Detecção de incidentes de segurança

O que são incidentes de segurança e por que as organizações deveriam se preocupar com eles?

Um incidente de segurança indica que os sistemas e dados de uma rede foram comprometidos ou utilizados indevidamente. Um único incidente de segurança pode fazer parte de um ataque direcionado maior, como uma negação de serviço distribuída (DDoS), ransomware ou ataque persistente avançado. Os ataques à segurança podem afetar não somente as finanças da sua organização, mas também sua reputação. Por isso, é fundamental detectar um incidente de segurança assim que ele ocorre, mitigar a ameaça imediatamente e conter ou reduzir o impacto do ataque.

Quando se trata de resolver um problema de segurança cibernética, reduzir o tempo médio de detecção (MTTD) de um incidente de segurança é prioridade. Você sabia que o tempo médio para detectar um invasor é de 95 dias? Com 95 dias de permanência — o tempo entre o ataque e sua detecção — na rede, os invasores têm tempo suficiente para atingir seus objetivos maliciosos. Cada organização esforça-se para reduzir o MTTD e tempo de permanência dos ataques visando minimizar os danos. Para reduzir estes parâmetros, a detecção de incidentes de segurança precisa ser rápida e eficaz.

O desafio de detectar incidentes de segurança

A detecção de incidentes de segurança ou violações de dados representa um desafio para as organizações por diversos motivos. Frequentemente, isso envolve detectar indicações de comprometimento de um número esmagador de alarmes falsos. Embora sistemas preventivos gerais, como firewalls e softwares antivírus, forneçam alertas sobre comportamentos anormais, eles não oferecem uma visão geral. Para cada alerta acionado, é necessário investigar por que ele foi disparado, aumentando o tempo de resolução.

Os sistemas preventivos gerais fornecem dados limitados. Por exemplo, se as credenciais de um funcionário forem roubadas e utilizadas para acessar recursos críticos, será difícil marcar esta situação como um comportamento anormal e sinalizá-lo como um incidente, a menos que mais informações contextuais estejam disponíveis. As soluções de gerenciamento de eventos e informações de segurança (SIEM) correlacionam informações contextuais de negócios com atividades de rede para detectar incidentes em tempo real.

Mecanismos que ajudam a detectar incidentes de segurança

As soluções de SIEM superam os desafios de detecção de incidentes utilizando diversos mecanismos. Todos os métodos a seguir têm um objetivo semelhante: detectar incidentes o mais rápido possível.

Correlação de logs/h3>

A correlação de logs procura padrões significativos na atividade ao analisar logs de várias fontes. Embora um evento individual possa não parecer suspeito, correlacioná-lo com uma sequência de eventos relacionada pode mostrar indícios de uma ameaça.

Criar uma boa regra de correlação que defina um padrão de ataque ajuda a descobrir padrões conhecidos e pode ser utilizado para identificar e interromper atividades suspeitas. Por exemplo, você pode criar uma regra para a seguinte sequência:

"Uma regra que detecta múltiplas falhas de logon VPN seguidas por um logon VPN bem-sucedido e um login remoto imediato em um dispositivo Windows, após o qual software suspeito é instalado”.

Sozinhos, esses eventos podem parecer triviais. No entanto, as regras de correlação ajudam a conectar esses incidentes para enfatizar um padrão de ataque que o sistema de SIEM pode utilizar para detectar incidentes de segurança como estes assim que eles ocorram.

Inteligência contra ameaças

A inteligência contra ameaças ajuda na detecção precoce de incidentes, utilizando feeds de ameaças para identificar incidentes. Os módulos de inteligência sobre ameaças nas soluções de SIEM utilizam dados de ameaças de várias fontes, desde feeds de ameaças de código aberto baseados em STIX/TAXII até feeds de ameaças de terceiros específicos do fornecedor. Eles fornecem as informações mais recentes e confiáveis ​​sobre ameaças disponíveis para ajudar a mitigar ameaças cibernéticas. Com um banco de dados de ameaças atualizado regularmente, as soluções de SIEM podem detectar incidentes de segurança que se desenrolam na sua rede instantaneamente.

Análise de comportamento anômalo do usuário

Para defender uma rede contra ameaças e violações de dados, é importante estudar os eventos que ocorrem em todo o sistema de rede. Os dados de logs que uma organização armazena contêm insights profundos sobre o comportamento do usuário. Isso inclui os tempos de login e logout de um usuário, seus privilégios de usuário, dados acessíveis, e muito mais.

Utilizando o machine learning, os mecanismos de análise de comportamento de usuários e entidades (UEBA) podem monitorar esses logs constantemente para reconhecer qualquer desvio em relação ao padrão de comportamento normal de um usuário. Por exemplo, se o horário normal de trabalho de um funcionário for durante a semana, das 8:00 às 17:00, uma tentativa de login às 23:00 de um sábado será reconhecida como uma atividade anômala. Com esse mecanismo de autoaprendizagem, a UEBA o ajuda a detectar ameaças internas, comprometimento de contas, manipulação de dados, e muito mais, com maior precisão.