Hoje em dia, muitas soluções são capazes de identificar ameaças potenciais e estabelecer uma gravidade relativa; no entanto, elas são muitas vezes limitadas a uma única fonte de conhecimento, o que significa que é necessário investigar cada caso individualmente, relacionado à violação de políticas individuais ou outra atividade suspeita. Esse processo além de ser demorado, também é caro e propenso a erros humanos em face do elevado volume de ameaças complexas nos dias de hoje.
Empresas Buscam Eficácia na Detecção e Mitigação de Ameaças
Como resultado, as empresas estão complementando as soluções antivírus (AV), detecção/ prevenção (IDS / IPS) de intrusão e segurança tradicional e sistemas de gerenciamento de eventos (SIEM) com plataformas detecção avançada de malware (AMD), feeds de inteligência de ameaças, e até mesmo soluções de "big -data-security". Quando estes produtos são eficazes na detecção de atividades suspeitas e ameaças, eles são muitas vezes, limitados em sua capacidade de impedir ocorrências de maiores impacto. Deficiências típicas incluem contexto insuficiente, capacidade de aplicação limitada , e/ ou falta de cobertura para sanar os problemas emergenciais.
Contexto insuficiente. As soluções existentes são muitas vezes limitadas a uma única fonte de informação, dependente de um evento, envolvendo uma questão de violação política individual ou outra atividade de forma suspeita. Nesses casos, muitas vezes não há informação contextual suficiente para verificar uma ameaça ou elevar a ameaça potencial para um maior grau de prioridade.
Capacidade de aplicação limitada. Muitas soluções de detecção de ameaças são projetadas somente para descobrir ameaças. Aqueles que podem ter capacidades de detecção e prevenção são muitas vezes, utilizados em modo "tap" ou "span" para minimizar as mudanças de arquitetura de rede ou o impacto no desempenho da rede, efetivamente, removendo-os da proteção embutida contra ameaças detectadas. Portanto, todas as medidas de contenção ou remediação exigem um processo demorado, manual.
Falta de cobertura. Mesmo se uma solução tiver um contexto suficiente e a capacidade para adotar uma resposta adequada, isso envolve uma terceira limitação do âmbito dessa resposta. Aí vem a pergunta: a solução pode impor contenção em mais de um tipo de dispositivo ou em vários locais? Quanto a intervenção manual, será necessário que a equipe de segurança venha re-configurar centenas de firewalls e proxies em um ambiente de rede geograficamente diversificada?
Capacitação para Lidar com os Riscos que Rondam as Organizações
Além das limitações da solução, as equipes de segurança de TI precisam ser muito bem treinadas para trabalhar com um ambiente de segurança complexo, o que significa que as necessidades de fluxo de trabalho devem ser distribuídas, adequadamente, para que haja um melhor resultado. Há uma lacuna na maioria das organizações, entre os sistemas de uma organização que trabalham com detecção de ameaças e os que trabalham com a aplicação da política de infra-estrutura e processos de execução. Se uma solução de resposta global está em vigor, as ameaças e os ataques podem ser gerenciados de forma rápida.
Além disso, há várias camadas para gerenciamento de ameaças de segurança que devem ser considerados antes de uma empresa poder se sentir confiante de que eles estejam preparadas para um ataque. As áreas-chave para a gestão de risco incluem:
1. Detecção de ameaças. O primeiro passo é saber da existência de um ataque ou sistema comprometido. Esta é a "fase de detecção" de gerenciamento de ameaças, o que é fundamental para qualquer plano de segurança de TI. Muitas ferramentas são desenvolvidas para "detectar e prevenir", mas muitas delas, realmente, só detectam a ameaça que os clientes optam por executá-las em modo de extensão ou geralmente por razões de performance da solução utilizada. Os processos de detecção aumentam o número de sinais de infecção, tais como ataques 0-day, ou outros comprometimentos no sistema, mas uma investigação mais aprofundada é muitas vezes necessária para validar a ameaça antes que a ação possa ser tomada.
2. Existência de medidas preventivas. Mesmo que você tenha detectado uma ameaça, você realmente poderia contê-las, usando as ferramentas existentes ou dispositivos de segurança? Lembre que a detecção não significa proteção, pois você apenas encontrou o problema; na sequência disso, vem a necessidade de identificar e eliminar essa ameaça. Além do mais, centenas de alertas podem ser recebidos semanalmente; mas existe uma maneira de verificar se as camadas de proteção existentes têm sido eficazes? A única maneira de saber essa resposta é mergulhar de forma mais profunda no contexto da ameaça em questão.
3. Sensibilidade ao contexto do incidente. Existem dois aspectos principais de contexto: internos e externos. O contexto interno inclui a compreensão do impacto potencial dos sistemas afetados, e a prioridade no que se refere a pessoas ou departamentos dentro de uma organização; o contexto externo inclui a compreensão dos vetores de infecção e sua origem, a partir de fontes externas.
Se um ataque atingiu sistemas internos, será que você pode confirmar se era o PC do CFO ou uma máquina de um outro setor da empresa? Puxando manualmente um utilizador ou indicadores de compromisso (COI) de dados a partir de cada um dos sistemas potencialmente infectados, pode ser necessário confirmar que ocorreu uma infecção. A rapidez com a qual as equipes de segurança podem construir esta imagem é um componente crítico de tempo de resposta.
4. Contenção. A partir do contexto de ameaça e riscos, os analistas de segurança podem certificar-se de fontes de dados sensíveis - pessoas ou departamentos inteiros são tratados com prioridade e recebem uma resposta elevada. As ações de proteção podem incluir comunicações limitantes, bloqueando IPs e domínios, segmento de rede , aumento de registro, exames adicionais e outros elementos similares. Um aspecto chave de contenção é impedir a exfiltração de dados, e ainda mais a comunicação com os servidores de controle e comando externo. Este passo fundamental muitas vezes, envolve a atualização de listas de bloqueio para dezenas se não centenas de dispositivos, muitas vezes de vários fornecedores.
Automatizar atualizações de aplicação oferece as melhores garantias. No entanto, se a atualização for feita manualmente, verifique se todas as atualizações necessárias para todos os dispositivos foram concluídas. Vale lembrar que só há um dispositivo out-of-date para permitir uma exfiltração adicional de propriedade intelectual, ou para permitir que a infecção se espalhe.
5. Confirmação. Em seguida está a questão de avaliar que a aplicação esteja em seu devido lugar. Estariam todos os dispositivos de aplicação realmente atualizados e fornecendo as devidas proteções? A segurança de TI deve manter uma trilha de auditoria de todas as respostas ao longo do tempo. Um ambiente de grande escala, assegurando-se da data de aplicação do processo e dos dispositivos recém-adicionados, pode estar sujeito a erro humano, se a trilha de auditoria for mantida manualmente e as atualizações forem também realizadas manualmente. Lembre-se de que a aplicação está sujeita a prioridades influenciadas pelo contexto interno e externo. Isso significa que, depois dos sistemas internos de alta prioridade e redes estarem garantidos, pode haver uma nova rodada de análise e aplicação necessária para incidentes considerados com um nível de prioridade mais baixo.
6. Block List Management. Entenda a ordem de todos os objetos, regras e listas que existem no ambiente. Ambientes de rede de grande porte significam, muitas vezes, que grandes listas de execução e políticas potencialmente complexas nos ambientes organizacionais. Estas devem ser organizadas, compartilhadas com a equipe de segurança e de gerenciamento centralizado para limitar a duplicação de esforços e garantir uma segurança consistente. Ao responder a eventos de segurança frequentes ou complexos, a sua rede torna-se tão forte quanto o seu elo mais fraco; portanto, certifique-se de duplicar listas de verificação, regras e atualizações de objeto para garantir a consistência.
7. Teste tudo. Lembre-se que tudo deve ser testado mais de uma vez, para ter certeza que ambos os processos, manuais e de automação, estão devidamente no lugar. Lembre-se também que mesmo se você não testar, existem hackers em número mais do que suficientes e testadores de penetração habilitados para isso, para testar os seus sistemas para você. No mínimo, é necessário realizar um teste de conformidade e planejar testes de regressão maiores a cada trimestre, para garantir a segurança e afastar o quanto puder, o perigo proveniente das ameaças.
Saiba Mais:
[1] Net Security http://www.net-security.org/article.php?id=1892&p=3