Como estão suas capacidades de detecção e resposta a incidentes?

Cada vez mais empresas brasileiras estão passando a investir em segurança da informação, no entanto, é comum encontrarmos organizações investindo nos controles “errados”, que basicamente não trarão a proteção necessária ao ambiente e acrescentarão bem pouco às suas capacidades de detecção e resposta a incidentes.

Muito além de investir em soluções de segurança como firewalls e antivírus, é preciso adotar uma abordagem proativa da cibersegurança, algo que, muitas vezes, acaba sendo ignorado por ser considerado caro ou difícil demais.

Uma abordagem proativa é essencial para lidar com o atual cenário de ameaças, povoado por ameaças persistentes avançadas e uma série de ameaças cada vez mais populares, que saem barato para os cibercriminosos, mas custam muito às empresas – caso, por exemplo, dos ataques de ransomware e DDoS, os quais podem ser executados por meio de kits facilmente encontrados no mercado negro.

Uma abordagem proativa da cibersegurança exige um investimento significativo em pessoas, inteligência, tecnologia e analytics.

No Brasil

No Brasil, essas áreas ainda recebem pouca atenção porque ainda são encaradas como um custo a ser mitigado, não como um investimento.

Felizmente, aos poucos esse cenário esse cenário está mudando, porém, as empresas que querem aumentar sua capacidade de detecção e resposta a incidentes por meio de uma abordagem proativa ainda têm dificuldades para garantir que seu investimento tenha alto retorno.

Uma opção possível para as empresas é recorrer aos Serviços Gerenciados de Segurança (MSS), que garantem as operações essenciais para o funcionamento do negócio.

Os serviços de MSS incluem monitoramento 24 x 7, algo que aumenta consideravelmente as capacidades de detecção e resposta a incidentes, pois reduz o tempo necessário para identificar um incidente.

O serviço também pode incluir security analytics e uma série de outras ferramentas capazes de oferecer à empresa uma boa capacidade de detecção e resposta a incidentes.

Construir essa capacidade identificar e responder incidentes é essencial para evitar o impacto negativo dos ataques cibernéticos no negócio.

Independente do modo como sua empresa espera desenvolvê-las, seja por meio de um MSS, internamente, ou por meio de uma abordagem mista, uma consultoria em segurança pode fazer a diferença para ajudá-lo a entender do que sua empresa precisa para atingir esse objetivo.

Conheça algumas perguntas que você deve fazer ao seu negócio:

Quais dados sua equipe de TI usa para detectar e investigar incidentes?

Se ocorrer um incidente de segurança em sua empresa hoje, os dados coletados por sua equipe serão capazes de oferecer as respostas necessárias envolvendo a violação?

Por exemplo: o que aconteceu? Quem fez isso? Quais são as consequências do ataque? Isso pode acontecer de novo?

Logs, dados de captura e metadados são importantes, mas não suficientes.

É preciso contar com, pelo menos, três tipos adicionais de dados para obter as respostas que os executivos precisarão para tomar decisões assertivas nos casos de ataque: dados do Active Directory, DHCP ou DNS.

Também serão necessárias informações forenses do sistema violado para ver se ele mostra algum sinal de ataque.

Dados da segurança física também vão ajudar, oferecendo informações contextuais adicionais, indicando, por exemplo, a entrada de uma pessoa estranha no escritório.

Se sua empresa já está se preparando para a Internet das Coisas – segundo previsão do IDC, o mercado de IoT deve chegar a US$ 16 bilhões em 2020 na América Latina –, saiba que os dados de sensores também serão fontes importantes para obter informações importantes no caso de incidentes.

Os dados certos são essenciais para melhorar o tempo de resposta a incidentes, permitindo que a empresa tome decisões rápidas e assertivas para resolver o problema.

Você analisa os seus dados para melhorar sua estratégia de segurança?

Muitas empresas dependem de soluções de Gerenciamento e Gestão de Correlação de Eventos de Segurança (SIEM) para armazenar e obter analytics em tempo real.

Esse é o seu caso? Isso é suficiente para obter insights de atividades em períodos específicos de tempo, porém, a maioria dos ataques é bem mais “subjetiva” que isso, costumando levar semanas e até meses.

A maioria das soluções de SIEM não tem habilidade de considerar dados de períodos de tempo maiores e, muitas vezes, a variedade de dados suportada também deixa a desejar.

Isso é essencial para obter insights mais ricos do cibercriminoso, como sua identidade, suas atividades maliciosas e o modo de remediá-las.

Plataformas mais modernas, como as ferramentas da Splunk, permitem às empresas superar as limitações das soluções tradicionais de SIEM e oferecer às empresas a possibilidade de lidar com as demandas de volume, velocidade e variedade de dados.

No caso das ferramentas Splunk, as empresas podem ainda obter estatísticas sofisticadas por meio de uma poderosa ferramenta de busca.

Algumas plataformas incluem ainda a tecnologia de aprendizado de máquina, que conta com a capacidade de estabelecer o que seria uma rede “normal” e buscar padrões que ajudem a identificar similaridades e padrões que possam corresponder a ameaças.

Esse tipo de analytics avançado, ajuda as empresas a automatizarem mais tarefas relacionadas à detecção, melhorando a operacionalidade do monitoramento e o tempo de resposta a incidentes, já que as equipes disporão de dados muito mais ricos.

Você mede suas habilidades de detecção e resposta a incidentes?

A métrica mais comum para medir o sucesso da sua estratégia de detecção e resposta a incidentes é o tempo necessário para responder a um ataque ou o número de alertas.

Isso, no entanto, pode acabar resultando em um grande número de falsos positivos.

Quando o objetivo é adotar uma abordagem proativa de detecção e resposta a incidentes, o foco deve ser precisão.

É preciso ter certeza de que sua equipe está focada nas ameaças mais sérias e está tomando as melhores medidas para remediá-las.

Por isso, muito além de contar eventos de segurança, é preciso focar também em uma análise pós-incidente para identificar quais áreas precisam melhorar.

Assim, sua empresa pode identificar quais são as habilidades necessárias para tornar sua estratégia de detecção e resposta a incidentes mais proativa.

Para entregar dados precisos de inteligência e resposta, é necessário:

  • uma equipe de profissionais com boas habilidades técnicas para usar as tecnologias;
  • boa capacidade de resolução de problemas para determinar o que acontece, mesmo que com poucos dados disponíveis;
  • comunicação com o usuário final e capacidade de colaboração para incorporar diferentes perspectivas.

Sua equipe de segurança conta com profissionais que tem uma ou mais características que citamos acima? Ótimo!

Agora, basta apenas se certificar de que cada membro da sua equipe conte também com experiência e um bom entendimento do negócio para priorizar incidentes e fazer recomendações que levem em conta os processos de negócio e as operações críticas da empresa.

Não importa se sua empresa vai optar por manter a responsabilidade sobre a detecção e a resposta a incidentes internamente ou se vai terceirizar essa tarefa a alguma empresa de cibersegurança, uma abordagem proativa é essencial para lidar com o atual cenário de ameaças.

Ao fazer essas perguntas sobre o funcionamento dos seus processos de segurança, você poderá entender o que é necessário para detectar e responder, de maneira proativa, a ataques complexos e maliciosos.

O que é Big Data?