Como gerar melhores alarmes com sua ferramenta de analytics?

Você tem uma ferramenta de analytics, como as soluções da Splunk oferecidas pela PROOF, mas a grande quantidade de alertas diários está distraindo sua equipe e obrigando seus profissionais de segurança da informação a ignorá-los?

Há várias maneiras de transformar o “barulho” constante de sua ferramenta de analyitcs em um número reduzido de alertas que fazem sentido e merecem uma investigação mais detalhada. As ferramentas da Splunk, por exemplo, contêm uma série de comandos de busca para ajudar a detectar anomalias.

No início, os primeiros alertas serão resultado de buscas por erros. Por isso, de início, os administradores podem receber uma série de e-mails com os resultados encontrados.

Para reduzir a quantidade de alarmes, geralmente os profissionais optam por definir um número específico de vezes que um erro deve se repetir para que o sistema dispare um alerta. No início, essa tática pode dar certo, no entanto, em pouco tempo essa configuração não será o suficiente, tentando os profissionais de segurança a aumentar ainda mais a tolerância ao erro.

Essa tática não é eficaz porque não leva em consideração os momentos de pico de uso. Nos períodos em que há pouco uso, por exemplo, uma tolerância muito grande a erros pode fazer com que os profissionais fiquem na ignorância. Por outro lado, durante os picos, os alarmes podem ser frequentes demais.

Saiba como reduzir os alarmes sem afetar a visibilidade proporcionada pelas ferramentas de analytics:

Estude a rede

Para definir as melhores configurações para a ferramenta de analytics e evitar o barulho constante dos falsos alarmes, os profissionais de segurança da informação devem ter um profundo conhecimento da rede em seu estado normal. Só assim poderão determinar níveis de tolerância à incidência de diferentes erros e uma porcentagem segura em relação a todos os eventos de atividades registrados em um determinado período de tempo.

Aprendizado de máquina

Softwares com tecnologia de aprendizado de máquina, como o Splunk UBA, são capazes de analisar milhares de métricas e dados de log para identificar eventos anômalos e classificá-los de acordo com sua gravidade, raridade ou número de anomalias relacionadas.

Mesmo que seu ambiente já conte com uma solução de SIEM para monitorar o ambiente, uma solução de user behaviour analytics (UBA) pode ser um grande diferencial na hora de criar as regras para a geração de alertas, pois mostra à ferramenta o que deve ser procurado. Além disso, o UBA permite detectar e responder a comportamentos maliciosos que passam despercebidos pelo SIEM.

Como proteger contas privilegiadas durante desligamentos

Pense em todo o cuidado das empresas na hora de contratar um novo membro para seu time de executivos. São meses de considerações para garantir que o profissional seja uma pessoa responsável por meio de testes e entrevistas.

Pesquisar as referências de um funcionário antes de contratá-lo é uma prática comum, principalmente para profissionais que vão ocupar cargos que vão lidar com informações sensíveis, como dados de propriedade intelectual. É importante ter a mesma dedicação à segurança quando um executivo está saindo.

Proteja os ativos críticos

É preciso ter processos bem definidos para proteger a empresa quando os funcionários deixam a instituição, principalmente para proteger contas privilegiadas. Uma prática essencial é repassar os acordos de confidencialidade e propriedade intelectual com o funcionário antes de sua saída e exigir uma certificação de que todas as informações confidenciais em sua posse serão devolvidas ou destruídas.

Esses passos são extremamente importantes quando são os executivos que estão deixando a empresa, afinal, eles têm o controle de contas privilegiadas que têm acesso a mais informações sensíveis.

Quando um executivo está prestes a sair, o CEO deve tomar a liderança e trabalhar junto ao líder de segurança da informação e ao departamento jurídico. É preciso examinar e relembrar os acordos assinados na contratação e o executivo prestes a deixar a empresa deve garantir que não está em posse de informações confidenciais e que protegerá sua confidencialidade quando sair da organização.

Se o CEO for quem estiver de saída, o time de executivos deve se unir e designar um diretor para trabalhar junto ao líder de segurança e o departamento jurídico para dar prosseguimento aos mesmos passos citados anteriormente.

As empresas precisam se proteger para evitar que funcionários levem informações confidenciais com eles. É um risco grande demais para ser ignorado. Quando estamos falando de líderes de negócios, o risco é ainda maior.

Com Dark Reading

Processos de negócio ultrapassados podem matar sua segurança

Os controles fracos de segurança não são os únicos responsáveis pelos ataques que seus dados sofrem, processos de negócio legados e ultrapassados no dia a dia da sua empresa também influenciam a eficácia dos seus programas de segurança da informação.

Para identificar se sua empresa sofre desse mal, é importante executar uma auditoria completa de como o negócio opera. Isso inclui analisar cada função em andamento, uma prática cada vez mais comum, de acordo com o diretor de engenharia da PROOF, Leonardo Moreira. “No Brasil vemos que é uma tendência mapear as técnicas de negócio, de análise de negócio, para depois pensar em segurança”, explica. Assim, é possível dizer o que ela pode sofrer de ameaça nos próximos três anos, inclusive incidentes graves.

Indícios de que os processos de negócio vão mal

Muitas vezes, ainda que os processos tenham sido “automatizados”, seguem sendo desempenhados da mesma maneira que eram na época “do papel”. Ou seja, os métodos foram mantidos, a diferença é que tudo foi digitalizado.

Imagine, por exemplo, uma empresa que mantém diversas cópias dos dados de seus clientes em diferentes partes do ambiente corporativo. Isso certamente é resultado de um procedimento legado que exigiu que essas informações fossem replicadas e armazenadas em locais diversos, que, muitas vezes, não são bem protegidos.

Um bom processo de negócio ditaria que os dados fossem armazenados em um único local seguro e que os funcionários teriam acesso a eles de acordo com a necessidade, sem necessidade de replicá-los ou movê-los.

Evolua os procedimentos

A evolução dos processos é bastante vantajosa para a segurança da informação. Considere, por exemplo, a indústria de cartões de crédito. Enquanto algumas empresas continuam seguindo o que é determinado por procedimentos legados – que inclui um caminho de 16 passos até que o pagamento seja aprovado – algumas organizações, como a M-Pesa, do Quênia, reduziram consideravelmente o processo, diminuindo também os vetores de ataque. O novo processo é baseado no telefone e requer apenas a digitação da quantia que uma pessoa quer pagar, assim, nenhum dado sensível do usuário é pedido e, portanto, nenhuma informação pode ser comprometida durante o processo.

De nada adianta investir em controles caros de segurança se por trás não houver processos de negócio inteligentes. Por meio de uma análise baseada no negócio, as empresas podem descobrir que precisam gastar muito pouco para ter um programa de segurança efetivo.

Com Dark Reading

Como big data e analytics podem transformar a auditoria

Em períodos de crise a importância dos auditores no mercado financeiro se intensifica. Esses profissionais devem executar auditorias robustas para servir ao interesse público, focando continuamente na qualidade e na entrega de insights e valor aos usuários de serviços financeiros. Ao mesmo tempo, as empresas esperam ter um diálogo mais intenso com os auditores e insights mais relevantes.

A auditoria é uma das áreas que podem sofrer grandes transformações com as oportunidades oferecidas pelo big data e o business analytics. Recentes avanços de tecnologias de analytics estão impactando a maneira como auditoria é pensada e executada. A tendência é que essa prática se expanda para além dos limites dos testes baseados em amostras para incluir grandes volumes de dados mais relevantes (transações, dados de processos chave de negócios, entre outros) por meio de análises inteligentes para entregar uma maior quantidade de evidências e insights de negócios.

O business analytics tem permitido que auditores identifiquem melhor processos financeiros, fraudes e riscos operacionais, permitindo que os profissionais aprimorem sua abordagem para entregar uma auditoria mais relevante.

Principais obstáculos

Há uma série de barreiras à integração do analytics aos processos de auditoria. A primeira é a captura eficiente dos dados, sem a qual os auditores são incapazes de usar ferramentas de analytics. As empresas investem em segurança de maneira significativa e, preocupadas com essa questão, podem relutar em oferecer dados.

Além disso, auditores também têm de lidar com centenas de diferentes sistemas de contabilidade, muitas vezes, dentro de uma mesma empresa. Assim como esses profissionais não têm a extração de dados como competência principal, muitas organizações também não têm, o que pode resultar em múltiplas tentativas.

Outro obstáculo é o aumento na complexidade dos dados que a integração de big data à auditoria deve trazer. Esse processo deve incluir, por exemplo, informações de processos financeiros adjacentes como dados de receita ou de aquisições.

Mesmo que o uso de análises descritivas seja relativamente fácil para entender o negócio e identificar potenciais áreas de risco, o uso de analytics para produzir evidências em resposta a esses riscos é mais difícil, pois ainda existirá a natural “caixa preta” proveniente da análise de dados, com os algoritmos e regras usados para transformar dados e produzir visualizações e relatórios.

Por isso, o valor da integração entre analytics e auditoria só será totalmente realizado quando os auditores usarem o conceito para influenciar o escopo, a natureza e a extensão da auditoria. Isso vai exigir o desenvolvimento de habilidades para usar dados de analytics para produzir evidências, desenhar conclusões e derivar insights de negócios.

Com Fei Daily

Segurança para data centers: conheça as vantagens da micro-segmentação

Usuários têm usado arquiteturas de micro-segmentação para implantar políticas de segurança em redes de data center – separando fluxos de trabalho diversos, zonas físicas de legado e reduzindo superfícies de ataque.

O conceito de micro-segmentação para data centers traz uma nova abordagem para lidar com a complexidade e a segurança. A ideia é se distanciar da ideia de uma infraestrutura de segurança inflexível focada em perímetro e no hardware.

O fator crítico para decidir sobre qual abordagem seguir – se uma baseada em legado ou uma baseada em novos métodos, como camadas de SDN e arquiteturas de sistemas distribuídos – é determinar se o método escolhido vai atender às necessidades a curto e longo prazo.

Escalabilidade

É na escalabilidade que as soluções de firewall se mostram limitadas. Elas requerem que as empresas direcionem o tráfego para um local de aplicação e restrinjam o número de dispositivos dentro de um único cluster. Ainda que permitam uma separação por zonas ou grupos de trabalham, não vão além de segmentações superficiais e restringem movimentos de fluxo de trabalho dentro de um cluster. Algumas abordagens são capazes de escalar além dos clusters, porém os desafios de sincronização devem ser analisados.

Proteção ao máximo

Nem todas as arquiteturas de micro-segmentação são iguais e a capacidade de segurança varia e tem um impacto considerável para reforçar a proteção e permitir entender o contexto das ameaças.

Nem toda empresa, por exemplo, requer uma aplicação de controle completa dentro do data center. Porém, é importante estar consciente do impacto disso na capacidade de segurança de novas abordagens para mitigar ameaças futuras e atender a possíveis novas exigências.

A equipe de segurança precisa garantir que, ao oferecer segurança a um fluxo de trabalho, essa proteção persistirá independentemente das mudanças no ambiente. Isso é essencial, uma vez que data centers dinâmicos mudam constantemente.

Além disso, a segurança deve estar disponível em todos os pontos. É comum que algumas estratégias priorizem a segurança de fluxos considerados mais importantes em detrimento de outros de menos prioridade. As áreas menos valorizadas, porém, acabam servindo de porta de entrada para hackers que se aproveitam desse “racionamento” para focar em sistemas com níveis menores de proteção para se infiltrar.

Soluções de sobreposição de rede oferecem algum grau de proteção, mas geralmente são incompletas, oferecendo apenas habilidades básicas para conduzir processos rudimentares de aplicações específicas. Produtos de segurança, como firewalls e sistemas de segurança distribuídos oferecem um maior nível de controle e de visibilidade. Algumas oferecem a possibilidade de entender comportamentos, incluindo a habilidade de acessar operações de arquivos e analisar o uso do DNS – todos podem dar indicadores de potenciais comportamentos maliciosos.

A tecnologia selecionada para lidar com os desafios atuais do data center deve ser útil em dois ou três anos. A arquitetura precisa acomodar prováveis mudanças de escopo, incluindo a implantação de novos controles de segurança, mudanças na arquitetura da rede e migrações para arquiteturas pública ou híbrida.

O Business Security Operation Center (B-SOC) da PROOF se diferencia de outros SOCs ao integrar uma visão de negócio que alia conhecimentos específicos de verticais de negócio, fábrica de software e expertise em segurança da informação. O B-SOC atua sobre fraudes mapeando comportamentos, mitigando riscos e automatizando alarmes que identificam padrões de forma ágil e proativa.

Sete razões para optar por um Serviço Gerenciado de Segurança (MSS)

Muitas empresas estão optando pela contratação de Serviços Gerenciados de Segurança (em inglês, Managed Security Service – MSS).

Propostas como a do MSS PROOF dão mais tranquilidade à empresa, oferecendo monitoramento constante e as ferramentas mais adequadas para proteger operações e clientes.

Confira algumas razões para optar por um MSS:

  1. Expertise e experiência

Como trabalham com sistemas de segurança o tempo todo, uma empresa especializada em segurança é capaz de identificar problemas e solucioná-los muito mais rapidamente.

Com profissionais especializados e com expertise em ameaças e ferramentas para lidar com elas, empresas de cibersegurança acabam se saindo melhor que a maioria dos times internos.

Um problema que levaria um dia inteiro para ser identificado e solucionado por uma empresa pode ser solucionado em menos de uma hora por sua equipe externa de segurança.

Além de identificar as principais ameaças, a equipe de segurança da PROOF, com especialistas em verticais de negócios, adota uma abordagem proativa, evitando incidentes que possam prejudicar o negócio.

  1. Guia constante

Além de estarem a par das melhores práticas, ferramentas e ameaças do cenário atual, empresas fornecedoras de MSS servem como guia para as instituições, recomendando mecanismos de prevenção, políticas e procedimentos de segurança, entre outros.

  1. Facilite a vida e economize dinheiro

A PROOF tem parceria com os principais fabricantes internacionais do mercado de tecnologia, como Splunk, Palo Alto Networks, RSA e Symantec (confira todos eles aqui).

Como estão em constante contato com fornecedores, empresas de cyber segurança podem obter melhores acordos na compra de hardware e software.

Assim, instituições podem economizar na compra de ferramentas comuns, como antivírus, antispam, firewalls, sistemas de detecção de invasão e outros.

Além disso, o MSS cuida de todo o trabalho com o upgrade dos softwares.

  1. Suporte fácil

Como têm contato constante com fornecedores de equipamentos e softwares, empresas fornecedoras de MSS recebem melhor suporte dessas instituições.

Qualquer problema relatado por uma empresa usuária de MSS é direcionado às pessoas certas e recebe reparos rapidamente.

  1. Treinamentos

Muitos fornecedores requerem que os engenheiros sejam treinados para usar suas aplicações.

Empresas de cibersegurança exigem que seus engenheiros recebam esses treinamentos – que não são baratos – para que sejam certificados.

Muitos engenheiros também têm experiência em projetar redes complexas e seguras.

Cerca de 15% do faturamento da PROOF é dedicado à capacitação de sua equipe técnica e mais de 20% do tempo anual dos profissionais é destinado a estudos em suas áreas de atuação.

  1. Monitoramento constante

A segurança é um problema contínuo e o nível de sofisticação dos ataques só aumenta.

O MSS PROOF auxilia as empresas na gestão do ambiente de TI 24 horas por dia, sete dias por semana.

Além disso, empresas de cibersegurança estão sempre atualizadas sobre os tópicos mais quentes em segurança, como a análise e o gerenciamento de logs, com ferramentas de correlação e gerenciamento de eventos de segurança (SIEM).

Com o MSS PROOF, a empresa pode selecionar o nível adequado de monitoramento e suporte que precisa.

  1. Mais tempo para os funcionários

Com uma equipe externa cuidando da segurança, o time interno fica livre para se atualizar e se dedicar à implementação de políticas de segurança, treinamentos e planejamento estratégico.

Cinco passos para um monitoramento efetivo de ameaças

Algumas empresas recebem eventos em um volume tão alto e de uma variedade tão ampla de fontes, que simplesmente não conseguem mais gerenciar as informações de maneira apropriada e decidir quais eventos realmente requerem atenção e precisam ser investigados.

Conheça maneiras de melhorar o monitoramento das ameaças diminuindo a quantidade de eventos de segurança:

Sistemas dos usuários são comprometidos

Os times de TI das empresas podem adotar a mesma abordagem da indústria bancária para proteger os dados nos sistemas usados pelos funcionários. Os bancos, além de encorajar análises avançadas das atividades de acesso nas páginas de internet banking e o uso de um fator duplo de autenticação, operam como se os sistemas usados pelos clientes fossem comprometidos.

No caso da TI corporativa, a empresa tem muito mais controle. É mais fácil se certificar de que os hosts estejam com seus sistemas atualizados e sigam políticas de segurança. Aplicando essa estratégia, o número de eventos de segurança já cai dramaticamente.

Autenticação de acesso remoto

A maioria dos ataques mais avançados começa pelo acesso remoto, quando o hacker tem acesso à conta de um usuário remoto, por meio de seu login e senha. Na posse dessas informações, o invasor consegue simplesmente validar o acesso, inclusive, com grandes privilégios.

O acesso remoto só é seguro com um fator múltiplo de autenticação. Quando implementada corretamente, essa exigência se torna um grande desafio para os cyber criminosos e elimina a necessidade de rastrear religiosamente todas as atividades de acesso dos usuários remotos para focar apenas em eventos específicos.

Privilégios elevados

Para o acesso de sistemas críticos, todos os usuários administradores devem ter de se conectar por meio de um único “jump server” com um fator múltiplo de autenticação. Do jump server, os usuários precisam se conectar a um gerenciador de permissão de acesso capaz de monitorar e registrar todas as sua atividades. Assim, a equipe de segurança pode acompanhar de perto atividades de acesso em pontos críticos da infraestrutura e eliminar cenários em que esse tipo de acesso não é monitorado.

Tráfego direto

Por meio de um programa de protocolo de gerenciamento de reputação de endereços de internet, a empresa pode filtrar o máximo possível de tráfego malicioso sem impactar o negócio.

Aprenda com os eventos

Nenhum sistema é impenetrável, porém, é importante aprender com os eventos que tiveram sucesso contornando os controles de segurança da empresa. Monitorar mensagens de “tráfego bloqueado” dos firewalls acrescenta bem pouco à estratégia de segurança, servindo apenas de distração para os problemas reais. Por outro lado, estudar os eventos bem sucedidos ajudam as organizações a melhorar sua abordagem.

Os problemas de insegurança são contínuos. O MSS PROOF oferece gestão do ambiente de TI 24 horas por dia e garante as operações essenciais para o funcionamento do negócio. Com o serviço, você pode selecionar o nível mais adequado de monitoramento e suporte, mantendo o controle interno em áreas mais estratégicas.

Fraudes representam a maior parte dos incidentes de segurança no Brasil

Em 2014, o Centro de Estudos, Respostas e Tratamento de Incidentes de Segurança do Brasil (CERT.br) registrou mais de 1 milhão de incidentes de segurança. O número é 197% maior que o de 2013, quando foram registradas quase 353 mil ameaças. As fraudes respondem pela maior parte dos incidentes (44,66%).

Muitos não sabem, mas o Brasil se encontra atualmente no epicentro global da onda de cibercrime. O país é o segundo colocado em fraudes de bancos online e malwares relacionados a serviços financeiros. O custo do cibercrime na economia brasileira não é claro, porém, um relatório afirma que o roubo de dados pode ser contabilizado entre US$ 4,1 bilhões e US$ 4,7 bilhões de perdas em 2013.

De acordo com uma pesquisa feita pela Fiesp entre janeiro e fevereiro, as empresas de pequeno e médio porte estão em maior risco. Hackers usam estratégias básicas de phishing para obter informações sensíveis, como senhas e dados de cartão de crédito e, assim, muitos funcionários acabam permitindo a entrada de malwares na rede corporativa.

Gerenciamento de logs para evitar fraudes

A cada segundo, servidores, laptops, aplicações, infraestrutura e dispositivos produzem milhões de informações e deixam uma trilha na forma de logs. Cada login, arquivo ou pasta acessada, por exemplo, produzem dados que podem ser interpretados por ferramentas de segurança para gerar relatórios e alertas de atividades fora do comum, indicativos de fraude.

Ferramentas de Gerenciamento e Correlação de Eventos de Segurança (SIEM), como as oferecidas pela PROOF em parceria com a Splunk, procuram ter uma visão holística da segurança de TI de uma empresa.

Essas ferramentas coletam logs e outras informações para análise e centralizam todos os eventos em uma plataforma que então faz inspeções e emite alertas quando uma regra configurada pelo administrador da rede é quebrada.

Entre as informações registradas por logs, por exemplo, está a cópia de arquivos. Toda vez que arquivos são copiados de uma pasta para outra, logs específicos são gerados. Quando isso é feito de maneira que foge ao padrão determinado pelo administrador, um alerta é gerado. Ou seja, mesmo que alguém invada a rede e use as credenciais de um funcionário, as ações maliciosas poderão ser identificadas.

A PROOF ainda desenvolveu um serviço especializado para auxiliar as empresas na gestão do ambiente de TI. O MSS PROOF oferece um portal de segurança, com todas as informações dae empresa centralizadas, Security Operation Center (SOC) 24 horas por dia, Security Analythics, treinamento de funcionários contra phishing e vários outros recursos.

Entre em contato com nossos especialistas.

Falta de prioridade e de recursos coloca a segurança das empresas em risco

Profissionais de TI estão ficando cada vez mais frustrados com as empresas, que frequentemente deixam o departamento de segurança fora das prioridades, sem o tempo e os recursos necessários para lutar contra ameaças. A informação é da pesquisa Black Hat Attendee, divulgada em julho deste ano.

Segundo o estudo, feito com 460 profissionais de segurança da informação, quase três quartos (73%) dos profissionais de segurança acreditam que seja provável que as empresas que protegem sejam atacadas nos próximos 12 meses, mas não terão tempo, dinheiro ou profissionais habilitados suficientes para lidar com a crise.

Na pesquisa, mais da metade dos profissionais de segurança (57%) citou ataques sofisticados e com alvo como uma das maiores preocupações. Ainda assim, apenas 26% dos entrevistados indicaram que os ataques com alvo estavam entre as três maiores prioridades de investimento da organização e só 20% disseram que os ataques com alvo estavam entre as três tarefas que consumiam mais tempo de seu dia a dia.

Mais de um terço disse que seu tempo é consumido com a abordagem de vulnerabilidades com software desenvolvido internamente (35%) ou softwares fora do mercado (33%). Enquanto isso, seus budgets frequentemente são consumidos por questões de compliance (25%) ou na remediação de vazamentos acidentais (26%), fazendo com que sobrem poucos recursos para lutar contra maiores ameaças.

Aproximadamente 31% dos entrevistados citaram o usuário final como o elo mais fraco da cadeia de segurança. Segundo alguns, convencer pessoas a dar passos extras – melhor gerenciamento de senha, acessos regulares, auditorias de segurança e outros – é quase impossível quando a empresa não sente que essas novas etapas são importantes.

De acordo com 20% dos profissionais, o foco pesado em soluções e tecnologias para um único propósito é o que está criando barreiras ao desenvolvimento de uma arquitetura de segurança compreensiva. Muitos citaram a falta de uma arquitetura e um planejamento que vão além do combate a crises.

Gestores de segurança da informação precisam de insights mais amplos sobre novas fontes de dados, geradas em escala massiva através de todo o ambiente de TI, do negócio e da nuvem. Para estar à frente de ataques externos, internos e fraudes é preciso contínuo monitoramento, aderência total às políticas, uma resposta rápida aos incidentes e a habilidade de detectar e responder às ameaças conhecidas e desconhecidas. As soluções de segurança da Splunk, aliadas à consultoria e visão estratégica da PROOF, oferecem a capacidade de detectar, responder e prevenir essas ameaças de forma efetiva. Conheça os benefícios dessas soluções para o seu negócio!

Com Dark Reading