Desastres, danos e descobertas: detectando violações antes que seja tarde demais
Quando se trata de segurança, todos sabemos que a prevenção é fundamental. Mas quando você considera que mesmo titãs como Apple, Twitter e Facebook supostamente sofreram violações e ataques, fica óbvio que os planos de detecção e resposta são elementos críticos na infraestrutura de qualquer organização. Como diz o ditado, “esperança não é uma estratégia”. As empresas de hoje devem desenvolver um plano inteligente com antecedência para detectar e lidar com violações se quiserem evitar a perda generalizada de dados e uma reputação de marca prejudicada.
É verdade; algumas violações são mais óbvias do que outras. No entanto, a maioria das organizações não saberá que foi violada até que seja tarde demais; Por incrível que pareça, o Relatório de Investigações de Violação de Dados de 2013 da Verizon diz que em 2012 mais de 65% das violações permaneceram desconhecidas por meses. Infelizmente, sabemos que um bom número passa despercebido por muito mais tempo; em julho deste ano, soubemos que a maior rede de hackers e violação de dados da história dos EUA não foi descoberta por cerca de sete anos. As empresas podem estar tão alheias às suas próprias violações, de fato, que muitas intrusões são descobertas primeiro por terceiros. ISPs e grupos de inteligência de monitoramento de ameaças geralmente notam a comunicação envolvendo IPs maliciosos e domínios com má reputação, enquanto os usuários finais – funcionários e clientes – podem encontrar um desempenho estranho do sistema ou atividades estranhas.
Isso está longe de ser o ideal para a organização afetada, que sem dúvida preferiria descobrir e resolver a violação internamente. Mesmo nos casos em que uma organização detecta sua própria violação, o hacker geralmente teve tempo para explorar a rede, localizar e penetrar nos sistemas relevantes e coletar dados. O tempo é essencial quando se trata de dados comprometidos, que é apenas mais uma razão pela qual a descoberta e a recuperação são tão primordiais.
Então, por que é tão difícil detectar uma violação prontamente? Uma razão é que os invasores são versáteis, usando várias formas e métodos para invadir sistemas e cobrir seus rastros com o mínimo de ruído. O relatório da Verizon mostra que, entre suas violações de perfil, 52% usaram alguma forma de hacking, 76% das invasões de rede envolveram credenciais roubadas, 40% usaram malware, 35% envolveram ataques físicos e 29% usaram táticas sociais, enquanto 13% resultaram de uso indevido de privilégios. De uma organização para outra, o tipo de ameaças também pode diferir muito. Como resultado, monitorar atividades suspeitas pode ser como procurar uma agulha em uma pilha de agulhas.
Dito isso, as empresas podem e devem adotar as melhores práticas para se preparar e se proteger. Ao instituir mecanismos de alerta que indicam a ocorrência de um incidente, as empresas podem se posicionar para descobrir e conter violações antes que o dano seja irreparável.
Parando violações em suas trilhas
Reforce sua segurança.
Realize avaliações de risco abrangentes que analisem os pontos fracos de sua arquitetura, possíveis ameaças e seu impacto potencial, priorize e, em seguida, tome medidas corretivas. Monitoramento, verificação e correção proativos, juntamente com o estabelecimento de sua arquitetura em uma base focada em segurança, contribuem para uma postura de segurança mais robusta. Ferramentas que implementam automaticamente contramedidas de segurança para evitar novos ataques enquanto os engenheiros investigam manualmente e confirmam ou limpam o alerta podem evitar a perda de dados quando integradas ao plano de segurança geral de uma organização.
Reduza seu apelo de ataque.
A maioria das ameaças são oportunistas e exploram os frutos mais fáceis. Ao minimizar sua superfície de ataque, usando segurança em camadas e bloqueando vetores de ataque de alto potencial, você elimina pontos de entrada e tempo de investigação. Existem inerentemente menos variáveis ambientais com as quais se preocupar. Usar dados de nível macro e correlação para identificar tendências e mitigá-las adequadamente é fundamental para tornar sua superfície de ataque menor – falaremos mais sobre isso abaixo. Outra dica: por meio do gerenciamento e bloqueio cuidadosos da reputação de IP, você pode basicamente se esconder do tráfego malicioso e, com o tempo, tornar-se menos visível para possíveis invasores.
Preste atenção às atividades anômalas.
Configure notificações para anomalias, como solicitações anormais de aplicativos da Web, tentativas de força bruta e aumento de tráfego para determinadas portas e protocolos - e designe alguém para responder, investigar e determinar se o evento é apenas um acaso ou algo mais sério. Tomar medidas da Equipe de Resposta a Incidentes de Segurança do Computador (CSIRT) em cada anomalia simplesmente não é prático; engenheiros que possuem as ferramentas de investigação corretas e o conhecimento para investigar eventos com eficiência serão muito mais eficazes na redução da perda de dados. Um plano de investigação e documentação direto e eficiente é vital para evitar inconsistências e agilizar a detecção de violações.
Transforme seus dados em seu cão de guarda.
Colete e estude dados forenses e arquive-os de uma maneira que mantenha sua integridade - depois correlacione-os. Deixe seus dados contarem uma história que, com o tempo, o ajudará a determinar se você foi violado ou está sob ataque, em vez de apenas adivinhar. Usar essas informações de nível macro, além da avaliação de risco que discutimos acima para destacar suas maiores vulnerabilidades, ajuda a reduzir sua superfície de ataque e violações de identidade mais rapidamente. Lembre-se de que, para que isso seja eficaz, você deve coletar dados de forma consistente usando um padrão documentado; se você esperar até que ocorra uma atividade suspeita para começar a coletar evidências, não será suficiente fornecer a imagem completa e contextual de que você precisa. Aproveite também os dados de segurança de terceiros. Sejam IPs ruins conhecidos, domínios maliciosos, ameaças persistentes avançadas ou similares,sua organização pode usá-los como blocos de construção para um modelo de segurança integrado.
Lembre-se de que muitas violações e comprometimentos são projetados para funcionar em modo furtivo, operando de uma maneira que não alerta os administradores do sistema. Por esse motivo, um plano de detecção e recuperação em várias camadas é essencial para proteger sua organização, fazendo a diferença entre uma violação catastrófica que devasta seus negócios e uma violação que é rapidamente contida e encerrada.
A ServDigital é especialistas no oferecimento de projetos e soluções personalizadas para Segurança de Dados e conformidade da LGPD.
www.servdigital.com.br
#servdigital #segurançadedados #proteçãodedados #segurançadigital #cibersegurança #ciberataque #ransomware #malware