A Infraestrutura da Cibersegurança: Identificação, Colaboração e Defesa Proativa

Pense nisto como uma corrida armamentista: Todos, desde corporações até agências governamentais, estão engajados em um constante ciclo de combate com os ciberterroristas e os criminais. Este ciclo segue as seguintes fases:

  • As “pessoas ruins” lançam um novo tipo ou método de ataque
  • Algumas (senão todas) as organizações atacadas são invadidas
  • As consequências oscilam entre uma real perda económica até a destruição dos recursos físicos (não virtuais) que causam que as organizações assediadas comecem a estudar e identificar a nova ameaça
  • Ao menos uma organização identifica o novo método de ataque
  • A organização ou o vendedor de recursos de segurança encontra uma defesa contra esta nova ameaça
  • Espalhada a notícia, e armadas com esta nova inteligência, as organizações começam a configurar as defesas apropriadas
Aqui temos o problema: A demora entre a invasão, o desenvolvimento de uma defesa e compartilhar a informação pode tomar meses, senão mais tempo. Por que a demora? Porque as “pessoas boas” não compartilham suficiente informação. Os hackers compartilham agressivamente suas novas técnicas e enfoques. Por tanto, aplaudimos qualquer tentativa do governo para encorajar o intercâmbio de informações sobre ameaças à cibersegurança e informar sobre novos métodos empregados pelos hackers e outros cibercriminais.

Tratando a Doença, Não Só os Sintomas

A lição que temos que aprender disto é que compartilhar informação somente ajudará a acelerar o tempo para a disposição de uma solução a um novo problema ou ameaça... Mas como encontramos a causa dessas ameaças enquanto estão acontecendo?

Diferentemente da corrida armamentista da Guerra Fria, as batalhas cibernéticas causam um dano real (até agora, afortunadamente, só perdas econômicas) que é infligido durante cada ciclo do ataque. Isto significa que as empresas e outras organizações simplesmente não podem esperar complacentemente até que uma terceira parte identifique o problema, desenvolva uma solução e compartilhe a informação.

Como “pessoas boas”, devemos começar a trabalhar em paralelo. Devemos buscar as ameaças espreitas e identificar as violações à segurança de maneira proativa e colaborativa antes que causem um dano real e se espalhem além do campo financeiro. Companhias como a Guidance Software e a FireEye estão colaborando mediante a integração de ferramentas de segurança chaves e compartilhando informação crítica. Este é um bom inicio, mas mais organizações devem fazer o mesmo. Ademais, que podemos fazer respeito às ameaças avançadas atuais?

Como Investigar uma Ameaça Sem uma Assinatura: Proativamente

Investigar uma ameaça desconhecida é quase impossível em organizações que dependem de sistemas de cibersegurança com base em assinaturas. Aqui é onde a análise de dispositivos, a detecção de ameaças e a resposta a ameaças representam uma oportunidade significativa. O processo segue a seguinte ordem:
  1. Recolher dados das atividades nos dispositivos
  2. Sintetizar uma imagem geral do seu panorama desde uma perspectiva alta, uma “visão panorâmica” que relacione anomalias que pareceriam benignas ao ser vistas de maneira isolada, mas que apontam problemas de segurança quando vistas em conjunto
  3. Detectar anomalias dentro desta “visão panorâmica”
  4. Aprofundar uma investigação forense destas anomalias
Nosso novo produto EnCase® Analytics tem sido desenvolvido para abordar os pontos 1,2 e 3 listados anteriormente; ademais de dar-lhe os indicadores de padrões suspeitos e anomalias emergentes da maneira mais rápida possível. EnCase® Cybersecurity tem sido desenvolvido para fazer o trabalho mais meticuloso listado no ponto 4, permite a automatização dos passos mais críticos quando um ataque já ocorreu, acelerando o tempo de contenção e concerto. Conheça mais sobre EnCase Cybersecurity e EnCase Analytics.

Traduzido do texto original de The Cybersecurity Framework: Identification, Collaboration, and Proactive Defense por Alex Andrianopoulos

RELACIONADOS

A Primeira Regra é Levar Sempre o Casco

Guerra na Fronteira: Resposta a Incidentes vs. Investigação Forense

Quando Processos Antigos Se Encontram Com Novas Tecnologias

Grupo de LinkedIn: Usuários do EnCase - Português

No comments :

Post a Comment