Porque As Defesas Cibernéticas Baseadas Em Assinaturas Estão Destinadas A Falhar



Você nunca verá uma alerta de sua ferramenta de Informação de Segurança e Administração de Eventos (SIEM, por suas siglas em inglês) para um ataque de tipo “zero-day”. Não há nenhuma assinatura em sua lista negra de malware que tenha sido feita sob medida para sua organização e que secretamente haja colonizado seu servidor de mail. Não há indicador, não há coincidência de padrão, não há alerta.

Por que é este o caso? Porque o malware está em constante mudança e porque as mentes sofisticadas e dedicadas destes hackers de “chapéus pretos” estão trabalhando noite e dia para desenhar uma brecha de dados especificamente desenvolvida para cada organização que decida invadir. Quando houver o ataque, será a primeira vez que a sua assinatura é vista.

Esta é a razão pela qual algumas agências de investigação nacional e líderes de segurança informática corporativa estão chamando equipes de segurança para começar a operar sob a presunção de que já se encontram comprometidos. De fato, a próxima grande ameaça pode ser que venha de dentro de sua organização, usando credenciais válidas e filtradas. Nesta nova realidade, inclusive os enfoques de defesa do perímetro mais rigoroso, apenas solucionam parte do problema. 


Caça proativa de ameaças com Analytics e Forensics

Os shows de televisão como CSI e A Equipe Forense ilustram o que muitos investigadores de aplicação da lei conhecem como “O princípio de Locard,” que disse que todo contato deixa um rasto. O mesmo pode ser aplicado à segurança da rede, já que o perpetrador de qualquer crime sempre deixa algo atrás indicando sua presença. O objetivo é encontrar evidência da atividade do ataque antes que a fase inicial do mesmo haja sido completada e enquanto a evidência potencial possa ser capturada dos dados voláteis nos dispositivos afetados. Usar uma ferramenta como EnCase® Cybersecurity,que pode preservar dados para uma análise forense, também assegurará que não houve adulteração, caso se necessite entregar às autoridades legais.

O objetivo prioritário de qualquer tipo de ameaça, já seja que essa ameaça venha de espionagem corporativa mediante um agente interno malicioso ou um externo da organização, sempre serão dados sensíveis. Como os dados sensíveis (ou cópias errantes do mesmo) estão amiúde armazenados em dispositivos, como ser laptops de empregados e servidores de dados, imediatamente fica aparente que a falta de visibilidade dentro da atividade de dispositivos é uma das maiores vulnerabilidades de muitas corporações e agências de governo.

Linhas de Base e Anomalias: Como Endpoint Analytics pode fortalecer a segurança

Criar e atualizar regularmente as linhas de base da atividade do servidor e os dispositivos fornece informação às equipes de segurança com um ponto de partida para identificar e alertar anomalias. Há um valor gigantesco ao agregar todos os dados, processos e outras atividades ocorrendo em centenas de laptops e servidores em qualquer momento e criar linhas de base de comportamento “normal”. Ao comparar-se com as linhas de base, qualquer desvio estatístico significativo do comportamento normal pode ser una brecha potencial no progresso e EnCase® Analytics pode mostrar-lhe ditos desvios em um painel visual, sem necessidade de especialistas no tema..

Essa inteligência pode permitir uma rápida detecção e toma de decisões no transcurso de um ataque no qual cada segundo conta. A reportagem de anomalias oferece a oportunidade para uma olhada prematura a algo incomum, ou fora de norma, ocorrendo dentro de seu entorno e dessa forma contribuir para detectar uma intrusão em suas etapas iniciais. Você pode encontrar mais sobre EnCase Analytics aqui. Comentários e sugestões sobre como você está lutando contra os “chapéus pretos”, serão bem-vindos.
Sam Maccherolaé o Vice-Presidente e Administrador Geral da região EMEA/APAC para Guidance Software e reside no Reino Unido. Leia o artigo original em inglês aqui.

RELACIONADOS







No comments :

Post a Comment