- As “pessoas ruins” lançam um novo tipo ou método de ataque
- Algumas (senão todas) as organizações atacadas são invadidas
- As consequências oscilam entre uma real perda económica até a destruição dos recursos físicos (não virtuais) que causam que as organizações assediadas comecem a estudar e identificar a nova ameaça
- Ao menos uma organização identifica o novo método de ataque
- A organização ou o vendedor de recursos de segurança encontra uma defesa contra esta nova ameaça
- Espalhada a notícia, e armadas com esta nova inteligência, as organizações começam a configurar as defesas apropriadas
Tratando a Doença, Não Só os Sintomas
A lição que temos que aprender disto é que compartilhar informação somente ajudará a acelerar o tempo para a disposição de uma solução a um novo problema ou ameaça... Mas como encontramos a causa dessas ameaças enquanto estão acontecendo?
Diferentemente da corrida armamentista da Guerra Fria, as batalhas cibernéticas causam um dano real (até agora, afortunadamente, só perdas econômicas) que é infligido durante cada ciclo do ataque. Isto significa que as empresas e outras organizações simplesmente não podem esperar complacentemente até que uma terceira parte identifique o problema, desenvolva uma solução e compartilhe a informação.
Como “pessoas boas”, devemos começar a trabalhar em paralelo. Devemos buscar as ameaças espreitas e identificar as violações à segurança de maneira proativa e colaborativa antes que causem um dano real e se espalhem além do campo financeiro. Companhias como a Guidance Software e a FireEye estão colaborando mediante a integração de ferramentas de segurança chaves e compartilhando informação crítica. Este é um bom inicio, mas mais organizações devem fazer o mesmo. Ademais, que podemos fazer respeito às ameaças avançadas atuais?
Como Investigar uma Ameaça Sem uma Assinatura: Proativamente
Investigar uma ameaça desconhecida é quase impossível em organizações que dependem de sistemas de cibersegurança com base em assinaturas. Aqui é onde a análise de dispositivos, a detecção de ameaças e a resposta a ameaças representam uma oportunidade significativa. O processo segue a seguinte ordem:
- Recolher dados das atividades nos dispositivos
- Sintetizar uma imagem geral do seu panorama desde uma perspectiva alta, uma “visão panorâmica” que relacione anomalias que pareceriam benignas ao ser vistas de maneira isolada, mas que apontam problemas de segurança quando vistas em conjunto
- Detectar anomalias dentro desta “visão panorâmica”
- Aprofundar uma investigação forense destas anomalias
Traduzido do texto original de The Cybersecurity Framework: Identification, Collaboration, and Proactive Defense por Alex Andrianopoulos
RELACIONADOS
A Primeira Regra é Levar Sempre o Casco
Guerra na Fronteira: Resposta a Incidentes vs. Investigação Forense
Quando Processos Antigos Se Encontram Com Novas Tecnologias
Grupo de LinkedIn: Usuários do EnCase - Português
No comments :
Post a Comment