Como estão suas capacidades de detecção e resposta a incidentes?

Cada vez mais empresas brasileiras estão passando a investir em segurança da informação, no entanto, é comum encontrarmos organizações investindo nos controles “errados”, que basicamente não trarão a proteção necessária ao ambiente e acrescentarão bem pouco às suas capacidades de detecção e resposta a incidentes.

Muito além de investir em soluções de segurança como firewalls e antivírus, é preciso adotar uma abordagem proativa da cibersegurança, algo que, muitas vezes, acaba sendo ignorado por ser considerado caro ou difícil demais.

Uma abordagem proativa é essencial para lidar com o atual cenário de ameaças, povoado por ameaças persistentes avançadas e uma série de ameaças cada vez mais populares, que saem barato para os cibercriminosos, mas custam muito às empresas – caso, por exemplo, dos ataques de ransomware e DDoS, os quais podem ser executados por meio de kits facilmente encontrados no mercado negro.

Uma abordagem proativa da cibersegurança exige um investimento significativo em pessoas, inteligência, tecnologia e analytics.

No Brasil

No Brasil, essas áreas ainda recebem pouca atenção porque ainda são encaradas como um custo a ser mitigado, não como um investimento.

Felizmente, aos poucos esse cenário esse cenário está mudando, porém, as empresas que querem aumentar sua capacidade de detecção e resposta a incidentes por meio de uma abordagem proativa ainda têm dificuldades para garantir que seu investimento tenha alto retorno.

Uma opção possível para as empresas é recorrer aos Serviços Gerenciados de Segurança (MSS), que garantem as operações essenciais para o funcionamento do negócio.

Os serviços de MSS incluem monitoramento 24 x 7, algo que aumenta consideravelmente as capacidades de detecção e resposta a incidentes, pois reduz o tempo necessário para identificar um incidente.

O serviço também pode incluir security analytics e uma série de outras ferramentas capazes de oferecer à empresa uma boa capacidade de detecção e resposta a incidentes.

Construir essa capacidade identificar e responder incidentes é essencial para evitar o impacto negativo dos ataques cibernéticos no negócio.

Independente do modo como sua empresa espera desenvolvê-las, seja por meio de um MSS, internamente, ou por meio de uma abordagem mista, uma consultoria em segurança pode fazer a diferença para ajudá-lo a entender do que sua empresa precisa para atingir esse objetivo.

Conheça algumas perguntas que você deve fazer ao seu negócio:

Quais dados sua equipe de TI usa para detectar e investigar incidentes?

Se ocorrer um incidente de segurança em sua empresa hoje, os dados coletados por sua equipe serão capazes de oferecer as respostas necessárias envolvendo a violação?

Por exemplo: o que aconteceu? Quem fez isso? Quais são as consequências do ataque? Isso pode acontecer de novo?

Logs, dados de captura e metadados são importantes, mas não suficientes.

É preciso contar com, pelo menos, três tipos adicionais de dados para obter as respostas que os executivos precisarão para tomar decisões assertivas nos casos de ataque: dados do Active Directory, DHCP ou DNS.

Também serão necessárias informações forenses do sistema violado para ver se ele mostra algum sinal de ataque.

Dados da segurança física também vão ajudar, oferecendo informações contextuais adicionais, indicando, por exemplo, a entrada de uma pessoa estranha no escritório.

Se sua empresa já está se preparando para a Internet das Coisas – segundo previsão do IDC, o mercado de IoT deve chegar a US$ 16 bilhões em 2020 na América Latina –, saiba que os dados de sensores também serão fontes importantes para obter informações importantes no caso de incidentes.

Os dados certos são essenciais para melhorar o tempo de resposta a incidentes, permitindo que a empresa tome decisões rápidas e assertivas para resolver o problema.

Você analisa os seus dados para melhorar sua estratégia de segurança?

Muitas empresas dependem de soluções de Gerenciamento e Gestão de Correlação de Eventos de Segurança (SIEM) para armazenar e obter analytics em tempo real.

Esse é o seu caso? Isso é suficiente para obter insights de atividades em períodos específicos de tempo, porém, a maioria dos ataques é bem mais “subjetiva” que isso, costumando levar semanas e até meses.

A maioria das soluções de SIEM não tem habilidade de considerar dados de períodos de tempo maiores e, muitas vezes, a variedade de dados suportada também deixa a desejar.

Isso é essencial para obter insights mais ricos do cibercriminoso, como sua identidade, suas atividades maliciosas e o modo de remediá-las.

Plataformas mais modernas, como as ferramentas da Splunk, permitem às empresas superar as limitações das soluções tradicionais de SIEM e oferecer às empresas a possibilidade de lidar com as demandas de volume, velocidade e variedade de dados.

No caso das ferramentas Splunk, as empresas podem ainda obter estatísticas sofisticadas por meio de uma poderosa ferramenta de busca.

Algumas plataformas incluem ainda a tecnologia de aprendizado de máquina, que conta com a capacidade de estabelecer o que seria uma rede “normal” e buscar padrões que ajudem a identificar similaridades e padrões que possam corresponder a ameaças.

Esse tipo de analytics avançado, ajuda as empresas a automatizarem mais tarefas relacionadas à detecção, melhorando a operacionalidade do monitoramento e o tempo de resposta a incidentes, já que as equipes disporão de dados muito mais ricos.

Você mede suas habilidades de detecção e resposta a incidentes?

A métrica mais comum para medir o sucesso da sua estratégia de detecção e resposta a incidentes é o tempo necessário para responder a um ataque ou o número de alertas.

Isso, no entanto, pode acabar resultando em um grande número de falsos positivos.

Quando o objetivo é adotar uma abordagem proativa de detecção e resposta a incidentes, o foco deve ser precisão.

É preciso ter certeza de que sua equipe está focada nas ameaças mais sérias e está tomando as melhores medidas para remediá-las.

Por isso, muito além de contar eventos de segurança, é preciso focar também em uma análise pós-incidente para identificar quais áreas precisam melhorar.

Assim, sua empresa pode identificar quais são as habilidades necessárias para tornar sua estratégia de detecção e resposta a incidentes mais proativa.

Para entregar dados precisos de inteligência e resposta, é necessário:

  • uma equipe de profissionais com boas habilidades técnicas para usar as tecnologias;
  • boa capacidade de resolução de problemas para determinar o que acontece, mesmo que com poucos dados disponíveis;
  • comunicação com o usuário final e capacidade de colaboração para incorporar diferentes perspectivas.

Sua equipe de segurança conta com profissionais que tem uma ou mais características que citamos acima? Ótimo!

Agora, basta apenas se certificar de que cada membro da sua equipe conte também com experiência e um bom entendimento do negócio para priorizar incidentes e fazer recomendações que levem em conta os processos de negócio e as operações críticas da empresa.

Não importa se sua empresa vai optar por manter a responsabilidade sobre a detecção e a resposta a incidentes internamente ou se vai terceirizar essa tarefa a alguma empresa de cibersegurança, uma abordagem proativa é essencial para lidar com o atual cenário de ameaças.

Ao fazer essas perguntas sobre o funcionamento dos seus processos de segurança, você poderá entender o que é necessário para detectar e responder, de maneira proativa, a ataques complexos e maliciosos.

A mudança de paradigma dos CISOs

[av_image src=’http://www.proof.com.br/wp-content/uploads/2016/10/A-mudança-de-paradigma-dos-CISOs-1-1030×516-1-845×321.jpg’ attachment=’6174′ attachment_size=’entry_with_sidebar’ align=’center’ styling=” hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

A mudança de paradigma dos CISOs

Um relatório da Verizon publicado em 2015 avalia que 89% das brechas de segurança exploradas em 2015 tiveram como motivação roubo financeiro ou espionagem.

Qualquer relatório de vulnerabilidades expõe o fato de que a maioria dos criminosos é paga para cometer o ataque, sendo roubando diretamente da instituição, pedindo resgate por dados roubados, ou roubando informações para vender a outras pessoas.

E apesar das estatísticas negativas, e das informações que podem deixar qualquer gestor preocupado, os especialistas em Segurança da Informação sentem-se plenamente confiantes – pelo menos é o que revela um estudo da Cisco sobre o tema.

Realizado no ano de 2014 em 12 países –incluindo Austrália, Brasil, China, França, Alemanha, Índia, Itália, Japão, Méximo, Rússia, Inglaterra e Estados Unidos, o estudo abordou mais de 2400 profissionais de Segurança da Informação, incluindo o C-Level.

Em 2014, ao menos 66% dos profissionais de TI disseram que os sistemas que possuíam na empresa para detecção de anomalias na rede e defesa contra ameaças eram altamente efetivas.

Em 2015, esse número subiu para 76%. Em 2104, os entrevistados disseram que as ferramentas de segurança para determinar o escopo do grau de comprometimento de um possível ataque era altamente efetivo; esse número em 2015 aumentou para 74%.

O problema é que esses números contrastam, e muito, com o comportamento dos profissionais de Segurança.

O mais intrigante é o dado que vem a seguir: as instituições financeiras estão, na verdade, diminuindo o uso de ferramentas e controles de segurança. Na pesquisa da Cisco, a diferença entre 2014 e 2015 foi de 11%.

Mudança de paradigma

Os números revelam um aspecto da Segurança da Informação que, à primeira vista, não fica tão evidente: é o fato de que os CISOs entenderam que eles não podem confiar somente em ferramentas ou no talento de seus times para defender a organização na qual trabalham contra ataques.

É preciso mais que isso: é necessário desenvolver uma estratégia.

E não é a primeira vez que falamos sobre isso. Nosso whitepaper sobre o papel dos CIOs e CISOs aborda este tema. A segurança da informação já deixou de ser uma questão de tecnologia e passou  a ser uma questão de negócios.

Ou seja, a atuação central do gestor deve residir, então, na gestão dos riscos empresariais, e não nas vulnerabilidades ou incidentes.

Segundo dados da PwC, o número de incidentes de segurança cresce a uma taxa de 40% ao ano.

Com isso, a mentalidade nos departamentos de TI não é mais a de bloquear o ambiente contra ataques, mas o de que a empresa certamente será hackeada, independente do quanto suas defesas sejam fortes ou do quanto sua estratégia de segurança da informação seja efetiva.

Usuários, o calcanhar de Aquiles

Um número cada vez maior de campanhas de phishing tem sido preparado e tem como alvo principalmente as empresas. Ou seja, a estratégia é criada e a isca é dirigida ao funcionário.

A falta de conhecimento do usuário interno sobre os perigos que corre no meio online acaba facilitando a ação dos criminosos.

O famoso LeakedSource já concentra 2 bilhões de registros.

Exemplos recentes desse tipo de problema não faltam.

Um caso bem ilustrativo ocorreu agora, após as Olímpiadas, quando hackers entraram no ambiente da Agência Mundial Antidoping para roubar os arquivos dos atletas norte-americanos.

O ataque começou com um email. Um e-mail de phishing enviado para um dos usuários internos, com a engenharia social suficiente que fez um deles clicar no link ou no arquivo anexado, dando controle à máquina do usuário e permitindo que os criminosos roubassem suas credenciais e as utilizassem, de forma não-autorizada, para obter as informações.

Outro aspecto importante é que esses gestores têm consultados profissionais externos para avaliar suas defesas quanto a possíveis ataques.

O que pensam os C-Levels?

E ao menos 37% dos CSOs no segmento financeiro disseram consultar empresas externas justamente porque o conhecimento que tinham internamente não era suficiente para coibir as possíveis ameaças. 

No eBook O novo papel dos CISOs e CIOs no mercado de segurança, você vê um relatório completo sobre a mudança desse cenário.

Esses profissionais passaram a compreender – e também a demonstrar- que segurança não é uma questão restrita somente aos profissionais da área.

É um problema de toda a empresa. O C-Level até recentemente via a Segurança como um custo, e não como um investimento.

Isso não mudou inteiramente no Brasil ainda: as empresas nacionais, e principalmente aquelas que contam com estrutura familiar talvez sejam as menos protegidas.

Entretanto, o setor financeiro talvez entenda –melhor que nenhum outro—que a Segurança está diretamente relacionada à reputação empresarial, e sim, à lucratividade dessas empresas.

Em nível global, o estudo da Cisco demonstrou que gestores de outras têm tomado a responsabilidade pela área de Segurança da Informação.

Entre os anos de 2014 e 2015, esse número foi de 46% para 59%.

Um mapa dos riscos

Além da mudança de visão, os gestores de segurança da informação cada vez mais buscam saídas para estruturar um planejamento e um roadmap de implementação de soluções que não necessariamente sirvam apenas para “apagar o incêndio”.

A análise de risco da empresa é um bom começo para definição de qual a estratégia a ser adotada. Quais os pontos mais críticos dentro da estrutura atual?

Quais são as ações necessárias para remediação? Qual é o impacto nos negócios?

Essas são as questões que alguns gestores devem tentar equacionar agora para elaborar o planejamento do próximo ano.

E isso não poderá ficar para depois. Dados divulgados recentemente pela CyberSecurity Ventures, revela que até 2021 o custo do cibercrime vai passar de US$ 3 trilhões para US$ 6 trilhões.

Isso inclui ações para destruição de dados, roubo financeiro ou de propriedade intelectual, fraude e desfalque, investigação forense e pagamento de resgate de dados.

Os investimentos das empresas em cibersegurança devem alcançar US$ 1 trilhão nos próximos cinco anos, de acordo com a mesma pesquisa.

E até 2020, o volume de dados que vão trafegar digitalmente aumentará 50 vezes, com cada vez mais pessoas conectadas.

Essa é uma informação importante para o segmento bancário, que cada vez mais se aproxima do digital, e se afasta do atendimento físico.

Conclusão

Na América Latina, o mercado de segurança da informação vai movimentar US$ 11,91 bilhões em 2019, segundo a MMM. 

Isso representaria uma taxa composta de crescimento anual de 17,6% no período de 2013-2019. Hoje a região representa apenas 5,18% do mercado global e, em 2019, passará para 7,65%.

Ou seja, cada vez mais o impacto da Segurança é real para nós no Brasil.

Embora o país seja reconhecido no relatório da Cisco como um dos mais avançados no que tange à Segurança da Informação, ainda há muito trabalho pela frente.

Iniciativas envolvendo Business Analytics e um controle mais inteligente a fraudes talvez sejam os próximos passos da indústria para 2017.
[/av_textblock]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_blog blog_type=’taxonomy’ categories=’35’ link=’post_tag,122′ blog_style=’blog-grid’ columns=’3′ contents=’title’ content_length=’content’ preview_mode=’custom’ image_size=’entry_without_sidebar’ items=’3′ offset=’0′ paginate=’no’ conditional=”]

[av_social_share title=” style=” buttons=”]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_comments_list]

Tudo sobre segurança na nuvem

[av_heading heading=’Tudo sobre segurança na nuvem’ tag=’h1′ style=” size=” subheading_active=” subheading_size=’15’ padding=’10’ color=” custom_font=”][/av_heading]

[av_textblock size=” font_color=” color=”]
cloud-security

A nuvem aumentou consideravelmente os vetores de ataque para os cibercriminosos. Com isso, ferramentas como firewalls e antivírus, apesar de ainda terem sua importância na estratégia de segurança da informação atual, não são mais tão efetivas como antigamente, quando tudo que era valioso para o negócio se encontrava atrás do perímetro.

Ignorar a nuvem é algo impensável levando em consideração as vantagens da cloud computing, como redução de custos e redução do time-to-marketing para novas aplicações.

Por isso, novas abordagens de segurança na nuvem são necessárias para lidar com as novas ameaças e continuar aproveitando suas vantagens. Conheça duas delas:

Considere cada solução individualmente

Diferente de anos atrás, quando havia, teoricamente, apenas uma porta de entrada para os ataques, hoje cada aplicativo baseado na nuvem tem seu próprio perímetro de proteção, com isso, uma boa estratégia de segurança na nuvem é pensar na proteção de cada aplicativo individualmente.

Cada aplicativo baseado na nuvem precisa ter seus próprios dispositivos de proteção contra invasão, ataques DDoS e roubo de informações e suas próprias políticas de segurança, ou seja, os mesmos componentes de segurança do perímetro da rede corporativa.

Essa abordagem de segurança na nuvem consiste na implementação de controles de proteção por aplicativo, algo que garantiria a proteção que a nuvem precisa, mas que também demandaria controles para centralizar as informações de múltiplas ferramentas de segurança em diferentes aplicações.

Adote o cloud-first

Outra abordagem de segurança na nuvem é a cloud-first, um conceito já bastante difundido entre desenvolvedores ao criar novas aplicações voltadas para a nuvem.

Em segurança, esse conceito consiste na centralização da segurança na nuvem, adaptando a estratégia tradicional para cloud em um modelo “as a service”.

Com isso, as empresas evitariam os custos de abrigar serviços primários de segurança no data center, obrigando todo o tráfego da rede a passar por ele. As principais vantagens desse modelo é a eliminação da gestão de dispositivos.

Independente da estratégia escolhida, a PROOF oferece soluções de ponta quando o assunto é segurança na nuvem.

O serviço de Cloud Security da PROOF faz uma análise do ambiente, das necessidades do negócio e do comportamento do usuário para desenhar a melhor estratégia de segurança na nuvem para sua empresa, com soluções efetivas.

O serviço de Cloud Security oferece às organizações estratégias para assegurar a segurança dos dados no que tange os principais riscos da nuvem, como vazamento de dados e dados internos sensíveis à empresa.

Saiba mais sobre o serviço de Cloud Security e entenda como podemos ajudá-lo a obter mais segurança na nuvem.
[/av_textblock]

Por que o Security Analytics está ganhando mais importância?

Os criminosos cibernéticos não estão mais apenas em busca de números de cartões de crédito, dados de propriedade intelectual e dinheiro. Agora, os seus dados pessoais, os chamados Personally Identifiable Information (PII), também estão na mira do crime.

Para fazer frente a todos os desafios, é preciso acrescentar mais uma camada aos seus sistemas de detecção de ameaças: a inteligência de analytics de segurança, que acelera o tempo de detecção e combate aos ataques a partir da análise de informações de suas redes.

As estatísticas sobre a incidência de violações de dados indicam o seu crescimento, e esses números não devem cair nos próximos anos.

Os criminosos agora parecem estar deixando os malwares tradicionais de lado – o que não significa que você deva baixar a sua guarda – e usam ferramentas legítimas, muitas vezes em conjunto com credenciais roubadas.

A inteligência criminosa está evoluindo e, por isso, devemos continuar a investir nas nossas capacidades de detecção e prevenção de ameaças, identificando atividades maliciosas dentro das nossas organizações.

Tire proveito do analytics e obtenha mais desempenho

E qual a vantagem de contar com mais essa camada de proteção, as ferramentas de analytics de segurança? Em entrevista à revista CIO, Leonardo Moreira, diretor de engenharia da PROOF, ressaltou que “não há dúvidas de que as ferramentas de Business Analytics podem realizar um ótimo trabalho em Segurança da Informação.

O BA possibilita uma análise descritiva e preditiva, além de auxílio para tomada de decisão em tempo real.

Conceitos como aprendizado de máquina, análise comportamental e big data aparecem como elementos importantes na gestão da segurança da informação, permitindo a obtenção de insights valiosos”.

A PROOF, em parceria com a Splunk, oferece ao mercado o serviço de Analytics as a Service, permitindo que as empresas façam uso de Big Data e análises preditivas para tratar de ameaças e riscos, incorporando aos sistemas de segurança legados a capacidade de analisar o comportamento do usuário, infraestrutura e dispositivos.

E a oferta como serviço também elimina algumas tarefas manuais de TI que acabam inibindo usuários internos de ter acesso a novas tecnologias e garantem, ao mesmo tempo, segurança, privacidade de informações e compliance dos dados.

Aumenta o custo das violações de dados no Brasil e no mundo

[av_heading heading=’Violação de dados no Brasil e no mundo!’ tag=’h1′ style=” size=” subheading_active=” subheading_size=’15’ padding=’10’ color=” custom_font=”][/av_heading]

[av_textblock size=” font_color=” color=”]
vio-brasil-2

O prejuízo das empresas com incidentes de segurança da informação não para de crescer. Uma pesquisa do Instituto Ponemon sobre o impacto financeiro por meio das violações de dados realizada com 383 organizações de 12 países, inclusive o Brasil, aponta que, globalmente, esse valor chegou a US$ 4 milhões em 2015, um aumento de 29% desde 2013.

Os incidentes de segurança continuam a crescer no mundo inteiro em volume e sofisticação e, em 2015, foram reportados 64% mais incidentes do que em 2014.
O estudo também aponta que o custo médio de cada registro de dados sensíveis ou confidenciais que tenha sido perdido ou roubado passou de US$ 154M para US$ 158M.

No caso de prontuários médicos esse valor chega a R$ 355M.

O cenário de ameaças no Brasil

O Brasil, segundo a pesquisa, é um dos países mais vulneráveis e o prejuízo total das empresas passou de R$ 3,96 milhões em 2014 para R$ 4,31 milhões em 2015, enquanto o número de dados roubados em 2015 cresceu de 3.900 para 85.400.

O custo por roubo ou perda de registros passou de R$ 175M para R$ 225M no mesmo período.

Também houve crescimento nos custos pós-violação, como despesas legais com serviços de proteção (de R$ 1,23 milhões para R$ 1,32 milhões).

A pesquisa foi realizada com 33 empresas.

Já os dados divulgados na Estatística dos Incidentes Reportados ao CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança do Brasil), apontam que de 2014 para 2015 houve uma queda no volume de violações de dados.

Em 2014, foram registrados 1.047.031 incidentes e, em 2015, 722.205 incidentes. Estas notificações são voluntárias e refletem os incidentes ocorridos em redes que espontaneamente os notificaram ao CERT.br.

Mas por que essa variação tão expressiva entre 2014 e 2015?

Segundo Leonardo Moreira, diretor de engenharia da PROOF, “o número de incidentes divulgado pelo CERT.br na verdade mostra que o ano de 2014 foi um ‘ponto fora da curva’, provavelmente por causa da Copa.

Além disso, no Brasil as empresas não são obrigadas a divulgar um incidente, ou seja, o número pode ser muito maior.

O ano de 2016 provavelmente terá um grande aumento no número de incidentes e as principais causas serão o ransomware e as olimpíadas”.

Quer saber mais sobre como o ransomware pode ameaçar a sua empresa? Baixe o whitepaper da PROOF Ransomware: Conheça a praga que vai dominar 2016.
[/av_textblock]