
Grupo de LinkedIn: Usuários do EnCase - Português
No comments :
Post a Comment