Prevenção vs Detecção e Resposta

Existe uma grande discussão sobre a necessidade de mudar a abordagem da segurança da informação de um foco em prevenção para dar mais ênfase à parte de detecção e resposta.

Afinal, em um mundo onde devemos assumir que todos já foram invadidos, a estratégia lógica é investir em identificação e contenção rápida das ameaças. 

Isso não significa que as empresas devam deixar de investir em práticas de prevenção, como a correção de vulnerabilidades, no entanto, o debate sobre prevenção, detecção e resposta gerou uma série de equívocos e falsas expectativas. 

A ideia geral é a de que tecnologias e abordagens preventivas, como gestão de vulnerabilidades e sistemas de prevenção de intrusão, não são suficientes para mitigar várias das ameaças mais avançadas e modernas e que, por isso, as empresas precisam investir mais em detecção de ameaças e resposta a incidentes. 

Infelizmente, alguns interpretaram isso como “não gaste dinheiro com prevenção”, o que é totalmente equivocado.

Alguns críticos ainda argumentam que velhas vulnerabilidades ainda são responsáveis por 85% da exploração do tráfego de dados pelos cibercriminosos, segundo o relatório DataBreach Report 2016 da Verizon. 

Usar isso como argumento é extremamente arriscado, pois não há uma interpretação correta das causas e do impacto desse problema.

Em geral, os hackers buscam essas falhas antigas porque estão buscando algo fácil que possa trazer grande retorno, trata-se de oportunismo.

Isso não significa que as falhas de segurança novas não possam ser usadas também. 

Como contra-argumento, podemos usar a seguinte estatística: 63% das violações de dados confirmadas envolvem senhas fracas ou roubadas.

Uma boa estratégia de prevenção poderia evitar o problema das senhas fracas, reforçando a necessidade de senhas fortes, por exemplo. 

Porém, essa estratégia irá por água abaixo se as senhas forem roubadas.

Nesse caso, o monitoramento de acesso e das atividades do usuário vai oferecer um controle mais assertivo, pois vai identificar quando um usuário falso estiver tentando se passar por usuário legítimo. 

Crie uma estratégia balanceada 

Se sua empresa conta com uma boa estratégia de prevenção, é provável que um hacker insistente tente obter acesso não autorizado à sua rede de outras maneiras, usando técnicas de engenharia social e malwares do tipo zero-day, por exemplo.

Nesses casos, a prevenção pode fazer pouco pela sua segurança e, se você não contar com uma estratégia e tecnologias de detecção e resposta, estará praticamente “cego” quando o assunto for ameaças avançadas. 

Isso mostra que as empresas precisam investir cada vez mais em uma abordagem que privilegie a detecção e a resposta, mas as tecnologias de prevenção ainda são a base de qualquer bom programa de segurança, pois, sem isso, é impossível proteger seu ambiente contra as ameaças mais básicas. 

Ferramentas de prevenção tornam a vida do hacker mais difícil, pois os forçam a recorrer a técnicas mais sofisticadas de invasão.

Com isso, o cibercriminoso é obrigado a fazer “barulho” e é detectado mais facilmente pelos sistemas de detecção e resposta. 

Ou seja, uma boa estratégia de segurança deve prevenir o que pode e detectar e responder o resto.

Deixar de investir em prevenção ou confiar que apenas a prevenção será capaz de cuidar de todas as ameaças atuais pode ser extremamente arriscado para o negócio.

Uma boa estratégia de segurança da informação deve ser bem balanceada entre prevenção, detecção e resposta. 

Entenda o que precisa mudar na sua estratégia de segurança para se proteger no atual cenário de ameaças: 

Gestão de vulnerabilidades 

Apesar de algumas falhas de segurança serem mais complexas, o mais comum é que a maioria das vulnerabilidades seja resolvida com a aplicação de patches e a reconfiguração da infraestrutura existente.

O desafio é quando há mais falhas de segurança do que recursos para corrigi-las. 

Para lidar de maneira efetiva com vulnerabilidades conhecidas, é preciso priorizá-las de acordo com a criticidade e o valor dos ativos corporativos afetados e com o custo e o tempo para resolvê-las de maneira efetiva. 

Informações do Data Breach Investigation Report, da Verizon, indicam que apenas 5% das falhas de segurança de 2014 se originaram durante o período.

A maioria datava de muito tempo atrás, incluindo década de 1990. 

Boa priorização pode reduzir consideravelmente a lista de gestão de patches, transformando uma relação de tarefas sem fim em uma ferramenta útil na tomada de decisões. 

Ameaças desconhecidas 

Todos os dias surgem novas ameaças e nem todos os vetores de ataque são bem compreendidos – alguns são mais criativos e não tão óbvios.

Os softwares baseados em assinaturas ainda tem um papel importante, mas as novas exigências de detecção e resposta exigem padrões de atividades diferenciadas.

Por essa razão, as empresas precisam de feeds de inteligência em segurança. 

O primeiro passo é contextualizar as ameaças e sua relevância na empresa.

Isso envolve um grande trabalho manual, que exige bastante habilidade da equipe de TI para analisar indicadores que podem chegar a qualquer momento por meio de diversas aplicações. 

Muitos analistas podem fazer um bom trabalho, mas a tendência é que isso seja cada vez mais automatizado por meio de ferramentas capazes de correlacionar dados de segurança de diferentes fontes para reduzir o tempo de detecção de ameaças, incluindo até a análise de feeds de inteligência em segurança. 

Violações de dados 

Uma grande empresa geralmente tem mais de 60 diferentes produtos de segurança em seu ambiente para evitar violações de dados.

Infelizmente, isso não é garantia de nada.

Vários indicadores de violações de dados estão escondidos dentro de aplicações de segurança, mas muitas empresas não são capazes de identificá-los. 

Uma das causas desse problema é que a maioria das soluções de segurança não se integra e é disposta em diferentes silos.

Uma pode ser excepcional em uma tarefa, mas pode falhar em outra se não detecta pequenas alterações que se correlacionam com atividades detectadas na rede

Uma solução capaz de correlacionar dados de diversos sistemas é essencial para reduzir o tempo de detecção de uma violação. 

Investimento em detecção cresce a cada dia 

As equipes de segurança da informação estão cada vez mais conscientes de que é praticamente impossível prevenir todos os ataques à rede e ao usuário.

Isso tem causado mudanças no modo de investir em segurança. 

Dados divulgados pelo Gartner no último ano estimam que as equipes de segurança gastam cerca de 10% do budget com produtos focados em detecção de intrusos dentro da rede atualmente.

Segundo o instituto, isso deve subir para 75% em 2020

A necessidade de detectar ameaças avançadas e responder a elas com rapidez, tem feito com que muitas empresas passassem a implementar uma série de novos produtos com foco em detecção e resposta rápida.

Essas aplicações atuam identificando como o “bom” tráfego se parece para então detectar anomalias e prever falhas. 

No entanto, o simples gasto com softwares de segurança caros de detecção e resposta não é suficiente para manter o ambiente seguro.

Muitas empresas acabam investindo em controles que acham que vão resolver todos os seus problemas, mas, a rigor, não estão agregando em nada à segurança

0 respostas

Deixe uma resposta

Want to join the discussion?
Feel free to contribute!

Deixe um comentário

O seu endereço de e-mail não será publicado.

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.