Por que o Security Analytics está ganhando mais importância?

Os criminosos cibernéticos não estão mais apenas em busca de números de cartões de crédito, dados de propriedade intelectual e dinheiro. Agora, os seus dados pessoais, os chamados Personally Identifiable Information (PII), também estão na mira do crime.

Para fazer frente a todos os desafios, é preciso acrescentar mais uma camada aos seus sistemas de detecção de ameaças: a inteligência de analytics de segurança, que acelera o tempo de detecção e combate aos ataques a partir da análise de informações de suas redes.

As estatísticas sobre a incidência de violações de dados indicam o seu crescimento, e esses números não devem cair nos próximos anos.

Os criminosos agora parecem estar deixando os malwares tradicionais de lado – o que não significa que você deva baixar a sua guarda – e usam ferramentas legítimas, muitas vezes em conjunto com credenciais roubadas.

A inteligência criminosa está evoluindo e, por isso, devemos continuar a investir nas nossas capacidades de detecção e prevenção de ameaças, identificando atividades maliciosas dentro das nossas organizações.

Tire proveito do analytics e obtenha mais desempenho

E qual a vantagem de contar com mais essa camada de proteção, as ferramentas de analytics de segurança? Em entrevista à revista CIO, Leonardo Moreira, diretor de engenharia da PROOF, ressaltou que “não há dúvidas de que as ferramentas de Business Analytics podem realizar um ótimo trabalho em Segurança da Informação.

O BA possibilita uma análise descritiva e preditiva, além de auxílio para tomada de decisão em tempo real.

Conceitos como aprendizado de máquina, análise comportamental e big data aparecem como elementos importantes na gestão da segurança da informação, permitindo a obtenção de insights valiosos”.

A PROOF, em parceria com a Splunk, oferece ao mercado o serviço de Analytics as a Service, permitindo que as empresas façam uso de Big Data e análises preditivas para tratar de ameaças e riscos, incorporando aos sistemas de segurança legados a capacidade de analisar o comportamento do usuário, infraestrutura e dispositivos.

E a oferta como serviço também elimina algumas tarefas manuais de TI que acabam inibindo usuários internos de ter acesso a novas tecnologias e garantem, ao mesmo tempo, segurança, privacidade de informações e compliance dos dados.

Qual o diferencial das soluções de UBA?

Em termos gerais, as soluções de UBA (User Behavior Analytics – Análise de Comportamento de Usuário) monitoram, coletam e avaliam os dados e atividades do usuário. Os primeiros sistemas de análise de comportamento surgiram nos anos 2.000 e eram usados pelas equipes de marketing para identificar padrões de compras de seus clientes.

Mas atualmente as suas funcionalidades vão muito além disso, principalmente na área de segurança, incorporando capacidades de análise de perfil e de monitoramento de anomalias mais robustas do que as encontradas nas soluções de SIEM (Security Information and Event Management – Gerenciamento e Correlação de Eventos de Segurança).

Em primeiro lugar, as soluções de UBA identificam os padrões de atividades normais para a sua organização e dos seus funcionários. E, em segundo lugar, usam análise de big data e algoritmos de aprendizagem de máquina para avaliar desvios em tempo real.

As soluções de UBA coletam diversos tipos de dados atuais e passados, como as funções de usuários e atributos – incluindo acesso, contas e permissões -, atividades e localização geográfica do usuário e alertas de segurança. A partir dessa coleta, esses dados são analisados levando em consideração os recursos utilizados, duração das sessões, conectividade e atividades de grupos, identificando comportamentos suspeitos. Também atualizam de forma automática as alterações nos dados, como permissões adicionais.

A solução de UBA desenvolvida pela Splunk, da qual a PROOF é a maior parceira no Brasil, permite que as equipes de segurança encontrem ameaças conhecidas, desconhecidas e ocultas, e tenham uma visão de todo o ciclo de vida de um ataque – externo ou interno – em interface amigável.

Seus principais recursos – detecção de ameaças com base no comportamento; workflow detalhado de ameaças; detecção do kill chain e descoberta do vetor de ataque, revisão e exploração de ameaças e autoaprendizado e ajuste – permitem que empresas de todos os portes, detectem e respondam a ameaças conhecidas, desconhecidas e ocultas.

Além de empresas, as soluções de UBA também oferecem proteção para agências e instituições governamentais, garantindo a integridade das informações e serviços.

Novas tecnologias de segurança que serão tendência

Atualmente há uma série de novos desafios, como a necessidade de autenticação e controle de acesso em tempo real, que exigem da segurança da informação novas abordagens e tecnologias de segurança.

As ameaças enfrentadas por consumidores, negócios e governos exigem soluções de segurança inteligentes, que tenham dados de segurança como foco.

Entenda algumas tecnologias de segurança que vão guiar a próxima geração da segurança de dados:

 

Segurança deve ser em tempo real

A autenticação tem sido uma ferramenta efetiva contra as ameaças, porém, algumas persistem mesmo depois da verificação de acesso do usuário.

Isso acontece porque a análise em tempo real se tornou uma necessidade. Só porque um usuário foi autenticado há dois minutos, não significa que tenha deixado de ser uma ameaça.

O desafio de oferecer segurança em tempo real só pode ser atendido com uma combinação de hardware e software inteligentes.

Uma tendência crescente é o uso de inteligência artificial e User Behaviour Analytics (UBA).

 

UBA gera novas demandas em sistemas

O UBA não desempenha seu papel apenas nos computadores dos usuários, mas em toda a rede. O objetivo é o mesmo: analisar o comportamento de toda a rede.

O uso de algoritmos inteligentes para determinar se um ataque está em execução e aprender com padrões passados é importante, porém, há custos para processar tantos dados e tomar uma decisão efetiva antes que um ataque cause danos críticos.

Tecnologias como análise comportamental e inteligência artificial são importantes para lidar com alguns desafios trazidos pela segurança em tempo real.

No entanto, requerem um grande poder de proteger o usuário enquanto oferece uma experiência positiva, já que, como sabemos, o usuário tende a evitar ou sabotar funcionalidades de interfaces lentas ou complexas demais.

 

Malware, infraestrutura e criptografia

O UBA é uma ferramenta importante que permite melhorar soluções já existentes, como as de detecção de malwares.

Uma série de fornecedores de softwares de segurança já está modificando soluções tradicionais, como antivírus, para fazer uso de tecnologias como UBA para identificar novas ameaças.

A tendência é que vejamos cada vez mais fornecedores criando soluções mais complexas com modelos de análise mais ricos e investindo em pesquisas em inteligência artificial para melhorar seus algoritmos.

Saiba mais sobre o que será tendência em segurança da informação nos próximos anos no whitepaper da PROOF, O Papel do CIO e do CISO no Novo Cenário de Segurança.

Com Dark Reading

Cibercriminosos podem tirar vantagem da criptografia de dados

A criptografia de dados permitiu muito mais privacidade para as empresas e os indivíduos que usam a internet para se comunicar e realizar transações. Por outro lado, essa tecnologia também pode trazer uma série de problemas, pois permite que cibercriminosos de todos os tipos passem pelas defesas da rede com grande facilidade.

Cada vez mais ataques tiram vantagem do SSL/TLS para esconder seus malwares dos sistemas de prevenção de intrusão e produtos antimalware e para criptografar suas comunicações com sistemas de comando e controle.

Segundo dados de 2015 divulgados pela Dell, hackers usaram essas táticas para redirecionar cerca de 900 milhões de usuários do Yahoo para um site malicioso. Segundo a empresa, houve um aumento considerável na criptografia SSL/TLS em 2015. No quarto trimestre, quase 65% de todas as conexões web foram criptografadas. O Gartner prevê que 50% de todos os ataques à rede vão explorar o SSL/TLS em 2017.

O que torna essa tendência mais preocupante é que os servidores e as aplicações de segurança foram feitos para “confiar” nas chaves criptográficas e nos certificados digitais e são incapazes de diferenciar tráfego bom e ruim. Como resultado, muitas das soluções de segurança usadas nas empresas, como firewalls e sistemas IPS, são incapazes de enxergar malwares passando pelo tráfego criptografado.

Cada vez mais empresas usam SSL/TLS, SSH e certificados digitais para autentificar de tudo. As chaves de criptografia de dados e os certificados estão sendo criados e usados por diferentes partes da empresa com pouco controle central e visibilidade.

A falta de controle centralizado e visibilidade de todo o processo permitiu que os criminosos usassem chaves e certificados desprotegidos para esconder malwares no tráfego criptografado e praticar outras ações maliciosas, como elevar privilégios e roubar dados.

Uma das melhores abordagens para lidar com esse problema é investir em controles para escanear o tráfego SSL. Existe uma grande quantidade de ferramentas, incluindo firewalls, que descriptografam o tráfego SSL/TLS para uma inspeção profunda, estendendo a proteção da rede aos canais de comunicação criptografados.

Com Dark Security

Como a complexidade dos sistemas prejudica a segurança da informação

Há alguns anos, a segurança da informação era relativamente simples: toda empresa tinha uma rede corporativa com um perímetro definido. Bastava instalar alguns firewalls nos endpoints para bloquear basicamente todo tipo de ataque. Isso acabou com a chegada da mobilidade e da nuvem. Agora, proteger a rede não é mais tão simples.

A maior exposição dos negócios a brechas de segurança que a TI nem sabia que existiam e a maior capacidade dos hackers de explorar vulnerabilidades em sistemas legados levaram as empresas a uma “corrida pela segurança”. Dados do Gartner estimam que mais US$ 75 bilhões foram gastos em segurança da informação pelas empresas ao redor do mundo.

Diante disso, como as empresas podem organizar de maneira compreensível tantas soluções oferecidas pelo mercado em um mesmo ambiente? A explosão de soluções contribuiu para o aumento considerável da complexidade dos sistemas, principalmente nas empresas de grande porte, e desafia diariamente equipes de TI reduzidas.

A complexidade da rede é sua maior vulnerabilidade

Quando a rede se expandiu para a nuvem e incorporou dispositivos mobile, o perímetro foi praticamente extinto. Isso expôs os negócios não apenas a novos tipos de ameaças, mas tornou mais difícil o trabalho de gestão pela equipe de TI, que passou a sofrer com a falta de visibilidade da rede.

Para combater esse problema, as empresas passaram a apostar em uma abordagem de em camadas de soluções de segurança para proteger o acesso aos dados. O que começou com algumas aplicações de segurança suplementares, acabou criando uma bola de neve de aplicações.

Cada aplicação deve ser mantida e tem suas políticas gerenciadas e atualizadas de maneira apropriada. Isso sem contar os imprevistos, como, por exemplo, a descoberta de uma nova vulnerabilidade que requer uma substituição ou múltiplos patches, tomando o tempo dos profissionais e recursos valiosos que poderiam ser investidos em pontos mais estratégicos.

A grande quantidade e diversidade de soluções também levam a um aumento da superfície de ataque, já que os hackers geralmente miram softwares que não tiveram suas vulnerabilidades solucionadas, defesas ultrapassadas e soluções mal configuradas. Quanto mais ferramentas uma empresa tem em seu ambiente, maiores são as chances dos hackers de identificarem pontos fracos.

A solução do problema da complexidade dos sistemas da rede está nas mesmas tecnologias que deram início à corrida pela segurança: nuvem, internet e software. Ao realinhar o perímetro da rede para acomodar as novas realidades trazidas pela nuvem e pela mobilidade, os negócios podem racionalizar a maneira de reforçar a segurança.

No whitepaper da PROOF sobre Como Reduzir Custos e Ameaças em 2016, você conhece mais maneiras de reduzir a complexidade dos sistemas, economizando recursos e aumentando a efetividade dos investimentos em segurança.

Com Security Week