A inteligência em segurança é um elemento cada vez mais importante na estratégia de segurança da informação das empresas. A ideia é de estar sempre à frente dos ciber criminosos por meio de ferramentas capazes de agregar e compartilhar informações sobre ameaças e segurança de dados. Com isso, é possível atualizar rapidamente os sistemas contra novas ameaças.
Porém, alguns problemas dessas ferramentas estão exigindo novas abordagens à segurança da informação. Primeiramente, é preciso entender a diferença entre dados e inteligência.
A inteligência deve ser mais bem preparada para avaliar e resolver problemas, enquanto os dados são apenas respostas fornecidas por testes. Se modificarmos o teste, os dados viram um grande problema.
Muitas vezes, a maioria das informações obtidas por ferramentas de inteligência são apuradas em testes. Por mais que os updates cheguem rapidamente, essa abordagem sofre os mesmos desafios da atualização de sistemas de anos atrás, em que o ciber criminoso está sempre um passo a frente.
Novas abordagens
A inteligência em segurança não pode ser exclusivamente importada de fora. É preciso desenvolver um time de inteligência capaz de aprender com erros passados e então avaliar o futuro. As detecções devem ir além da identificação de ameaças individuais para a aplicação de modelos capazes de reconhecer traços fundamentais e comportamentos comuns a todas as ameaças.
A ciência de dados e as ferramentas de análise de dados gerados por máquina, como as soluções da Splunk oferecidas pela PROOF, permitem analisar ameaças em massa e identificar características comuns de maneira inteligente e em tempo real.
Ataques internos, por exemplo, ou ataques feitos por meio de credenciais roubadas, não são identificados por ferramentas como antivírus ou firewalls, mas, sim, com base no contexto de como é uma rede “normal”. Como cada rede é única, inteligência externa nunca será tão bem vinda como a inteligência gerada internamente.
É necessária a presença de um time de segurança maduro, capaz de tirar vantagens de conhecimentos compartilhados por terceiros, mas também de produzir conhecimento sobre sua própria rede, facilitando a identificação de ameaças básicas e avançadas.
Com Security Week