Diversas aplicações, dispositivos de rede e de controles de acesso são utilizados por organizações no desempenho de suas atividades. Esses sistemas geram diariamente milhares ou mesmo milhões de registros (logs), o que torna difícil a identificação de ameaças ou ataques, mesmo quando gerenciados de forma centralizada.
Frequentemente, uma ameaça real tenta remover ou dificultar a identificação de eventos. Dessa forma, a ausência de logs também pode indicar o comprometimento da segurança. Outro ponto preocupante é que muitas organizações não possuem ferramentas apropriadas nem pessoal capacitado para identificação e investigação de incidentes de segurança. Segundo o relatório M-Trends 2019 (Fireye) , em 2018 as organizações levaram em média 78 dias apenas para detectar que foram atacadas. E, uma vez comprometidas, em 64% dos casos se tornaram alvos recorrentes de outros ataques. Os setores de finanças, educação e saúde são os mais atacados.
É imperativo que o tempo médio de detecção de ameaças seja reduzido, assim como o tempo médio de resposta, para diminuir o impacto causado por falhas de segurança. Organizações com esse objetivo devem otimizar as tarefas do ciclo de detecção e resposta às ameaças de segurança.
Uma forma de resolver esse problema é utilizar uma abordagem de plataforma unificada, para garantir que capacidades críticas de inteligência de segurança sejam entregues de forma integrada, na qual todos os componentes são projetados para trabalhar elegante e eficientemente em conjunto.
Os principais benefícios da abordagem de plataforma unificada são:
• Análise contextual holística: a compreensão do contexto de eventos (atribuição de nível de risco a hosts e redes conhecidas, lista de contas privilegiadas ou vulnerabilidades conhecidas, por exemplo) é essencial para esforços de análise e resposta. Isso ajuda a garantir análises mais precisas e respostas mais rápidas a incidentes, reduzindo o custo total de propriedade.
• Gerenciamento global para priorização de ameaças: potenciais ameaças devem ser priorizadas para ciclos de análise gastos de forma eficaz. A visibilidade abrangente e a análise de big data, combinadas com um contexto holístico, permitem que o sistema não apenas detecte uma classe de ameaças, mas também priorize as que são detectadas por ele e por outras tecnologias. Essa capacidade reduz muito o tempo médio de detecção de incidentes.
• Resposta agilizada para incidentes: quando uma ameaça é descoberta, começa uma corrida para a resposta eficaz ao incidente. O tempo para investigação e resposta é criticamente impactado por quão rápido o analista consegue acesso aos dados forenses e contextuais relacionados ao incidente.
Reduzir o tempo de detecção e resposta a ameaças deveria ser uma prioridade para qualquer organização. Proteger os ativos da empresa evita prejuízos, não só cibernéticos e financeiros, mas de reputação também. Pensando nisso, as questões de segurança da informação devem sempre ser uma prioridade no âmbito corporativo.
————————————————–
Diego Sebastiany é analista de segurança da informação da Service IT, integradora de soluções e serviços de TI especializada em outsourcing e consultoria.
Sobre a Service IT: Integradora de soluções e serviços de TI desde 1995, a Service IT é especializada em outsourcing e consultoria.