Diversas aplicações, dispositivos de rede e de controles de acesso são utilizados por organizações no desempenho de suas atividades. Esses sistemas geram diariamente milhares ou mesmo milhões de registros (logs), o que torna difícil a identificação de ameaças ou ataques, mesmo quando gerenciados de forma centralizada.
Por Diego Sebastiany*
Frequentemente, uma ameaça real tenta remover ou dificultar a identificação de eventos. Dessa forma, a ausência de logs também pode indicar o comprometimento da segurança.
Outro ponto preocupante é que muitas organizações não possuem ferramentas apropriadas nem pessoal capacitado para identificação e investigação de incidentes de segurança.
Segundo o relatório M-Trends 2019 (Fireye), em 2018 as organizações levaram em média 78 dias apenas para detectar que foram atacadas.
E, uma vez comprometidas, em 64% dos casos se tornaram alvos recorrentes de outros ataques. Os setores de finanças, educação e saúde são os mais atacados.
É imperativo que o tempo médio de detecção de ameaças seja reduzido, assim como o tempo médio de resposta, para diminuir o impacto causado por falhas de segurança. Organizações com esse objetivo devem otimizar as tarefas do ciclo de detecção e resposta às ameaças de segurança.
Uma forma de resolver esse problema é utilizar uma abordagem de plataforma unificada, para garantir que capacidades críticas de inteligência de segurança sejam entregues de forma integrada, na qual todos os componentes são projetados para trabalhar elegante e eficientemente em conjunto.
Os principais benefícios da abordagem de plataforma unificada são:
Visibilidade abrangente e análise de big data: utilizando-se de security analytics de forma integrada, todos os dados adquiridos de logs são processados para retenção de dados forenses, em tempo real, com custo de aquisição reduzido por dispensar outras ferramentas de análise.
Análise contextual holística: a compreensão do contexto de eventos (atribuição de nível de risco a hosts e redes conhecidas, lista de contas privilegiadas ou vulnerabilidades conhecidas, por exemplo) é essencial para esforços de análise e resposta. Isso ajuda a garantir análises mais precisas e respostas mais rápidas a incidentes, reduzindo o custo total de propriedade.
Gerenciamento global para priorização de ameaças: potenciais ameaças devem ser priorizadas para ciclos de análise gastos de forma eficaz. A visibilidade abrangente e a análise de big data, combinadas com um contexto holístico, permitem que o sistema não apenas detecte uma classe de ameaças, mas também priorize as que são detectadas por ele e por outras tecnologias. Essa capacidade reduz muito o tempo médio de detecção de incidentes.
Resposta agilizada para incidentes: quando uma ameaça é descoberta, começa uma corrida para a resposta eficaz ao incidente. O tempo para investigação e resposta é criticamente impactado por quão rápido o analista consegue acesso aos dados forenses e contextuais relacionados ao incidente.
Reduzir o tempo de detecção e resposta a ameaças deveria ser uma prioridade para qualquer organização. Proteger os ativos da empresa evita prejuízos, não só cibernéticos e financeiros, mas de reputação também. Pensando nisso, as questões de segurança da informação devem sempre ser uma prioridade no âmbito corporativo.
*Diego Sebastiany é analista de segurança da informação da Service IT, integradora de soluções e serviços de TI especializada em outsourcing e consultoria.
Sobre a Service IT
Integradora de soluções e serviços de TI desde 1995, a Service IT é especializada em outsourcing e consultoria. A empresa possui uma equipe de profissionais altamente treinados e distribuídos em escritórios em Porto Alegre, Curitiba, São Paulo, Rio de Janeiro, Buenos Aires e Santiago, com estrutura preparada para atender toda a América Latina.
Com um Centro de Operações próprio, a Service IT monitora e gerencia o ambiente de TI de seus principais clientes. Representa, como parte de seu portfólio de soluções de infraestrutura, Amazon, Dell EMC, IBM, Lenovo, Microsoft, Oracle, RedHat, ServiceNow, Veeam, Veritas e VMware.
Oferece as soluções de segurança Cyberark, Fortinet, LogRhythm, Palo Alto, PhishX, Qualys, Sonicwall, Sophos, Symantec e Trend Micro, e atua como um parceiro estratégico em cada um desses fabricantes.
Mantém unidades de negócios especializadas em infraestrutura, gerenciamento de serviços, cloud computing e segurança da informação, e investe na certificação e capacitação de seus profissionais, para se destacar no mercado e prestar serviços que superem as expectativas de seus clientes.
Por que a cibersegurança é estratégica para profissionais de TI e negócios?